افزایش تنوع اکوسیستم باجافزارها در سال 2023

در سال 2022 شاهد تغییرات چشمگیری از جمله حرکت مهاجمان از قالب گروههای بزرگی که این حوزه را تحت اختیار داشتند، به سمت مدل ارائه باجافزار به صورت خدمات ([1]RaaS) در اکوسیستم باجافزارها بودیم. مدل RaaS انعطافپذیری بیشتری را در اختیار هکرها قرار داده و توجه نهادهای قانونی را هم به خود جلب نمیکند. این دموکراتیزه شدن باجافزار منجر به ایجاد تاکتیکها، تکنیکها و روشهای متنوع نفوذ، افزایش تعداد علائم نفوذی که باید تحت نظارت باشند و همچنین افزایش موانع و سختیهای مذاکره با مهاجمان خواهد شد.
براساس گزارش محققان گروه Talos سیسکو: «از اواسط سال 2021 میلادی، پس از اجرای حمله باجافزاری به خط لوله Colonial و دستگیری اعضای گروه REvil توسط مقامات دولتی و همچنین پراکندگی سایر گروههای همکار با این گروه شاهد وقوع این تغییرات بودیم. در حال حاضر نیز مجرمان سایبری در حال تلاش مستمر جهت انطباق روشهای خود با اقدامات نهادهای دولتی و بخش خصوصی هستند. بنابراین تهدیدات و درگیرهای داخلی رو به افزایش است. توسعهدهندگان و عوامل باجافزارها در بازار رقابتی کنونی دائماً رویکرد خود را تغییر میدهند تا پرسودترین روش را پیدا کنند».
گروههای باجافزاری بزرگ توجه زیادی به خود جلب میکنند
از سال 2019 تا کنون حوزه باجافزار معمولاً تحت تسلط گروههای حرفهای و بزرگ بوده که دائماً خبرساز شده و سعی میکردند از توجه رسانهها به نفع خودشان سوءاستفاده کنند. حتی سخنگوهای گروههای باجافزاری با خبرنگاران مصاحبه میکنند یا اخبارشان را در توییتر و دادههای گردآوری شده از قربانیان را در سایتهای نشت اطلاعات منتشر میکنند.
حمله گروه DarkSide به شرکت خط لوله Colonial در سال 2021 منجر به ایجاد اختلال وسیعی در تأمین سوخت ساحل شرقی آمریکا شد. جهت حفظ امنیت زیرساختهای حیاتی، دولتها تلاشهای زیادی را برای مقابله با این حملات انجام دادند. در نتیجه افزایش توجه دولتها، مالکان گروههای سایبری زیرزمینی، در روابط خود با سایر گروههای باجافزاری تجدیدنظر کردند و حتی بعضی از انجمنها، تبلیغ این تهدیدات را ممنوع اعلام کردند. سپس DarkSide هم عملیاتش را متوقف کرد و پس از آن سازندگان گروه REvil که بنام Sodinokibi هم شناخته میشود، متهم شناخته شده و دستگیر شدند. REvil از سال 2019 یکی از موفقترین گروههای باجافزاری بود.
حمله روسیه به اوکراین در فوریه 2022 به سرعت باعث ایجاد تنشهایی در روابط بسیاری از گروههای باجافزاری شد چون اعضا و متحدان این گروهها از این دو کشور یا کشورهای عضو اتحاد جماهیر شوروی سابق بودند. برخی گروهها مثل Conti از همان ابتدا طرف یکی از دو کشورهای درگیر را گرفتند. اعضای این گروه اعلام کردند که در حمایت از روسیه به زیرساختهای غرب حمله میکنند. چنین اقدامی نوعی فاصلهگیری از رویکرد غیرسیاسی و بیزنس محور گروههای باجافزاری بود و انتقادات زیادی هم از سمت سایر گروهها به دنبال داشت.
مدتی بعد محتوای ارتباطات داخلی Conti فاش شد. در نتیجه بسیاری از اسرار عملیاتی این گروه افشا و باعث ایجاد اختلافاتی با گروههای همکار شد. پس از حمله بزرگی که بر علیه دولت کاستاریکا انجام شد، وزارت امور خارجه آمریکا برای هر گونه اطلاعاتی که منجر به شناسایی هویت یا محل رهبران گروه Conti شود، جایزه 10 میلیون دلاری تعیین کرد. براساس حدس کارشناسان امنیتی، همین اقدام آمریکا منجر به تصمیم این گروه برای تعطیلی عملیاتش در ماه می شد.
با ناپدید شدن Conti فعالیت باجافزارها به مدت چند ماه کاهش یافت. البته این شرایط دوام زیادی نداشت. سایر گروهها این خلأ را پر کردند؛ به ویژه گروههای نوپا که احتمالاً توسط اعضای سابق Conti، REvil و گروههای دیگری که در دو سال اخیر عملیاتشان را تعطیل کرده بودند، شکل گرفته بودند.
گروههای باجافزاری فعال که باید در سال 2023 تحت نظر قرار بگیرند
- LockBit در این عرصه پیشگام است
پس از پاشیدن گروه Conti، LockBit با بازسازی طرح همکاری این گروه و راهاندازی یک نسخه جدید و پیشرفتهتر از باجافزار خودش، مهمترین گروهی است که وارد این حوزه میشود. این گروه فعالیت خود را از سال 2019 شروع کرده و در نسخه سوم خود در دنیای باجافزارها پیشگام شد.
بر مبنای گزارشات منتشر شده توسط شرکتهای امنیتی، در سه ماهه سوم سال 2022، حوادث باجافزاری معمولاً توسط LockBit 3.0 اجرا شده و در طی کل سال هم، این گروه بیشترین تعداد قربانیان را در سایت افشای اطلاعات خود ثبت کرده است. ممکن است در سال جدید شاهد انتشار نسخههای جدیدی بر اساس این باجافزار باشیم چون یکی از توسعهدهندگان سابق این گروه کدهای بیلدر باجافزار LockBit را در اینترنت فاش کرده و حالا همه میتوانند نسخه مخصوصی از آن ایجاد کنند. بنا به گفته محققان سیسکو: «در حملات اخیر یک گروه جدید به نام Bl00dy شروع به استفاده از سازنده LockBit 3.0 کرده است».
- Hive بیش از صد میلیون دلار اخاذی کرده است
این گروه در سال 2022 بیشترین آمار دریافت باج از قربانیان خود پس از LockBit را دریافت کرده است. Hive پس از باجافزارهای Conti و LockBit در فهرست پروندههای واکنش به حادثه پالو آلتو نتورکس رتبه سوم را دارد. بر اساس توصیهنامه مشترکی که توسط FBI، آژانس امنیت زیرساخت و امنیت سایبری آمریکا و وزارت بهداشت و خدمات انسانی آمریکا منتشر شده، این گروه موفق شده بین ژوئن 2021 و نوامبر 2022 از 1300 شرکت در سطح جهان، بیش از 100 میلیون دلار اخاذی کند.
براساس تحقیقات صورت گرفته توسط این نهادها، مهاجمان Hive شبکههای قربانیانی را که بدون پرداخت باج، موفق به بازیابی شبکه شدهاند، دوباره آلوده میکنند؛ با Hive یا باجافزار دیگری.
- Black Basta نسخهای از Conti
بنا به گفته محققان Talos: «سومین گروه باجافزاری مهم امسال، Black Basta بوده که از باجافزار ساخته شده بر اساس باجافزار Conti و تکنیکهای مشابه گروه Conti استفاده میکند. این گروه عملیات خود را در ماه آوریل و مدت کوتاهی پس از فروپاشی گروه Conti شروع کرد و از همان ابتدا مجموعه ابزارهای خود را گسترش داد. Black Basta که برای توزیع بدافزار تروجان Qbot را بکار گرفته است، از آسیبپذیری PrintNightmare هم سوءاستفاده میکند.
همچنین این گروه یک ابزار رمزنگاری فایل برای سیستمعامل لینوکس معرفی کرد که معمولاً برای ماشینهای مجازی ESXi شرکت ویامویر طراحی شده بود. این توسعه چند پلتفرمی، در باجافزارهایی مثل LockBit و Hive هم مشاهده شده که هر دو نسخههایی مخصوص لینوکس دارند یا گروه ALPHV (بلک کت) که باجافزاری به زبان Rust با قابلیت اجرا روی سیستمعامل نوشته است. Golang یک زبان برنامهنویسی دیگر است که چند گروه باجافزاری کوچکتر مثل HelloKitty از آن استفاده میکنند.
- فعالیت باجافزار Royal شدت گرفته است
Royal که به تازگی ظهور کرده در ابتدا از باجافزارهای گروههای دیگر مثل BlackCat و Zeon استفاده میکرد اما پس از طراحی ابزار اختصاصی خود برای رمزنگاری فایلها ک ظاهراً بر اساس باجافزار Conti طراحی شده، احتمال ارتباط آن با Conti وجود دارد. این باجافزار طی مدت زمان کوتاهی فعالیتهای خود را گسترش داد و تعداد قربانیانش حتی از LockBit هم بیشتر است. انتظار میرود که Royal یکی از مهمترین تهدیدات باجافزاری سال 2023 شود.
- Vice Society بخش آموزش را هدف میگیرد
Royal تنها گروهی نیست که با موفقیت از باجافزارهای ساخته شده توسط گروههای دیگر استفاده میکند. یکی از این گروهها Vice Society نام دارد که از نظر تعداد قربانیان ثبت شده در سایت خودش، رتبه چهارم را دارد. این گروه بیشتر سازمانهای بخش آموزشی را هدف میگیرد و از انشعابات باجافزارهای شناخته شدهای مثل HelloKitty و Zeppelin بهره برداری میکند.
افزایش تعداد گروههای باجافزاری، چالشی برای هوش تهدید
محققان شرکت سیسکو میگویند: «به پایان رسیدن انحصارهای عظیم در دنیای باجافزارها چالشهای جدیدی برای تحلیلگران هوش تهدید ایجاد کرده است». حداقل 8 گروه، 75 درصد از مطالب منتشر شده در سایتهایی که مورد بررسی قرار گرفتند را به خود اختصاص میدهند. ظهور گروههای جدید باعث سختتر شدن شناسایی عوامل حمله میشود چون مهاجمان با مدل RaaS به گروههای مختلف خدمات ارائه میدهند.
برخی از گروهها مثل LockBit طرحهای اخاذی جدیدی مثل حمله محرومسازی از سرویس توزیع شده بر علیه قربانیانشان کرده و آنها را وادار به پرداخت باج میکنند. احتمال تداوم این روند در سال 2023 بسیار زیاد است و مهاجمان پس از شناسایی قربانیان و پیش از پیادهسازی حمله باجافزار نهایی، روشهای اخاذی جدیدی را اجرا میکنند. فعالیتهای محققان سیسکو در زمینه حوادث باجافزاری، مربوط به مرحله پیش از حمله بوده است. بنابراین شرکتها از تواناییهای بیشتری در زمینه تشخیص تاکتیکها و روشهای پیش از حمله باجافزاری نسبت به گذشته برخوردار هستند.
[1] ransomware-as-a-service