باج افزار Rhysida و هشدار CISA و FBI در خصوص حملات اخاذی مضاعف آن

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و دفتر تحقیقات فدرال (FBI)، پانزدهم نوامبر ۲۰۲۳ در گزارشی اعلام کردند که عوامل تهدید پشت باج افزار Rhysida طی حملات فرصت طلبانه، سازمان‌های بخش‌های دولتی، آموزش، تولید و فناوری اطلاعات را مورد هدف قرار داده‌اند.

Rhysida، یک گروه باج‌افزاری است که برای اولین بار در ماه مِی ۲۰۲۳ ظاهر شد و پس از نفوذ به ارتش شیلی (Ejército de Chile)، استفاده از تاکتیک اخاذی مضاعف و افشای اطلاعات ربوده شده به‌ صورت آنلاین، شهرت یافت.

عوامل Rhysida در قالب مدل باج‌ افزار به‌ عنوان یک سرویس (RaaS)، فعالیت می‌کنند و هر باج پرداختی بین گروه و شرکت‌های وابسته تقسیم می‌شود. تاکتیک اخاذی مضاعف به این صورت است که مهاجم، علاوه بر رمزگذاری، داده‌های حساس قربانی را استخراج کرده و برای رمزگشایی داده ها و عدم انتشار آنها بصورت عمومی باج درخواست می‌کند.

مهاجمان Rhysida همچنین از هک سرویس ‌های راه دور خارجی (مانند VPN که به کاربران سازمانی امکان دسترسی به دارایی‌های شرکت از مکان‌های خارج از سازمان را می‌دهند) با استفاده از گواهی ‌های اعتبار ربوده شده، آسیب‌پذیری Zerologon (CVE-2020-1472) و کمپین‌های فیشینگ برای ایجاد دسترسی اولیه و تداوم آن در شبکه‌های قربانیان استفاده می‌کنند.

البته باید اذعان داشت که این سوء استفاده زمانی امکان پذیر است که سازمان هدف، احراز هویت چند عاملی (MFA) را به طور پیش فرض در محیط خود فعال نکرده باشد.

همچنین گفته می‌شود که Rhysida به دلیل الگوهای هدف‌گیری مشابه و استفاده از NTDSUtil و PortStarter، با یک گروه باج ‌افزار دیگر به نام Vice Society  (معروف به Storm-0832 یا Vanilla Tempest) همپوشانی دارد. کالین کاوی و مورگان دمبوسکی، محققان Sophos اظهار داشتند که سایت نشت داده‌ گروه باج ‌افزار Vice Society از جولای ۲۰۲۳ هیچ قربانی را منتشر نکرده است، یعنی تقریباً از زمانی که Rhysida شروع به گزارش قربانیان در سایت خود کرده است.

طبق آماری که توسط Malwarebytes گردآوری شده است، Rhysida پنج قربانی را در ماه اکتبر ۲۰۲۳ به خود اختصاص داده و پس از گروه‌های باج افزاری LockBit (۶۴ قربانی)، NoEscape  (۴۰ قربانی)، PLAY  (۳۶ قربانی)، ALPHV/BlackCat (۲۹ قربانی) و 8BASE (۲۱ قربانی) قرار می‌گیرد.

این توسعه در حالی صورت می‌پذیرد که باج‌افزار BlackCat با استفاده از تبلیغات گوگل به همراه بدافزار Nitrogen  (نیتروژن)، به شرکت‌ها و نهادهای عمومی حمله می‌کند. نصب‌کننده ‌های مخرب که به Nitrogen مجهز شده‌اند، در واقع یک بدافزار دسترسی اولیه می‌باشند که می‌توانند پیلودهای مرحله بعد را در یک شبکه تحت نفوذ، مستقر کنند. GootLoader، SocGholish، BATLOADER و Nitrogen نمونه‌های شناخته شده بدافزار دسترسی اولیه مرتبط با باج‌ افزار هستند که از حملات مبتنی بر مرورگر استفاده می‌کنند.

ماهیت همیشه در حال تحول چشم‌انداز باج ‌افزار با این واقعیت نشان داده می‌شود که ۲۹ گروه از ۶۰ گروه باج‌افزاری که در حال حاضر فعال هستند، امسال (۲۰۲۳) فعالیت خود را آغاز کرده‌اند.

متخصصان امنیت توصیه می‌کنند که از مکانیزم‌های دفاعی به منظور به حداقل رساندن احتمال و شدت رویدادهای باج‌افزاری مانند Rhysida در شبکه استفاده شود. اولویت‌بندی آسیب‌پذیری‌های تحت بهره‌برداری فعال، استفاده از مکانیزم احراز هویت چند عاملی در همه سرویس‌ها (به ویژه در ایمیل، VPN و حساب‌های سیستم‌های حیاتی)، و بهره گیری از تقسیم‌ بندی شبکه برای جلوگیری از تلاش‌های حرکت جانبی، بسیار حائز اهمیت می‌باشد.

منابع