بررسی وضعیت باج افزار در سپتامبر ۲۰۲۴

چشم انداز باج افزار، ماهیت پویا و در حال تغییر آن را نشان می‌دهد. نتایج تحقیقات در خصوص داده‌های باج ‌افزار حاکی از آن است که اقدامات مجریان قانون علیه LockBit  (عملیات کرونوس) و توقیف این گروه و گروه ALPHV، تا چه اندازه حملات باج ‌افزارها را متزلزل کرده است.

 Threatdownدر ماه سپتامبر، در مجموع 370 مورد قربانی باج‌ افزار را به ثبت رسانده است که این رقم، کمترین تعداد قربانی از ابتدای سال ۲۰۲۴ می‌باشد. این تعداد در ماه آگوست، ۴۴۲ مورد بوده است.

مهمترین اخبار این ماه شامل باج‌افزارهایی است که از ابزارهای جدید برای استخراج و سرقت داده‌ استفاده می‌کنند و همچنین انجام حمله باج افزاری در محیط‌های ابر هیبریدی یا hybrid cloud و افزایش 63 درصدی حملات گروه‌های باج ‌افزاری جدید در هر سال می‌باشد.

تحقیقات اخیر توسط modePUSH نشان داد که BianLian و Rhysida از ابزارهای جدیدی برای استخراج داده‌ها استفاده می‌کنند. این دو گروه به طور خاص از Azure Storage Explorer و AzCopy برای سرقت داده‌های حساس با انتقال حجم زیادی از فایل‌ها به فضای ذخیره سازی ابری استفاده می‌کنند.

گروه‌های باج افزار به طور معمول برای استخراج داده‌‌ها به ابزارهایی مانند MEGAsync، Rclone و FileZilla متکی هستند. با این حال، چیزی که Azure Storage Explorer را متفاوت می‌کند، این است که یک ابزار بومی مایکروسافت می‌باشد که برای مدیریت فضای ذخیره ساز Azure طراحی شده است.

از آنجایی که بسیاری از سازمان‌ها به طور قانونی از سرویس‌های Azure استفاده می‌کنند، کنترل‌های امنیتی شبکه ممکن است در اجازه دادن به ترافیک خروجی به آدرس‌های IP مورد اطمینان مایکروسافت، سختگیری خود را کنار بگذارند.

این یک چالش منحصر به فرد برای مدیران شبکه و امنیت به شمار می‌آید. مسدود کردن ابزارهایی مانند Azure Storage Explorer یا AzCopy می‌تواند وظایف قانونی مدیریت ابر را نیز مختل سازد، چرا که بسیاری از کسب و کارها برای عملیات روزانه خود به این ابزارها متکی هستند.

چنانچه نمی‌توانید آن‌ها را کاملاً ممنوع کنید، روی نظارت بر ترافیک شبکه به آدرس‌های IP Azure برای انتقال‌های مشکوک تمرکز نمایید.

مایکروسافت اخیرا شاهد تهدید کننده‌ای به نام Storm-0501 بوده است که توسط باج افزار Embargo، یک حمله چند مرحله‌ای را با نفوذ به محیط‌های ابر هیبریدی به انجام رسانده است.

این حمله با سوء استفاده از گواهی‌های اعتبار Microsoft Entra ID ربوده شده (Azure AD) صورت گرفته است. هکرها این کار را با نفوذ به سرورهای داخلی، به‌ ویژه Microsoft Entra Connect Sync که سیستم‌های درون سازمانی (on-premises) را با همگام‌سازی گواهی اعتبار کاربر به ابر پیوند می‌دهد، آغاز کردند.

از این رو، هکرها توانستند با استفاده از همان رمزهای عبور ربوده شده، به طور یکپارچه بین محیط داخلی و فضای ابری حرکت کنند.

Storm-0501 از Impacket یک toolkit  منبع باز که معمولاً در تست نفوذ به کار می‌رود، استفاده کرده است. هکرها معمولا از این ابزار به منظور سرقت گواهی‌های اعتبار و حرکت جانبی در شبکه از آن استفاده می‌کنند.

Storm-0501 نیز از Impacket برای سرقت کلیدهای رمزگذاری DPAPI (Data Protection API) استفاده کرده است. هکرها توسط این کلیدها، توانستند رمزهای عبور را بصورت ClearText از سرور استخراج کنند و کنترل Microsoft Entra Connect Sync و هر دو محیط داخلی و ابری را به دست آورند.

گروه Storm-0501 همیشه باج‌ افزار را فوراً بر روی سیستم قربانی راه اندازی نمی‌کند و در این حمله نیز در خصوص باج ‌افزار Embargo همین کار را انجام داده است. آنها در برخی موارد، تنها یک بکدور ایجاد می‌کنند تا کنترل طولانی مدتی را بر روی شبکه قربانی بدست آورند.

از سوی دیگر، از اکتبر 2023 تا سپتامبر 2024، تعداد کل حملات گروه‌های باج افزاری جدید، افزایش 63 درصدی داشته است. در حالی که طی همین بازه زمانی، مجموع حملات انجام شده از سوی گروه‌ باج افزاری شناخته شده (همچون LockBit، RansomHub، PLAY، Hunters International، BlackCat (ALPHV) و  Akira) تا 6 درصد کاهش یافته است.

در نیمه اول این دوره یعنی از اکتبر ۲۰۲۳ تا مارس ۲۰۲۴، سهم کل حملات باج ‌افزاری توسط گروه‌‌های جدید، بیست درصد بوده است، در حالی سهم گروه‌های باج افزاری برتر و شناخته شده، 80 درصد می‌باشد. در نیمه دوم نیز یعنی از مارس ۲۰۲۳ تا سپتامبر ۲۰۲۴، سهم کل حملات توسط باج‌ افزارهای جدید، به 30 درصد افزایش یافته است و سهم گروه‌های باج افزاری برتر و شناخته شده به ۷۰ درصد کاهش پیدا کرده است. به عبارت دیگر، سهم کل حملات باج افزاری انجام شده توسط گروه‌های جدید، هر ماه در حال افزایش می‌باشد.