حمله باج افزار Black Basta به بیش از ۵۰۰ نهاد در سراسر آمریکای شمالی، اروپا و استرالیا

گروه باج افزار Black Basta، از زمان پیدایش آن در آوریل 2022، بیش از 500 صنعت خصوصی و نهاد زیرساخت حیاتی را در آمریکای شمالی، اروپا و استرالیا مورد هدف قرار داده است.

شرکت‌های وابسته به باج افزار Black Basta از تکنیک‌های مشترک دسترسی اولیه مانند فیشینگ و اکسپلویت آسیب‌ پذیری‌های شناخته‌ شده و سپس اخاذی مضاعف (رمزگذاری و استخراج داده) استفاده می‌کنند.

برخلاف سایر گروه‌های باج‌ افزار، یادداشت‌های اخاذی که در پایان حمله بر روی سیستم قربانی قرار داده می‌شوند، حاوی درخواست باج اولیه یا دستورالعمل‌های پرداخت نیستند. یادداشت‌ها یک کد منحصربه‌فرد به قربانیان ارائه می‌دهند و به آنها اعلام می‌کنند تا از طریق onion با گروه تماس حاصل نمایند.

آمارهای جمع آوری شده توسط Malwarebytes نشان می‌دهد که این گروه با 28 مورد از 373 حمله باج افزاری در ماه آوریل 2024، مرتبط می‌باشد. طبق گفته کسپرسکی، این گروه دوازدهمین خانواده فعال در سال 2023 است. فعالیت‌های Black Basta در سه ماهه اول 2024، حدود ۴۱ درصد افزایش یافته است.

برخی شواهد حاکی از آن است که اپراتورهای Black Basta با یک گروه جرایم سایبری دیگر به نام FIN7 مرتبط می‌باشند. این گروه از سال 2020 به انجام حملات باج ‌افزاری روی آورده است.

زنجیره حمله شامل به کارگیری باج ‌افزار با اتکا به ابزارهایی مانند beaconهای Cobalt Strike، اسکنر شبکه SoftPerfect، ابزار خط فرمان BITSAdmin، ابزار PsExec (برای حرکت جانبی در شبکه) و Mimikatz (برای افزایش سطح دسترسی) و RClone  (برای استخراج داده ها پیش از رمزگذاری آنها) و ConnectWise ScreenConnect است.

روش‌های دیگری نیز مانند سوء استفاده از نقص‌های امنیتی همچون ZeroLogon (CVE-2020-1472)، PrintNightmare (CVE-2021-34527) و NoPac (CVE-2021-42278 و CVE-2021-42287) به منظور افزایش سطح دسترسی مورد استفاده واقع می‌شوند.

نمونه‌های انتخابی همچنین مستلزم استقرار ابزاری به نام Backstab برای غیرفعال سازی نرم‌ افزار تشخیص و پاسخ endpoint (EDR) می‌باشند. شایان ذکر است که Backstab در گذشته توسط شرکت های وابسته به LockBit مورد استفاده قرار گرفته است.

مرحله آخر، رمزگذاری فایل ها با استفاده از الگوریتم ChaCha20 توسط کلید عمومی RSA-4096 می‌باشد.

سازمان‌های مراقبت‌های بهداشتی به دلیل اندازه آنها، وابستگی فناوری، دسترسی به اطلاعات سلامت شخصی و تأثیرات ناشی از ایجاد اختلال در مراقبت از بیمار، اهداف جذابی برای مهاجمان سایبری به شمار می‌آیند.

چشم انداز باج افزار در حالت نوسانی قرار دارد و در سه ماهه اول 2024، کاهش 18 درصدی را در فعالیت ها نسبت به سه ماهه قبل ثبت کرده است که عمدتاً به دلیل اجرای عملیات قانونی علیه ALPHV  (معروف به BlackCat) و LockBit می‌باشد.

برخی از گروه‌های باج ‌افزاری جدید مانند APT73، DoNex، DragonForce، Hunt ، KageNoHitobito، Megazord، Qiulong، Rincrypt و Shinra در هفته‌های اخیر ظاهر شده‌اند.

“تنوع” گونه‌های باج ‌افزاری و “توانایی آنها در تطبیق سریع و تغییر نام تجاری در مواجهه با شرایط بحرانی”، ماهیت پویا و انعطاف‌پذیر عوامل تهدید در اکوسیستم باج‌ افزار را در سال 2023 نشان می‌دهد.

به گفته Coveware، تعداد قربانیانی که پرداخت باج را انتخاب کرده‌اند در سه‌ماهه اول ۲۰۲۴ به پایین‌ترین حد خود یعنی ۲۸ درصد رسیده است. میانگین پرداخت باج برای این دوره زمانی به ۳۸۱,۹۸۰ دلار رسیده است که ۳۲ درصد کاهش را نسبت به سه ماهه چهارم ۲۰۲۳ نشان می‌دهد.

بر اساس گزارش “وضعیت باج افزار در سال ۲۰۲۴” شرکت Sophos که اواخر ماه گذشته منتشر شد، 5000 سازمان در سراسر جهان مورد بررسی قرار گرفتند و تعداد قابل توجهی از قربانیان از پرداخت مبلغ اولیه باج درخواستی خودداری کرده‌اند. این در حالی است که میانگین باج پرداخت شده در سال گذشته از چهارصد هزا دلار به دو میلیون دلار افزایش یافته است (یعنی افزایش ۵ برابری).

حملات باج افزاری همچنان یک تهدید مهم و در حال تحول در حوزه امنیت سایبری به شمار می‌آیند. افراد و سازمان‌ها می‌بایست به منظور کاهش خطر این قبیل حملات، اقدامات امنیت سایبری را در اولویت قرار دهند؛ اقداماتی چون:

• استفاده از راه حل های امنیتی قوی با پیکربندی مناسب
• استفاده از سرویس شناسایی و پاسخ مدیریت شده (MDR) برای جستجوی فعالانه تهدیدات
• غیرفعال سازی سرویس ها و پورت های غیرضروری به منظور به حداقل رساندن سطح حمله
• به روزرسانی منظم تمامی سیستم ها و نرم افزارها
• پیاده سازی منظم و دوره‌ای تست‌های نفوذ و اسکن آسیب ‌پذیری برای شناسایی و رفع آسیب‌ پذیری‌ها
• ارائه آموزش جامع امنیت سایبری به کارمندان به منظور افزایش آگاهی آنها در خصوص تهدیدات سایبری و بهترین شیوه های مقابله با تهدیدات
• پشتیبان‌گیری منظم از داده‌های حیاتی و نگهداری آنها در سرور دیگر
• استفاده از اطلاعات تهدید رایانه‌ای یا هوش تهدید برای پیگیری آخرین TTPهای استفاده شده توسط گروه ها و تنظیم مکانیزم های تشخیص برای شناسایی آنها
• توجه ویژه‌ به هر نرم افزار “جدید” که بر روی سیستم های داخل شبکه اجرا و نصب می‌شوند (از جمله نرم افزارهای قانونی)

منابع