ده گروه باج افزار فعال در سال ۲۰۲۴

در سال‌های اخیر، گروه‌های متعددی در حوزه باج ‌افزار فعالیت داشته‌اند که از جمله آن‌ها می‌توان به LockBit، BlackCat، Black Basta، Royal و Clop اشاره کرد. این گروه‌ها با استفاده از متدهای پیشرفته، حملات گسترده‌ای را علیه سازمان‌ها و افراد به انجام رساندند.

انتظار می‌رفت در سال ۲۰۲۴ با منحل شدن گروه‌های باج افزار ALPHV/BlackCat و اختلال در تشکیلات گروه LockBit نقطه عطفی در اکوسیستم باج افزار ایجاد شود. اما به دنبال این واقعه، فعالیت سایر گروه‌های باج‌افزار مانند Play و Akira افزایش یافت و از سوی دیگر، گروه‌های باج افزاری جدیدی پا به عرصه گذاشتند.

فعالیت باج افزار در ماه نوامبر به اوج خود رسید و تحلیلگران بیمه Corvus ادعا کردند که این ماه بیشترین تعداد قربانیان حملات باج افزاری را تجربه کره‌اند. اما منابع دیگر، مانند وب‌سایت ردیابی باج‌افزار Ransomware.live، معتقد است که بالاترین میزان قربانی باج افزار با ۹۰۷ مورد متعلق به جولای ۲۰۲۳ میباشد و این رکورد در سال ۲۰۲۴ شکسته نشده است.

شواهد حاکی از آن است که فعالیت چندین گروه باج افزار در سال ۲۰۲۴ بطور چشمگیری افزایش یافته است و این گروه‌ها از تاکتیک‌های مختلفی برای نفوذ به سازمان‌ها در بخش‌های مختلف استفاده کرده‌اند. ما در این مقاله به ۱۰ گروه باج ‌افزار فعال و حائز اهمیت‌ در این سال خواهیم پرداخت.

فعال‌ترین باج افزارهای سال ۲۰۲۴

Infosecurity، ده گروه باج افزار فعال در سال ۲۰۲۴ را با جمع آوری داده‌ها از چندین منبع، از جمله Ransomware.live، RansomLook، Corvus Insurance و Recorded Future، انتخاب کرده است. این گروه‌ها به شرح زیر می‌باشند:

RansomHub

نام‌های دیگر	تاریخ آغاز فعالیت	تعداد قربانیان ادعا شده در سال ۲۰۲۴	مجموع کل قربانیان ادعا شده
ندارد	فوریه ۲۰۲۴	۵۹۳	۵۹۳

کاربری به نام ‘koley’ در دوم فوریه ۲۰۲۴، یک برنامه وابسته به باج افزار جدید را تحت نام RansomHub در انجمن هک روسی زبان RAMP معرفی کرد. به گفته koley، باج افزار RansomHub به گونه ای طراحی شده است که می‌تواند طیف وسیعی از پلتفرم‌ها از جمله ویندوز، لینوکس و ESXi و همچنین معماری‌هایی مانند ARM و MIPS را مورد نفوذ قرار دهد.

این عملیات نسبتاً جدید باج ‌افزار به‌عنوان یک سرویس (RaaS)، از قربانیان در ازای فاش نشدن فایل و داده‌های ربوده شده، باج درخواست می‌کند و در صورت شکست مذاکرات، اسناد قربانیان را به بالاترین قیمت پیشنهادی در دارک وب به فروش می‌رساند.

RansomHub تا کنون قربانیان زیادی را در صنایع مختل مورد هدف قرار داده است. این گروه از ابتدای سال تاکنون، مسئولیت نفوذ به اتحادیه Patelco آمریکا، داروخانه زنجیره‌ای Rite Aid، خانه حراج کریستی، شرکت مخابراتی Frontier Communications ایالات متحده و غول خدمات نفتی هالیبرتون را بر عهده گرفته است.

Play

نام‌های دیگر	تاریخ آغاز فعالیت	تعداد قربانیان ادعا شده در سال ۲۰۲۴	مجموع کل قربانیان ادعا شده
PlayCrypt	ژوئن ۲۰۲۲	۳۶۲	۷۱۶

گروه باج افزار Play از ژوئن ۲۰۲۲ فعال می‌باشد و حملات خود را با نفوذ به نهادهای آمریکای لاتین آغاز کرده است. Play از آن زمان تاکنون فعالیت خود را گسترش داده و سازمان‌های مختلفی را در طیف وسیعی از کشورها مورد هدف قرار داده است.

مکانیزم ترجیحی این گروه برای به نفوذ به اهداف خود، اکسپلویت آسیب‌ پذیری‌ها خصوصا سوء استفاده از آسیب ‌پذیری‌های زنجیره تامین در نرم‌افزارهای رایج یا امنیتی مورد استفاده مانند Fortinet، Citrix و ESXi VMWare توسط بسیاری از سازمان‌ها می‌باشد.

گزارشی در جولای ۲۰۲۴ توسط Trend Micro منتشر شد که نشان می‌داد بین Play و Prolific Puma، گروهی که به تولید دامنه‌ها با استفاده از الگوریتم‌های تصادفی و ارائه سرویس کوتاه‌سازی لینک به مجرمان سایبری برای فرار از شناسایی معروف هستند، ارتباطی وجود دارد.

Akira

نام‌های دیگر	تاریخ آغاز فعالیت	تعداد قربانیان ادعا شده در سال ۲۰۲۴	مجموع کل قربانیان ادعا شده
ندارد	مارس ۲۰۲۳	۲۹۱	۴۵۴

گروه باج افزار Conti در فوریه ۲۰۲۳، به دنبال درگیری‌های داخلی بین اعضای طرفدار روسیه و اوکراین منحل شد. پس از این واقعه چندین شرکت وابسته و اعضای این گروه به سرعت به گروه‌های دیگری مانند Royal، BlackBasta و غیره پیوستند.

Akira یکی از این گروه‌ها است و احتمالاً بیش از هر گروه دیگری با زیرساخت‌های Conti ارتباط دارد. به گفته Qualys (یک شرکت ارائه‌دهنده امنیت سایبری)، Akira دارای همپوشانی کد با Conti و اپراتورهایی است که وجوه اخاذی شده را به آدرس‌های کیف پول وابسته به Conti انتقال میدهند.

پس از سقوط LockBit، شرکت RedSense ، Zeon را به عنوان یک گروه سابق وابسته بهConti معرفی کرد که مهارت های خود را به LockBit و Akira برون سپاری می‌کرد.

شرکت های وابسته به Akira با سایر عملیات باج افزاری مانند Snatch و BlackByte نیز فعالیت می‌کنند. طبق داده‌های بیمه Corvus، در نوامبر ۲۰۲۴، Akira فعالیت‌های خود را افزایش داد و تنها در آن ماه ۷۳ قربانی داشت.

Hunters International

نام‌های دیگر	تاریخ آغاز فعالیت	تعداد قربانیان ادعا شده در سال ۲۰۲۴	مجموع کل قربانیان ادعا شده
Hunters	اواخر سال ۲۰۲۳	۲۲۷	۲۵۲

در اواسط اکتبر ۲۰۲۳، چند روز پیش از حذف گروه باج ‌افزار Hive، کد منبع زیرساخت این گروه به همراه وب‌سایت و نسخه‌های قدیمی‌تر کد منبع فروخته شد. Hunters International ادعا کرد که این پکیج را خریداری کرده و آسیب ‌پذیری‌هایی را که در برخی موارد موجب جلوگیری از رمزگشایی فایل‌ها می‌شدند، برطرف کرده است. این گروه همچنین اعلام کرد که سرقت اطلاعات را نسبت به رمزگذاری فایل‌ها در اولویت قرار می‌دهد.

Medusa

نام‌های دیگر	تاریخ آغاز فعالیت	تعداد قربانیان ادعا شده در سال ۲۰۲۴	مجموع کل قربانیان ادعا شده
ندارد	اواخر سال ۲۰۲۲	۲۱۲	۳۵۷

Medusa در اواخر سال ۲۰۲۲ به‌عنوان یک پلتفرم باج ‌افزار به‌عنوان سرویس (RaaS) معرفی شد و در اوایل سال ۲۰۲۳ به شهرت رسید. این باج ‌افزار عمدتاً محیط‌های ویندوز را هدف قرار می‌دهد. گروه باج ‌افزاری Medusa از تکنیک‌های متعددی برای نفوذ به سیستم‌ها استفاده می‌کند، از جمله بهره‌برداری از سرویس‌های آسیب‌پذیر، ربودن حساب‌های قانونی و استفاده از آسیب‌پذیری‌های روز صفر. آن‌ها همچنین از تکنیک اخاذی مضاعف برای تحت فشار قرار دادن قربانیان استفاده می‌کنند.

Qilin

نام‌های دیگر	تاریخ آغاز فعالیت	تعداد قربانیان ادعا شده در سال ۲۰۲۴	مجموع کل قربانیان ادعا شده
Agenda	جولای ۲۰۲۲	۱۷۹	۲۳۰

سابقه فعالیت Qilin به جولای ۲۰۲۲ باز می‌گردد و به عنوان Agenda نیز شناخته می‌شود. گروه باج افزار Qilin در ماه آگوست از یک تاکتیک جدید برای نفوذ به اهداف خود استفاده کرد. این گروه، یک بدافزار رباینده سفارشی را برای سرقت اطلاعات حساب ذخیره شده در مرورگر گوگل کروم به کار گرفت.

Black Basta

نام‌های دیگر	تاریخ آغاز فعالیت	تعداد قربانیان ادعا شده در سال ۲۰۲۴	مجموع کل قربانیان ادعا شده
ندارد	آوریل ۲۰۲۲	۱۷۶	۵۰۷

گروه باج ‌افزاری Black Basta از آوریل ۲۰۲۲ فعالیت خود را آغاز کرده و تاکنون بیش از ۵۰۰ حمله موفق به سازمان‌ها در سراسر جهان انجام داده است. با توجه به شباهت‌های موجود در تکنیک‌های توسعه بدافزار، سایت‌های افشا شده و روش‌های مذاکره، پرداخت و بازیابی داده‌ها، گمان می‌رود اعضای اصلی Black Basta از گروه عامل تهدید Conti نشات گرفته باشند.

علاوه بر این، Black Basta دارای شباهت‌هایی در عمکرد با گروه تهدید FIN7می‌باشد. طبق داده‌های ReliaQuest، Black Basta دومین گروه باج ‌افزار فعال پس از LockBit در سه ماهه اول سال ۲۰۲۴ است.

BianLian

نام‌های دیگر	تاریخ آغاز فعالیت	تعداد قربانیان ادعا شده در سال ۲۰۲۴	مجموع کل قربانیان ادعا شده
ندارد	دسامبر ۲۰۲۱	۱۶۶	۵۱۸

BianLian که از اواخر سال ۲۰۲۱ فعالیت خود را آغاز کرده است، در درجه اول نهادهایی را در زمینه مراقبت‌های بهداشتی و تولید در اروپا و آمریکای شمالی هدف قرار می‌دهد. BianLian اخیراً از یک طرح اخاذی مضاعف به یک طرح اخاذی بدون رمزگذاری منتقل شده است.

این گروه به جای رمزگذاری دارایی‌های قربانیان خود قبل از سرقت داده‌ها و تهدید به انتشار آن در صورت عدم پرداخت باج، اکنون مستقیماً به سمت سرقت داده‌ها حرکت کرده است تا قربانیان را ملزم به پرداخت کند.

INC Ransom

نام‌های دیگر	تاریخ آغاز فعالیت	تعداد قربانیان ادعا شده در سال ۲۰۲۴	مجموع کل قربانیان ادعا شده
INC, Inc. Ransom, Lynx	جولای ۲۰۲۳	۱۶۲	۲۰۸

گروه باج‌افزاری INC Ransom یک تهدید سایبری است که در جولای ۲۰۲۳ به‌عنوان یک سرویس RaaS راه‌اندازی شد. این گروه به مهاجمان اجازه می‌دهد تا با استفاده از زیرساخت‌های آماده، حملات باج‌ افزاری خود را به انجام رسانند

به نظر می‌رسد این گروه محدودیتی در نهادهایی که هدف قرار می‌دهد، ندارد، و یکی از قربانیان اخیر آن بیمارستان کودکان در نزدیکی لیورپول، در بریتانیا است.

جالب است بدانید که رابط کاربری سایت انتشار داده INC شبیه به LockBit می‌باشد.
محققان Palo Alto Networks بر این باورند که Lynx، یک گروه باج ‌افزار جدید که در اکتبر ۲۰۲۴ ظاهر شد، یک نام تجاری مجدد از INC Ransom است.

BlackSuit

نام‌های دیگر	تاریخ آغاز فعالیت	تعداد قربانیان ادعا شده در سال ۲۰۲۴	مجموع کل قربانیان ادعا شده
Royal	آوریل و می ۲۰۲۳	۱۵۶	۱۷۵

اعتقاد بر این است که BlackSuit برای اولین بار در اوایل سال ۲۰۲۳ شناسایی شد و همان گروه باج افزار Royal می‌باشد که نام خود را به BlackSuit تغییر داده است. Royal، یکی از فعال ترین گروه‌های باج افزاری در سال ۲۰۲۲ می‌باشد.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) گزارش کردند که یکی از تاکتیک‌های Royal/BlackSuit ، استفاده از نرم افزارهای قانونی و ابزارهای منبع باز در طول عملیات باج افزار است.

سخن پایانی

همانطور که به پایان سال ۲۰۲۴ رسیدیم، به نظر می‎رسد چشم انداز باج افزار مانند همیشه پویا و غیرقابل پیش بینی باقی مانده است. در این سال شاهد آن بودیم که گروه‌هایی مانند ALPHV/BlackCat و LockBit همچنان پیشتاز باقی ماندند و گروه‌هایی نیز جای خود را به تازه واردان دادند.

انعطاف‌پذیری مدل باج‌ افزار به‌عنوان یک سرویس، تضمین می‌کند که حتی اقدامات قابل توجه اجرای قانون نیز تسکین موقتی را ارائه می‌دهد. از این رو، جامعه امنیت سایبری می‌بایست در سال ۲۰۲۵ هوشیارتر باشد. ظهور گروه‌های جدیدی مانند RansomHub و تغییر گروه‌ها در اکوسیستم باج‌ افزار نشان می‌دهد که نبرد علیه این تهدیدات سایبری هنوز به پایان نرسیده است. نوآوری مستمر در استراتژی‌های دفاعی و همکاری بین‌المللی در کاهش تأثیر باج ‌افزار در سال جدید بسیار مهم خواهد بود.

منبع

https://www.infosecurity-magazine.com/news-features/top-10-most-active-ransomware

مقالات پیشنهادی:

باج افزار جدید Ymir را بشناسید!

بررسی وضعیت باج افزار در سپتامبر ۲۰۲۴

نسخه جدید باج افزار Qilin به میدان آمد

بررسی تاکتیک‌های تکاملی باج افزار Black Basta در سال ۲۰۲۴

باج افزارهای LockBit 3.0 و Babuk در چنگال گروه Crypt Ghouls

نفوذ باج افزار Interlock به سرورهای FreeBSD و زیرساخت‌های حیاتی!