خانه » باج افزار در اکتبر ۲۰۲۳ چگونه عمل کرد؟

باج افزار در اکتبر ۲۰۲۳ چگونه عمل کرد؟

توسط Vulnerbyte
180 بازدید
باج افزار - اکتبر ۲۰۲۳

این مقاله بر اساس تحقیقات Marcelo Rivero، متخصص باج‌افزار شرکت Malwarebytes تهیه شده است که اطلاعات منتشر شده باج‌افزارها را در سایت‌های دارک وب رصد می‌کند. «حملات شناخته شده» در این گزارش، به مواردی گفته می‌شود که قربانی هیچگونه باجی را پرداخته نکرده است. مقاله پیش رو، به بررسی وضعیت باج افزار در اکتبر ۲۰۲۳ می‌پردازد.

مجموعا در ماه اکتبر ۲۰۲۳، تعداد ۳۱۸ قربانی جدید در سایت‌های گروه‌های باج‌افزاری پست شدند. فعال‌ترین گروه‌ها LockBit  (۶۴ قربانی)، NoEscape  (۴۰ قربانی) و PLAY  (۳۶ قربانی) بودند. مهمترین خبرهای این ماه شامل حذف چندین گروه پرمخاطب، از جمله RansomedVC (مهاجم ادعایی سیستم‌های سونی)، Cl0p و گروه پشت حملات بدنام کازینو (casino) در سپتامبر است.

ماه گذشته، سه گروه بزرگ باج‌افزاری به نام های RansomedVC، Ragnar و Trigona   متوقف شدند، دو گروه اول توسط مجریان قانون و سومی توسط هکتیویست‌های اوکراینی. RansomedVC در ماه آگوست وارد عرصه شد و به‌ سرعت به دلیل نفوذ به چندین شرکت معروف به شهرت رسید. هکر اصلی این گروه در اواخر اکتبر، در تلگرام در تلاش برای فروش عملیات مشاهده شد. تنها چند روز بعد، این حساب کاربری پس از اطلاع از اینکه شش نفر از افراد وابسته به آن ممکن است دستگیر شده باشند، اعلام کرد که در حال «پایان دادن» به این گروه است. RagnarLocker در سال ۲۰۱۹ آغاز به کار کرد و مسئول حملات متعددی علیه شهرداری ها و زیرساخت های حیاتی در سراسر جهان می‌باشد. این گروه در زمان سرنگونی خود، در مجموع ۴۲ قربانی را در سایت فاش کرده بود.

از سوی دیگر، حذف Trigona توسط فعالان صورت گرفته است و تأثیری را که مبارزات ژئوپلیتیک گسترده‌تر می‌تواند بر چشم‌انداز باج‌افزار داشته باشد، نشان می‌دهد. اتحادیه سایبری اوکراین (UCA) در اواسط اکتبر، به سرور Trigona Confluence نفوذ کرد و سایت های آنها را به طور کامل حذف نمود. UCA که در حدود سال ۲۰۱۶ برای دفاع از فضای سایبری اوکراین در برابر دخالت روسیه تشکیل شده است، از یک اکسپلویت عمومی برای CVE-2023-22515 به منظور دسترسی به زیرساخت های Trigona استفاده کرد. Trigona مسئول حداقل ۳۰ حمله به بخش های مختلف از زمان اولین پیدایش در اکتبر ۲۰۲۲ می‌باشد.

وضعیت باج افزار در اکتبر ۲۰۲۳
حملات باج افزاری شناخته شده توسط گروه‌های باج افزاری، اکتبر ۲۰۲۳
وضعیت باج افزار در اکتبر ۲۰۲۳
حملات باج افزار شناخته شده بر اساس کشور، اکتبر ۲۰۲۳
وضعیت باج افزار در اکتبر ۲۰۲۳
حملات باج افزار شناخته شده توسط بخش صنعت، اکتبر ۲۰۲۳

در دیگر اخبار ماه اکتبر، Resilience، یک شرکت بیمه سایبری، گزارش کرد که ۴۸ درصد از قربانیان حملات سایبری MOVEit در پایگاه مشتریان این شرکت در نیمه اول سال ۲۰۲۳ از بخش آموزش بوده‌اند. این، نشان دهنده ترجیح هدف گیری احتمالی کمپین Cl0p نسبت به موسسات آموزشی است.

داده های Malwarebytes حاکی از آن است که ۶% از حملات باج افزاری توسط Cl0p صورت گرفته است که از این میزان، ۳% آن متعلق به بخش آموزش hostهای MOVEit می‌باشد. با این حال، این روند احتمالاً به دلیل تمرکز عمدی Cl0p نیست، که حملاتش از نظر وسعت فرصت‌طلبانه‌تر بودند، بلکه بیشتر به این دلیل است که بخش‌های آموزشی اغلب منابع کمتری برای رسیدگی سریع به آسیب‌پذیری‌هایی مانند موارد MOVEit در اختیار دارند.

Scattered Spider، یک گروه تهدید نسبتاً جدید با انگیزه مالی است که حداقل از ماه مِی ۲۰۲۲ فعال می‌باشد. این گروه معمولاً از گواهی های اعتبار ربوده شده از عملیات فیشینگ پیامکی به منظور ایجاد دسترسی اولیه به شبکه استفاده می‌کند. حملات این گروه به MGM Resorts و Caesar Entertainment در ماه سپتامبر خبرساز شد. یکی از مهم‌ترین یافته‌ها در مورد این گروه استفاده از تکنیک‌های LOTL برای جلوگیری از شناسایی است.

Scattered Spider از ابزارهای روزمره مانند PowerShell به منظور شناسایی استفاده می‌کند و به طور مخفیانه تنظیمات شبکه را برای دور زدن اقدامات امنیتی تغییر می‌دهد. آنها همچنین از ارائه دهندگان هویت سوء استفاده می‌کنند و سیستم های امنیتی را تغییر داده و فعالیت‌های مخرب خود را با عملیات عادی شبکه ترکیب می‌کنند.

موفقیتِ گروه‌هایی مانند Scattered Spider که به طور فزاینده بر حملات LOTL متکی می‌باشند، برای مدیران امنیت شبکه حیاتی است که بر روی شناسایی فعالیت‌های غیرعادی در ابزارهای قانونی و پیکربندی‌های شبکه تمرکز می‌کنند. تقویت قابلیت‌های مانیتورینگ و تجزیه و تحلیل می‌تواند به شناسایی و مقابله با تکنیک‌های ظریف و پیچیده‌ای که توسط این گروه‌های باج‌افزار استفاده می‌شود، کمک نماید.

 

Hunters International

Hunters International (شکارچیان بین المللی) یک باج افزار جدید است که مظنون به تغییر نام یافتهء باج افزار Hive می‌باشد که در ژانویه ۲۰۲۳ توسط مجریان قانون متوقف گردید. علی‌رغم انکار Hunters International، که ادعا می‌کند آنها یک نهاد متمایز هستند که کد منبع Hive را خریداری کرده‌اند، همپوشانی در کدگذاری و عملکرد بدافزار آنها نشان‌ دهنده یک ارتباط مستقیم  و قوی از Hive است. فعالیت آنها، اگرچه محدود است، اما شامل یک حمله قابل توجه به یک مدرسه در بریتانیا می‌باشد.

باج افزار - اکتبر ۲۰۲۳ - Hunters International
باج افزار - اکتبر ۲۰۲۳ - Hunters International

 

چگونه از باج افزار جلوگیری کنیم؟

  • مسدود نمودن شکل‌های رایج ورود، ایده خوبی است. ایجاد طرحی برای وصله سریع و به موقع آسیب‌پذیری‌ها در سیستم‌های متصل به اینترنت؛ غیرفعال یا سخت کردن دسترسی از راه دور مانند [1]RDP و VPN[2] بسیار ضروری و حائز اهمیت می‌باشد.
  • بهره گیری از نرم افزار امنیت endpoint[3] می‌تواند در شناسایی بدافزارها کمک شایانی داشته باشد.
  • تشخیص نفوذ با بخش‌بندی شبکه‌ها و تخصیص حقوق دسترسی محتاطانه، کار مهاجمان وبدافزارها را در داخل سازمان دشوار می‌سازد. از این رو بهتر است از [4]EDR یا MDR[5] به منظور تشخیص فعالیت‌های غیرعادی پیش از وقوع حمله استفاده نمود.
  • متوقف ساختن رمزگذاری‌های مخرب، یکی دیگر از راهکارهای پیشنهادی است. نرم‌افزارهای MDR و EDR از چندین تکنیک تشخیص مختلف برای شناسایی باج‌افزار و بازگشت باج‌افزار به منظور بازیابی فایل‌های سیستم آسیب‌دیده استفاده می‌کنند.
  • پشتیبان گیری آفلاین و خارج از سایت بصورت دوره‌ای و منظم از جمله توصیه‌های امنیتی است. پشتیبان‌گیری‌ها بایستی خارج از سایت و بصورت آفلاین، دور از دسترس مهاجمان نگهداری شوند.
  • پس از شناسایی اولین نشانه‌های حمله می‌بایست نسبت به متوقف ساختن آن اقدام کرد و هر اثری از مهاجمان، بدافزارها، ابزارها و روش‌های ورود آنها را حذف نمود تا حمله مجدد صورت نگیرد.

 

[1] Remote Desktop Protocol

[2] Virtual Private Network

[3] endpoint security

[4] Endpoint Detection and Response

[5] Managed Detection and Response

 

منبع

https://www.malwarebytes.com/blog/threat-intelligence/2023/11/ransomware-review-november-2023

همچنین ممکن است دوست داشته باشید

پیام بگذارید