تیم واکنش به رخداد Arete، از ماه مِی 2023، به چندین حمله باج افزار BlackSuit علیه سازمانها در بخشهای مراقبتهای بهداشتی، خدمات مالی، رفهای، عمومی، تولید، سرگرمی و خرده فروشی پاسخ داده است.
اخیرا گزارش تازهای رسیده است که نشان میدهد BlackSuit در حمله به شرکت Young Consulting، اطلاعات حدود یک میلیون مشتری را به سرقت برده است!!!
Young Consulting (یا Connexure) یک شرکت ارائه دهنده راهحلهای نرم افزاری مستقر در آتلانتا است که متخصص و فعال در بازار کمک به شرکتهای بیمه، کارگزاران و مدیران شخص ثالث در مدیریت، بازاریابی، پذیرهنویسی و مدیریت بیمهنامههای حد ضرر (استاپ لاس[1]) کارفرما میباشد.
جزئیات حمله باج افزار BlackSuit
Connexure از بیست و ششم آگوست ۲۰۲۴ شروع به ارسال اعلانهای هشدار در خصوص افشای اطلاعات به حدود یک میلیون کاربر خود کرده است که اطلاعات آنها در حمله باج افزار BlackSuit در دهم آوریل 2024 فاش شده است.
Connexure سه روز پس از آن که هکرها، رمزگذاری سیستمهای این شرکت را آغاز کردند، متوجه حمله شد. تحقیقات اولیه Connexure در 28 ژوئن به پایان رسید و حاکی از آن بود که اطلاعاتی همچون نام و نام خانوادگی، شماره تامین اجتماعی (SSN)، تاریخ تولد، و اطلاعات بیمه مشتریان این شرکت هک شده است.
Connexure در اقدامی به عنوان جبران این رخداد امنیتی به کاربرانی که اطلاعات آنها فاش شده است، اعلام کرد که میتوانند از سرویس مانیتورینگ اعتباری[2] این شرکت با دسترسی رایگان ۱۲ ماهه از طریق Cyberscout استفاده کنند و آنها تا پایان نوامبر ۲۰۲۴ فرصت دارند که این سرویس را درخواست نمایند.
افرادی که تحت تأثیر این حمله قرار گرفتهاند میبایست فوراً از این سرویس استفاده کنند چرا که BlackSuit قبلاً دادههای ربوده شده را در پورتال اخاذی دارک نت خود منتشر کرده است.
این قربانیان همچنین باید مراقب ارتباطات ناخواسته، پیامهای فیشینگ، تلاشهای کلاهبرداری و درخواست اطلاعات اضافی از سوی دیگران باشند.
BlackSuit ادعا کرده است که اطلاعات بسیار بیشتری نسبت به آنچه که Young Consulting اعلام کرده، ربوده است. این اطلاعات به گفته این گروه باج افزاری شامل قراردادهای تجاری، تماسها، ارائهها، گذرنامه کارکنان، قراردادها، مخاطبین، اطلاعات خانوادگی، معاینات پزشکی، ممیزیهای مالی، گزارش پرداختها و محتوای موجود در پوشههای شخصی و به اشتراک گذاشته شده در شبکه میشوند.
فعالیتهای BlackSuit در سال جاری خسارت مالی زیادی به سازمانهای آمریکایی وارد کرده است که مهمترین آنها قطع CDK Global میباشد.
CISA و FBI در اوایل ماه آگوست، گزارش دادند که BlackSuit یک باجافزار Royal است و در دو سال گذشته بیش از 500 میلیون دلار باج درخواست کرده است!!
چگونه از حملات باج افزاری جلوگیری کنیم؟
بهترین راهکارها بطور خلاصه به شرح زیر میباشند:
- مسدود نمودن شکلهای رایج ورود، ایجاد طرحی برای وصله سریع و به موقع آسیب پذیریها در سیستمهای متصل به اینترنت و همچنین غیرفعال یا سخت کردن ایجاد دسترسی از راه دور توسط پروتکلهایی مانند RDP و VPN بسیار ضروری و حائز اهمیت میباشند.
- بهره گیری از نرم افزار امنیت endpoint میتواند در شناسایی بدافزارها کمک شایانی داشته باشد.
- تشخیص نفوذ با بخشبندی شبکهها و تخصیص حقوق دسترسی محتاطانه، کار مهاجمان وبدافزارها را در داخل سازمان دشوار خواهد کرد. از این رو بهتر است از EDR یا MDR به منظور تشخیص فعالیتهای غیرعادی پیش از وقوع حمله استفاده نمود.
- متوقف ساختن رمزگذاریهای مخرب، یکی دیگر از راهکارهای پیشنهادی است. نرمافزارهای MDR و EDR از چندین تکنیک تشخیص مختلف برای شناسایی باج افزار و بازگشت باج افزار به منظور بازیابی فایلهای سیستم آسیب دیده استفاده میکنند.
- پشتیبان گیری (BackUp) دورهای و منظم از جمله توصیههای امنیتی است. فایلهای پشتیبانگیری شده بایستی خارج از سایت و بصورت آفلاین، دور از دسترس مهاجمان نگهداری شوند.
- پس از شناسایی اولین نشانههای حمله میبایست نسبت به متوقف ساختن آن اقدام کرد و هر اثری از مهاجمان، بدافزارها، ابزارها و روشهای ورود آنها را حذف نمود تا حمله مجدد صورت نگیرد.
[1] stop-loss
[2] Credit Monitoring
