افزایش تنوع اکوسیستم باج‌افزارها در سال 2023

در سال 2022 شاهد تغییرات چشمگیری از جمله حرکت مهاجمان از قالب گروه‌های بزرگی که این حوزه را تحت اختیار داشتند، به سمت مدل ارائه باج‌افزار به صورت خدمات ([1]RaaS) در اکوسیستم باج‌افزارها بودیم. مدل RaaS انعطاف‌پذیری بیشتری را در اختیار هکرها قرار داده و توجه نهادهای قانونی را هم به خود جلب نمی‌کند. این دموکراتیزه شدن باج‌افزار منجر به ایجاد تاکتیک‌ها، تکنیک‌ها و روش‌های متنوع نفوذ، افزایش تعداد علائم نفوذی که باید تحت نظارت باشند و همچنین افزایش موانع و سختی‌های مذاکره با مهاجمان خواهد شد.

براساس گزارش محققان گروه Talos سیسکو: «از اواسط سال 2021 میلادی، پس از اجرای حمله باج‌افزاری به خط لوله Colonial و دستگیری اعضای گروه REvil توسط مقامات دولتی و همچنین پراکندگی سایر گروه‌های همکار با این گروه شاهد وقوع این تغییرات بودیم. در حال حاضر نیز مجرمان سایبری در حال تلاش مستمر جهت انطباق روش‌های خود با اقدامات نهادهای دولتی و بخش خصوصی هستند. بنابراین تهدیدات و درگیرهای داخلی رو به افزایش است. توسعه‌دهندگان و عوامل باج‌افزارها در بازار رقابتی کنونی دائماً رویکرد خود را تغییر می‌دهند تا پرسودترین روش را پیدا کنند».

گروه‌های باج‌افزاری بزرگ توجه زیادی به خود جلب می‌کنند

از سال 2019 تا کنون حوزه باج‌افزار معمولاً تحت تسلط گروه‌های حرفه‌ای و بزرگ بوده که دائماً خبرساز شده و سعی می‌کردند از توجه رسانه‌ها به نفع خودشان سوءاستفاده کنند. حتی سخنگوهای گروه‌های باج‌افزاری با خبرنگاران مصاحبه می‌کنند یا اخبارشان را در توییتر و داده‌های گردآوری شده از قربانیان را در سایت‌های نشت اطلاعات منتشر می‌کنند.

حمله گروه DarkSide به شرکت خط لوله Colonial در سال 2021 منجر به ایجاد اختلال وسیعی در تأمین سوخت ساحل شرقی آمریکا شد. جهت حفظ امنیت زیرساخت‌های حیاتی، دولت‌ها تلاش‌های زیادی را برای مقابله با این حملات انجام دادند. در نتیجه افزایش توجه دولت‌ها، مالکان گروه‌های سایبری زیرزمینی، در روابط خود با سایر گروه‌های باج‌افزاری تجدیدنظر کردند و حتی بعضی از انجمن‌ها، تبلیغ این تهدیدات را ممنوع اعلام کردند. سپس DarkSide هم عملیاتش را متوقف کرد و پس از آن سازندگان گروه REvil که بنام Sodinokibi هم شناخته می‌شود، متهم شناخته شده و دستگیر شدند. REvil از سال 2019 یکی از موفق‌ترین گروه‌های باج‌افزاری بود.

حمله روسیه به اوکراین در فوریه 2022 به سرعت باعث ایجاد تنش‌هایی در روابط بسیاری از گروه‌های باج‌افزاری شد چون اعضا و متحدان این گروه‌ها از این دو کشور یا کشورهای عضو اتحاد جماهیر شوروی سابق بودند. برخی گروه‌ها مثل Conti از همان ابتدا طرف یکی از دو کشورهای درگیر را گرفتند. اعضای این گروه اعلام کردند که در حمایت از روسیه به زیرساخت‌های غرب حمله می‌کنند. چنین اقدامی نوعی فاصله‌گیری از رویکرد غیرسیاسی و بیزنس محور گروه‌های باج‌افزاری بود و انتقادات زیادی هم از سمت سایر گروه‌ها به دنبال داشت.

مدتی بعد محتوای ارتباطات داخلی Conti فاش شد. در نتیجه بسیاری از اسرار عملیاتی این گروه افشا و باعث ایجاد اختلافاتی با گروه‌های همکار شد. پس از حمله بزرگی که بر علیه دولت کاستاریکا انجام شد، وزارت امور خارجه آمریکا برای هر گونه اطلاعاتی که منجر به شناسایی هویت یا محل رهبران گروه Conti شود، جایزه 10 میلیون دلاری تعیین کرد. براساس حدس کارشناسان امنیتی، همین اقدام آمریکا منجر به تصمیم این گروه برای تعطیلی عملیاتش در ماه می‌ شد.

با ناپدید شدن Conti فعالیت باج‌افزارها به مدت چند ماه کاهش یافت. البته این شرایط دوام زیادی نداشت. سایر گروه‌ها این خلأ را پر کردند؛ به ویژه گروه‌های نوپا که احتمالاً توسط اعضای سابق Conti، REvil و گروه‌های دیگری که در دو سال اخیر عملیات‌شان را تعطیل کرده بودند، شکل گرفته بودند.

گروه‌های باج‌افزاری فعال که باید در سال 2023 تحت نظر قرار بگیرند

• LockBit در این عرصه پیشگام است

پس از پاشیدن گروه Conti، LockBit با بازسازی طرح همکاری این گروه و راه‌اندازی یک نسخه جدید و پیشرفته‌تر از باج‌افزار خودش، مهم‌ترین گروهی است که وارد این حوزه می‌شود. این گروه فعالیت خود را از سال 2019 شروع کرده و در نسخه سوم خود در دنیای باج‌افزارها پیشگام شد.

بر مبنای گزارشات منتشر شده توسط شرکت‌های امنیتی، در سه ماهه سوم سال 2022، حوادث باج‌افزاری معمولاً توسط LockBit 3.0 اجرا شده و در طی کل سال هم، این گروه بیشترین تعداد قربانیان را در سایت افشای اطلاعات خود ثبت کرده است. ممکن است در سال جدید شاهد انتشار نسخه‌های جدیدی بر اساس این باج‌افزار باشیم چون یکی از توسعه‌دهندگان سابق این گروه کدهای بیلدر باج‌افزار LockBit را در اینترنت فاش کرده و حالا همه می‌توانند نسخه مخصوصی از آن ایجاد کنند. بنا به گفته محققان سیسکو: «در حملات اخیر یک گروه جدید به نام Bl00dy شروع به استفاده از سازنده LockBit 3.0 کرده است».

• Hive بیش از صد میلیون دلار اخاذی کرده است

این گروه در سال 2022 بیشترین آمار دریافت باج از قربانیان خود پس از LockBit را دریافت کرده است. Hive پس از باج‌افزارهای Conti و LockBit در فهرست پرونده‌های واکنش به حادثه پالو آلتو نتورکس رتبه سوم را دارد. بر اساس توصیه‌نامه مشترکی که توسط FBI، آژانس امنیت زیرساخت و امنیت سایبری آمریکا و وزارت بهداشت و خدمات انسانی آمریکا منتشر شده، این گروه موفق شده بین ژوئن 2021 و نوامبر 2022 از 1300 شرکت در سطح جهان، بیش از 100 میلیون دلار اخاذی کند.

براساس تحقیقات صورت گرفته توسط این نهادها، مهاجمان Hive شبکه‌های قربانیانی را که بدون پرداخت باج، موفق به بازیابی شبکه شده‌اند، دوباره آلوده می‌کنند؛ با Hive یا باج‌افزار دیگری.

• Black Basta نسخه‌ای از Conti

بنا به گفته محققان Talos: «سومین گروه باج‌افزاری مهم امسال، Black Basta بوده که از باج‌افزار ساخته شده بر اساس باج‌افزار Conti و تکنیک‌های مشابه گروه Conti استفاده می‌کند. این گروه عملیات خود را در ماه آوریل و مدت کوتاهی پس از فروپاشی گروه Conti شروع کرد و از همان ابتدا مجموعه ابزارهای خود را گسترش داد. Black Basta که برای توزیع بدافزار تروجان Qbot را بکار گرفته است، از آسیب‌پذیری PrintNightmare هم سوءاستفاده می‌کند.

همچنین این گروه یک ابزار رمزنگاری فایل برای سیستم‌عامل لینوکس معرفی کرد که معمولاً برای ماشین‌های مجازی ESXi شرکت وی‌ام‌ویر طراحی شده بود. این توسعه چند پلتفرمی، در باج‌افزارهایی مثل LockBit و Hive هم مشاهده شده که هر دو نسخه‌هایی مخصوص لینوکس دارند یا گروه ALPHV (بلک کت) که باج‌افزاری به زبان Rust با قابلیت اجرا روی سیستم‌عامل نوشته است. Golang یک زبان برنامه‌نویسی دیگر است که چند گروه باج‌افزاری کوچکتر مثل HelloKitty از آن استفاده می‌کنند.

• فعالیت باج‌افزار Royal شدت گرفته است

Royal که به تازگی ظهور کرده در ابتدا از باج‌افزارهای گروه‌های دیگر مثل BlackCat و Zeon استفاده می‌کرد اما پس از طراحی ابزار اختصاصی خود برای رمزنگاری فایل‌ها ک ظاهراً بر اساس باج‌افزار Conti طراحی شده، احتمال ارتباط آن با Conti وجود دارد. این باج‌افزار طی مدت زمان کوتاهی فعالیت‌های خود را  گسترش داد و تعداد قربانیانش حتی از LockBit هم بیشتر است. انتظار می‌رود که Royal یکی از مهم‌ترین تهدیدات باج‌افزاری سال 2023 شود.

• Vice Society بخش آموزش را هدف می‌گیرد

Royal تنها گروهی نیست که با موفقیت از باج‌افزارهای ساخته شده توسط گروه‌های دیگر استفاده می‌کند. یکی از این گروه‌ها Vice Society نام دارد که از نظر تعداد قربانیان ثبت شده در سایت خودش، رتبه چهارم را دارد. این گروه بیشتر سازمان‌های بخش آموزشی را هدف می‌گیرد و از انشعابات باج‌افزارهای شناخته شده‌ای مثل HelloKitty و Zeppelin بهره برداری می‌کند.

افزایش تعداد گروه‌های باج‌افزاری، چالشی برای هوش تهدید

محققان شرکت سیسکو می‌گویند: «به پایان رسیدن انحصارهای عظیم در دنیای باج‌افزارها چالش‌های جدیدی برای تحلیلگران هوش تهدید ایجاد کرده است». حداقل 8 گروه، 75 درصد از مطالب منتشر شده در سایت‌هایی که مورد بررسی قرار گرفتند را به خود اختصاص می‌دهند. ظهور گروه‌های جدید باعث سخت‌تر شدن شناسایی عوامل حمله می‌شود چون مهاجمان با مدل RaaS به گروه‌های مختلف خدمات ارائه می‌دهند.

برخی از گروه‌ها مثل LockBit طرح‌های اخاذی جدیدی مثل حمله محروم‌سازی از سرویس توزیع شده بر علیه قربانیانشان کرده و آنها را وادار به پرداخت باج می‌کنند. احتمال تداوم این روند در سال 2023 بسیار زیاد است و مهاجمان پس از شناسایی قربانیان و پیش از پیاده‌سازی حمله باج‌افزار نهایی، روش‌های اخاذی جدیدی را اجرا می‌کنند. فعالیت‌های محققان سیسکو در زمینه حوادث باج‌افزاری، مربوط به مرحله پیش از حمله بوده است. بنابراین شرکت‌ها از توانایی‌های بیشتری در زمینه تشخیص تاکتیک‌ها و روش‌های پیش از حمله باج‌افزاری نسبت به گذشته برخوردار هستند­.

[1] ransomware-as-a-service