کمیته رکن چهارم – سایت LeakSide از بازگشت باجافزار BlackByte با بهکارگیری از تکنیکهای اخاذی الگو گرفته شده از LockBit خبر داد.
گردانندگان باجافزار BlackByte از اوایل تابستان ۱۴۰۰ شروع به نفوذ و سرقت دادهها در شبکههای سازمانها در سراسر جهان و رمزگذاری دستگاهها کرده اند.
پلیسFBI این باجافزار را مسئول حملات به زیرساختهای حیاتی آمریکا میداند و چندی پیش توصیهنامهای نیز در خصوص آن منتشر کرد.
باجافزار BlackByte به زبان C# نوشته شده و سعی میکند بسیاری از پروسههای مربوط به محصولات امنیتی، سرور ایمیل و پایگاهدادهها را بهمنظور رمزگذاری موفق سیستمها، از کار بیندازد. برای مثال این باجافزار قبل از رمزگذاری فایلها،Microsoft Defender را در سیستمهای قربانیان غیرفعال میکند.
مهاجمان با سوء استفاده از آسیبپذیریهای امنیتی به شبکهها نفوذ کرده و زنجیره حمله ProxyShell به سرورهای Microsoft Exchange را نیز در کارنامه دارند.
پاییز سال گذشته، محققان به این نکته پی بردند که گروه باجافزاری BlackByte کلید رمزگذاری را پس از کد کردن (Encoding) به اطلاعیه باجگیری (Ransom Note) اضافه کرده و از کلید مشابه برای چندین قربانی استفاده میکنند. در پی شناسایی ضعف یادشده در این باجافزار، محققان رمزگشای BlackByte را که به قربانیان این باجافزار اجازه میداد فایلهای خود را بهصورت رایگان بازیابی کنند، منتشر کردند. البته متأسفانه پس از انتشار گزارش این ضعف، مهاجمان نقص مذکور را برطرف کردند.
پس از مدتی کوتاه، این مهاجمان فعالیت خود را متوقف کردند. اکنون مدتی است که حملات خود را با تکنیکهای جدید اخاذی که از LockBit الهام گرفته شده، اجرا کرده و ضمن انتشار یک سایت نشت داده جدید در تالارهای گفتگو هکرها و حسابهای توییتر تحت کنترل مهاجمان، این باجافزار را تبلیغ میکنند.
سایت جدید LeakSide در حال حاضر تنها شامل یک قربانی است، اما اکنون استراتژیهای اخاذی جدیدی دارد که به قربانیان اجازه میدهد تا برای تمدید مهلت پرداخت باج و عدم انتشار دادهها تا ۲۴ ساعت، ۵ هزار دلار، عدم بهاشتراکگذاری دادهها، ۲۰۰ هزار دلار، یا حذف تمامی دادههای سرقت شده، ۳۰۰ هزار دلار هزینه پرداخت کنند. این قیمتها احتمالاً بسته به میزان درآمد هر قربانی تغییر خواهند کرد.
با این حال، سایت جدید نشت داده باجافزار BlackByte، نشانیهای بیتکوین و مونرو را که مشتریان میتوانند برای خرید یا حذف دادهها از آنها استفاده کنند، به درستی جاسازی نمیکند و این موجب عدم اجرای صحیح قابلیتهای جدید میشود.
به نظر میرسد که هدف از تکنیکهای جدید اخاذی این است که به قربانی اجازه داده شود تا برای حذف دادههای خود پول پرداخت کند و یا در صورت تمایل، سایر مهاجمان دادههای سرقتشده را خریداری کنند.
منبع : مرکز مدیریت راهبردی افتا