وضعیت باج افزار در ژوئن ۲۰۲۴

باج افزار در ژوئن 2024

این مقاله بر اساس تحقیقات Marcelo Rivero، متخصص باج ‌افزار شرکت Malwarebytes تهیه شده است که اطلاعات منتشر شده در دارک وب گروه‌های باج‌ افزار را رصد می‌کند. مقاله پیش رو، به بررسی وضعیت باج افزار در ژوئن ۲۰۲۴ پرداخته است. «حملات شناخته شده» در این گزارش به مواردی اطلاق می‌گردد که قربانی در آن هیچگونه باجی پرداخت نکرده است.

Malwarebytes در ماه ژوئن، مجموعا 358 قربانی حملات باج افزاری را به ثبت رساند. مهمترین حملات باج افزاری این ماه شامل حمله LockBit به فدرال رزرو، ظهور گروه‌ باج‌ افزاری «هشت نفرت ‌انگیز یا The Hateful Eight» و مجموعه‌ای از آسیب ‌پذیری‌هایی است که به تازگی مورد سوء استفاده قرار گرفته‌اند.

LockBit در ماه مِی، رکورد بی‌سابقه خود را در تعداد حملات باج افزاری به ثبت رساند اما در این ماه (ژوئن) تعداد قربانیانی که در سایت خود منتشر کرده است از همیشه کمتر می‌باشد که یکی از آنها ظاهراً فدرال رزرو ایالات متحده است.

باج افزار در ژوئن 2024
حملات باج افزاری انجام شده توسط گروه‌های مختلف در ماه ژوئن ۲۰۲۴
باج افزار در ژوئن 2024
حملات باج افزاری انجام شده علیه صنایع مختلف در ماه ژوئن ۲۰۲۴
باج افزار در ژوئن 2024
حملات باج افزاری انجام شده علیه کشورهای مختلف در ماه ژوئن ۲۰۲۴

 

گروه هشت نفرت انگیز – The Hateful Eight

در حالی که تقریباً هر گروه باج ‌افزاری برخی از شعبه‌های LockBit را در ماه‌های پس از عملیات Cronos به سرقت برده است، هشت گروه در ماه‌های پس از این واقعه رونق گرفته‌اند. علت آن را شاید بتوان به دلیل انتخاب وابستگان از هر دو گروه LockBit و گروه منحل ‌شده ALPHV دانست.

گروه هشت نفرت انگیز - The Hateful Eight
حملات گروه هشت نفرت انگیز با استفاده از باج افزارهای مختلف

 

حمله توسط آسیب پذیری‌های روز صفر

گروه‌های باج ‌افزاری در سال 2023 بیش از هر زمان دیگری از آسیب پذیری‌های روز صفر بهره برداری کردند و تا کنون در سال 2024 این میزان کاهش نیافته است.

به عنوان مثال، عملیات باج‌ افزار Black Basta در ماه گذشته مظنون به سوء استفاده از یک آسیب ‌پذیری افزایش سطح دسترسی در ویندوز (CVE-2024-26169) بود. این آسیب پذیری اندکی بعد پچ گردید. هکرها حتی بدون آسیب پذیری روز صفر، باز هم به اندازه کافی دارای سرعت و ابتکار عمل خوبی هستند.

به عنوان مثال، TellYouThePass کمتر از 48 ساعت پس از انتشار به ‌روزرسانی‌های امنیتی توسط توسعه دهندگان PHP، شروع به بهره‌ برداری از آسیب پذیری اخیراً اصلاح ‌شده CVE-2024-4577 کرد.

با توجه به اینکه گروه‌های باج ‌افزاری نه تنها استفاده خود از آسیب پذیری‌های روز صفر را افزایش می‌دهند، بلکه آسیب‌ پذیری‌های شناخته شده در فواصل زمانی مختلف را نیز مورد توجه قرار می‌دهند. از این رو، سازمان‌ها می‌بایست مکانیزم دفاعی خود را برای نظارت گسترده به منظور شناسایی و واکنش سریع نسبت به این نفوذها تقویت کنند.

 

حمله باج افزارهای Akira و LockBit

اخیراً یکی از کلاینت‌های ThreatDown MDR مورد حمله باج افزار Akira قرار گرفته است. این رخداد شامل تاکتیک‌های پیچیده نفوذ است که منجر به رمزگذاری داده‌ها و اختلال در عملیات این کلاینت شده است. جزئیات بیشتر این حمله را می‌توانید از اینجا بخوانید.

تیم ThreatDown MDR همچنین در ماه ژوئن، یک حمله باج ‌افزاری از سوی LockBit را در مراحل اولیه آن متوقف ساخت. LockBit در این حمله به طور گسترده از تکنیک‌های LOTL برای دور زدن مکانیزم امنیتی، حرکت جانبی در شبکه و تلاش برای تحویل پیلود به کلاینت ThreatDown MDR استفاده کرده بود.

باج افزار در ژوئن 2024
ThreatDown EDR حمله LockBit را با استفاده از PowerShell به کار گرفته شده، شناسایی کرد

باج افزارهای جدید

 

Cicada3301

Cicada3301 یک باج افزار جدید است که در ماه ژوئن، اطلاعات 4 قربانی را در سایت خود منتشر کرده است.

Cicada3301
سایت انتشار داده Cicada3301

SenSayQ

SenSayQ یک باج افزار جدید است که در ماه ژوئن، اطلاعات 2 قربانی را در سایت خود منتشر کرد.

SenSayQ
سایت انتشار داده SenSayQ

Trinity

Trinity یک باج افزار جدید است که در ماه ژوئن، اطلاعات 3 قربانی را در سایت خود منتشر کرد.

سایت انتشار داده Trinity

ElDorado

ElDorado یک باج افزار جدید است که اطلاعات 15 قربانی را در ماه ژوئن در سایت خود منتشر کرد. این یک باج افزار مبتنی بر Go است که می‌تواند هر دو سیستم عامل ویندوز و لینوکس، از جمله VMهایVMware ESXi را رمزگذاری کند.

 

چگونه از حملات باج افزاری جلوگیری کنیم

بهترین راهکارها بطور خلاصه به شرح زیر می‌باشند:

  • مسدود نمودن شکل‌های رایج ورود، ایجاد طرحی برای وصله سریع و به موقع آسیب ‌پذیری‌ها در سیستم‌های متصل به اینترنت و همچنین غیرفعال یا سخت کردن ایجاد دسترسی از راه دور توسط پروتکل‌هایی مانند RDP و VPN بسیار ضروری و حائز اهمیت می‌باشند.
  • بهره گیری از نرم افزار امنیت endpoint می‌تواند در شناسایی بدافزارها کمک شایانی داشته باشد.
  • تشخیص نفوذ با بخش‌بندی شبکه‌ها و تخصیص حقوق دسترسی محتاطانه، کار مهاجمان وبدافزارها را در داخل سازمان دشوار خواهد کرد. از این رو بهتر است از EDR یا MDR به منظور تشخیص فعالیت‌های غیرعادی پیش از وقوع حمله استفاده نمود.
  • متوقف ساختن رمزگذاری‌های مخرب، یکی دیگر از راهکارهای پیشنهادی است. نرم‌افزارهای MDR و EDR از چندین تکنیک تشخیص مختلف برای شناسایی باج ‌افزار و بازگشت باج ‌افزار به منظور بازیابی فایل‌های سیستم آسیب ‌دیده استفاده می‌کنند.
  • پشتیبان گیری (BackUp) دوره‌ای و منظم از جمله توصیه‌های امنیتی است. فایل‌های پشتیبان‌گیری شده بایستی خارج از سایت و بصورت آفلاین، دور از دسترس مهاجمان نگهداری شوند.
  • پس از شناسایی اولین نشانه‌های حمله می‌بایست نسبت به متوقف ساختن آن اقدام کرد و هر اثری از مهاجمان، بدافزارها، ابزارها و روش‌های ورود آنها را حذف نمود تا حمله مجدد صورت نگیرد.

 

منبع