باج افزار Play به ۳۰۰ سازمان در سراسر جهان حمله کرد

بر اساس مشاوره امنیت سایبری مشترک استرالیا و ایالات متحده، تخمین زده می‌شود که عوامل تهدید پشت باج افزار Play تا اکتبر ۲۰۲۳، حدود ۳۰۰ سازمان را در سراسر جهان مورد حمله قرار داده‌اند. عوامل باج‌افزار Play از یک مدل اخاذی مضاعف استفاده می‌کنند؛ به این صورت که سیستم‌ها را پس از استخراج داده‌، رمزگذاری می‌کنند و تاکنون بر طیف وسیعی از کسب‌وکارها و سازمان‌های زیرساختی حیاتی در آمریکای شمالی، آمریکای جنوبی، اروپا و استرالیا تأثیر گذاشته‌اند. یادداشت‌های باج این گروه، شامل درخواست باج اولیه یا دستورالعمل‌های پرداخت نیستند، بلکه به قربانیان دستور داده می‌شود که از طریق ایمیل با عوامل تهدید تماس حاصل کنند.

باج ‌افزار Play در سال ۲۰۲۲ با نام‌های Balloonfly و PlayCrypt ظاهر شد و با اکسپلویتِ آسیب پذیری ‌های امنیتیِ سرورهای Exchange مایکروسافت (CVE-2022-41040 و CVE-2022-41082) و دستگاه‌های Fortinet (CVE-2018-13379 و CVE-2020-12812)، بدافزار رمزگذاری فایل را مستقر کرد. شایان ذکر است که حملات باج‌افزاری به‌جای استفاده از ایمیل‌های فیشینگ به‌عنوان بُردار نفوذ اولیه، به‌طور فزاینده از آسیب‌پذیری‌ها سوء استفاده می‌کنند.

شرکت امنیت سایبری Adlumin، در گزارشی که در ماه نوامبر منتشر شد، اذعان داشت که این باج افزار به عنوان یک سرویس به دیگر عوامل تهدید ارائه می‌شود و تبدیل آن به یک عملیات باج‌افزار به ‌عنوان یک سرویس (RaaS) را تکمیل می‌کند.

حملات باج‌افزاری که توسط این گروه تنظیم می‌شوند با استفاده از ابزارهای عمومی و سفارشی مانند AdFind برای اجرای کوئری‌های اکتیو دایرکتوری؛ Grixba (یک اسکنر شبکه و رباینده اطلاعات است که برای شمارش کاربران و رایانه‌ها در یک شبکه هک شده استفاده می‌شود) با هدف شمارش اطلاعات شبکه؛ GMER، IOBit و PowerTool به منظور غیرفعال سازی نرم‌افزار آنتی‌ویروس و Grixba برای جمع آوری اطلاعات در مورد نرم افزار پشتیبان گیری و ابزارهای مدیریت از راه دور نصب شده بر روی دستگاه صورت می‌پذیرند.

عوامل تهدید همچنین در حال انجام حرکت جانبی و مراحل استخراج و رمزگذاری داده‌ و استقرار Cobalt Strike، SystemBC و Mimikatz به منظور انجام فعالیت‌های پس از بهره برداری مشاهده شدند.

طبق آماری که توسط Malwarebytes گردآوری شده است، گفته می‌شود که Play تنها در نوامبر ۲۰۲۳ نزدیک به ۴۰ قربانی به خود اختصاص داده است، اما به طور قابل‌توجهی از همتایان خود یعنی LockBit و BlackCat  (معروف به ALPHV و Noberus) عقب مانده است.

این هشدار چند روز پس از انتشار یک بولتن به‌روزرسانی‌ شده در مورد گروه Karakurt توسط سازمان‌های دولتی ایالات متحده منتشر گردید، گروهی که پس از دستیابی به دسترسی اولیه به شبکه‌ها از طریق فیشینگ، نقص های امنیتی شناخته شده، خرید گواهی‌های اعتبار لاگین به سرقت رفته و یا کارگزاران نفوذ (معروف به کارگزاران دسترسی اولیه)، از حملات مبتنی بر رمزگذاری به منظور اخاذی مضاعف اجتناب می‌کنند.

قربانیان Karakurt، رمزگذاری ماشین‌ها یا فایل‌های آسیب‌ دیده را گزارش نکرده‌اند؛ اما عوامل تهدید Karakurt مدعی هستند که داده‌ها را به سرقت بُرده‌اند و قربانیان را در صورت عدم پرداخت باج درخواستی تهدید به افشا و فروش داده ها کرده‌اند.

علاوه بر این، گفته می‌شود که یک گروه باج‌افزاری نوپای دیگر به نام NoEscape، با انجام یک کلاهبرداری، پرداخت‌های باج را به سرقت برده و صفحات وب و سایت‌های نشت داده گروه را بسته است و سایر گروه‌ها مانند LockBit را وادار به استخدام وابستگان سابق خود کرده است.

اینکه چشم انداز باج افزار به طور مداوم در حال تغییر و تحول است، جای تعجب نیست. این امر با همکاری باج‌افزارهای BianLian، White Rabbit و Mario در یک کمپین اخاذی مشترک که شرکت‌های خدمات مالی عمومی را هدف قرار می‌دهد، صورت می‌پذیرد.

این کمپین‌های باج‌افزاری مشارکتی که با چندین گروه در دارک وب همکاری می‌کنند، در آینده رایج‌تر خواهند شد. یکی دیگر از عواملی که ممکن است منجر به همکاری بیشتر شود، مداخلات مجریان قانون است که منجر به ایجاد شبکه‌های جدید جرائم سایبری می‌شوند. مشارکت‌کنندگان در این شبکه‌ها ممکن است در آینده نزدیک، تمایل بیشتری نسبت به همکاری با رقبا نشان دهند.

منابع