دفتر تحقیقات فدرال ایالاتمتحده (FBI) زنگ خطر را در مورد باج افزار BlackCat بهعنوان ransomware-as-a-service یا RaaS به صدا درآورده است، که در بازه مارس ۲۰۲۲ از زمان ظهور آن تا نوامبر گذشته[۱]، حداقل ۶۰ نهاد در سراسر جهان را تحت تأثیر قرار داده است.
این باج افزار که ALPHV و Noberus نیز نامیده میشود[۲]، به دلیل اینکه اولین دژافزاری است که به زبان برنامهنویسی Rust نوشته شده است و بهعنوان ایمن در حافظه شناخته میشود و عملکرد بهبودیافتهای را ارائه میدهد، قابلتوجه است.
FBI در گزارشی[۳] [۳] که هفته گذشته منتشر شد گفت: “بسیاری از توسعهدهندگان و پولشوییهای BlackCat/ALPHV به DarkSide/BlackMatter مرتبط هستند[۴و۵]، که نشان میدهد آنها دارای شبکههای گسترده و تجربه عملیات با باجگیر افزارها هستند.”
این افشاگری چند هفته پس از گزارشهای دوگانه Cisco Talos و Kasperksy منتشر میشود[۶و۷] که پیوندهایی را بین خانوادههای باجگیر افزار BlackCat و BlackMatter کشف کردند، ازجمله استفاده از نسخه اصلاحشده ابزاری برای استخراج دادهها به نام Fendr که قبلاً فقط در فعالیتهای مرتبط با BlackMatter مشاهده شده بود.
AT&T Alien Labs در اوایل سال جاری خاطرنشان کرد[۸]: گذشته از مزایای توسعهای که Rust ارائه میدهد، مهاجمان از نسبت تشخیص پایینتر از ابزارهای تحلیل استاتیک نیز بهره میبرند، که معمولاً همه زبانهای برنامهنویسی با آن سازگار نیستند.
مانند سایر گروههای RaaS، روش عملیات BlackCat شامل سرقت دادههای قربانی قبل از اجرای باجگیر میشود، با این دژافزار اغلب از اعتبار کاربری در معرض خطر برای دستیابی به دسترسی اولیه به سیستم هدف استفاده میکند.
در یک حادثه باجگیر افزاری BlackCat که توسط آزمایشگاههای Vedere’s Forescout تجزیهوتحلیل شد[۹]، به یک فایروال SonicWall در معرض اینترنت برای دسترسی اولیه به شبکه، قبل از انتقال به مزرعه مجازی VMware ESXi و رمزگذاری آن نفوذ شد. گفته میشود که استقرار این باجگیر افزار در ۱۷ مارس ۲۰۲۲ انجام شده است.
این آژانس مجری قانون، علاوه بر توصیه به قربانیان برای گزارش فوری حوادث باجگیر افزاری، همچنین گفت که به هیچ عنوان پرداخت باج را تشویق نمیکند، زیرا هیچ تضمینی وجود ندارد که بازیابی فایلهای رمزگذاری شده را ممکن کند. اما تصدیق کرد که قربانیان ممکن است مجبور شوند به چنین خواستههایی برای محافظت از سهامداران، کارمندان و مشتریان توجه کنند.
بهعنوان توصیه، FBI از سازمانها میخواهد که کنترلکنندههای دامنه، سرورها، workstation ها وactive directory ها را برای حسابهای کاربری جدید یا ناشناس را بررسی کنند، پشتیبانگیری آفلاین داشته باشند، بخشبندی شبکه را پیادهسازی کنند، بهروزرسانیهای نرمافزاری را اعمال کنند و حسابها را با احراز هویت چندعاملی ایمن کنند.
منابع
[۱] https://apa.aut.ac.ir/?p=8512
[۲] https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/noberus-blackcat-alphv-rust-ransomware
[۳] https://www.cisa.gov/uscert/ncas/current-activity/2022/04/22/fbi-releases-iocs-associated-blackcatalphv-ransomware
[۴] https://thehackernews.com/2021/11/us-offers-10-million-reward-for.html
[۵] https://thehackernews.com/2021/11/blackmatter-ransomware-reportedly.html
[۶] https://thehackernews.com/2022/03/experts-find-some-affiliates-of.html
[۷] https://thehackernews.com/2022/04/researchers-connect-blackcat-ransomware.html
[۸] https://cybersecurity.att.com/blogs/labs-research/blackcat-ransomware
[۹] https://www.forescout.com/blog/alphv-breaking-down-the-complexity-of-the-most-sophisticated-ransomware
[۱۰] https://thehackernews.com/2022/04/fbi-warns-of-blackcat-ransomware-that.html
ثبت ديدگاه