کمیته رکن چهارم – هکرهایی که مسئول عملیات باجافزاری که سال گذشته شهر دالاس را به تعطیلی کشاند بودند، به طور کامل به گروه جدیدی تغییر برند داده و در حال حاضر بیش از ۵۰۰ میلیون دلار باج درخواست کردهاند.
افبیآی و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) بهروزرسانی مشاوره قبلی در مورد عملیات باجافزار رویال را ارائه داده و تایید کردند که این گروه اکنون خود را “بلکسوت” مینامد و همچنان به صدور درخواستهای باج کلان ادامه میدهد که برخی از آنها به ۶۰ میلیون دلار نیز رسیده است.
این بهروزرسانی شامل اطلاعات فنی جدیدی است که به مدافعان کمک میکند تا فعالیتهای این گروه را شناسایی کنند.
این گروه از سپتامبر ۲۰۲۲ تا جولای ۲۰۲۳ تحت نام “رویال” فعالیت میکرد و از آن زمان به نام “بلکسوت” شناخته میشود.
این گروه با حمله به دالاس در تابستان گذشته، که به خدمات اضطراری، دادگاهها و شهرداری آسیب رساند، توجه مقامهای قانونی را جلب کرد.
در نوامبر، افبیآی و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده هشدار دادند که رویال در حال انتقال به برندینگ “بلکسوت” در طی انجام حملات است.
بهروزرسانی روز چهارشنبه تایید میکند که تمامی حملات جدید این عامل هکری، از جمله برخی که به تازگی در جولای انجام شدهاند، تحت عنوان این نام جدید صورت گرفته است.
این سازمانها اعلام کردند:
درخواستهای باج معمولاً از حدود ۱ میلیون تا ۱۰ میلیون دلار متغیر بوده و پرداخت به صورت بیتکوین درخواست شده است. عوامل بلکسوت تمایل به مذاکره در مورد مقادیر پرداخت نشان دادهاند.
سازمانها، هکرهای پشت این دو گروه را بر اساس شباهتهای کدگذاری متعدد مرتبط دانستند، اما اشاره کردند که بلکسوت قابلیتهای بهبود یافتهتری را نشان داده است.
هکرها همچنان قبل از غیر فعال کردن نرمافزار ضدویروس، استخراج مقادیر زیاد داده و استقرار باجافزار، از ایمیلهای فیشینگ به عنوان موفقترین روش حمله برای دسترسی اولیه استفاده میکنند.
این سازمانها همچنین اشاره کردند که اخیراً حملات بیشتری صورت گرفته است که در آنها قربانیان ارتباطات تلفنی یا ایمیلی از طرف عوامل بلکسوت درباره نفوذ و باج دریافت کردهاند.
گزارش اخیر شرکت امنیت سایبری سوفوس (Sophos) نشان میدهد که چندین گروه باجافزاری اکنون از این تاکتیک به عنوان روشی جدید برای فشار آوردن به قربانیان برای پرداخت باج استفاده میکنند.
بسیاری از بیمارستانها و کسبوکارها گزارش دادهاند که گروههای باجافزاری با تهدیدات مرتبط با دادههای دزدیده شده یا دسترسی یافته در طول حملات، با بیماران و مشتریان تماس گرفتهاند.
چستر ویشنیوسکی، مدیر فناوری اطلاعات میدانی شرکت سوفوس، در کنفرانس امنیت سایبری کلاه سیاه یا بلک هت (Black Hat) بیان کرد که سالها پیش گروههای باجافزاری فکر میکردند که پوشش رسانهای حملات باعث ایجاد احساس ترس در میان قربانیان خواهد شد؛ اما در سال گذشته، گروهها تاکتیک خود را به سمت تماس مستقیم با مشتریان و بیماران تغییر کردهاند.
ویشنیوسکی استدلال کرد که این تاکتیک به طور کلی کارساز نبوده است و بیشتر شرکتها بر اساس دلایل عملیتر مانند توقف کسبوکار و نگرانیهای نظارتی، تصمیم میگیرند که آیا باج را پرداخت کنند یا نه.
بیشتر اطلاعات فنی جدید در مورد بلکسوت از حوادث پاسخ به تهدید افبیآی تا جولای ۲۰۲۴ به دست آمده است.
هکرها معمولاً از ابزارهای قانونی برای حرکت جانبی در سیستمهای قربانی استفاده میکنند و در حداقل یک مورد از حسابهای قانونی برای ورود از راه دور به سیستم استفاده کردهاند.
آنها از دسترسی به این حسابها برای غیرفعال کردن نرمافزار ضدویروس و از نرمافزارهای نظارت و مدیریت از راه دور برای حفظ دسترسی در شبکههای قربانیان استفاده کردهاند.
این مشاوره شامل نمونهای از یادداشت باج است که برخی از قربانیان مشاهده کردهاند.
گزارش همچنین شامل آدرسهای آی پی است که افبیآی و آژانس امنیت سایبری و امنیت زیرساخت آمریکا معتقدند باید پیش از انجام اقدامی مانند مسدود کردن، توسط سازمانها مورد تحقیق یا ارزیابی قرار گیرد.
بلکسوت مسئول چندین حمله اخیر به مدارس ابتدایی و دانشگاههای ایالات متحده، همچنین شرکتهای برجسته و دولتهای محلی شده است.
در کنفرانس بلک هت، جین ایسترلی، مدیر آژانس امنیت سایبری و امنیت زیرساخت آمریکا، متذکر شد که حملات باجافزاری به ویژه سازمانها را مجبور به اولویتبندی امنیت سایبری کرده است.
او در پایان اذعان کرد:
من وقت زیادی را با مدیران عامل و هیئتهای مدیره صرف میکنم، بنابراین به طور فزایندهای شاهد هستم که آگاهی از اهمیت بهداشت سایبری بیشتر شده است. به دلیل حملات باجافزاری، مردم آگاه شدهاند و به این فکر میکنند که ‘چه کاری باید انجام دهم تا از خانواده و جامعهام محافظت کنم؟’
منبع: سایبربان
