خبر

راه‌اندازی وب سایت باج‌افزار LockBit

پس از چندین ماه استفاده عوامل باج‌­افزارهای LockBit و Maze از یک پورتال مشترک، اعضای گروه باج­‌افزاری LockBit وب سایت جدیدی راه­‌اندازی کرده اند تا بتوانند اطلاعات مربوط به نفوذهای امنیتی خود را از طریق آن منتشر کنند.

افشای اطلاعات سازمان­‌ها

محققان شرکت امنیت سایبری Kela متوجه انتشار اطلاعیه ای در یک انجمن روسی زبان توسط عوامل LockBit شدند که در آن درباره وب سایت جدید این گروه صحبت شده بود. پس از بررسی این وب سایت توسط کارشناسان مشخص گردید که اطلاعات دو شرکت در آن منتشر شده است. یکی از این شرکت ها تولیدکننده تجهیزات اتوماسیون و دیگری نیز شرکتی در حوزه حمل و نقل است.

عوامل باج‌افزار LockBit اوایل سال ۲۰۲۰ یک وب سایت دیگر راه‌اندازی کرده بودند اما پس از پیوستن به گروه Maze و استفاده مشترک از زیرساخت آن، اقدام به تعطیلی وب سایت شان کردند. لازم به ذکر است Maze جزو نخستین گروه های فعال در حوزه بدافزار و رمزنگاری است که ابتدا اقدام به سرقت اطلاعات قربانیان خود کرده و سپس آنها را رمزنگاری می کند. این گروه اولین بار پس از آلوده کردن شبکه یک شرکت استخدامی در حوزه امنیت از چنین رویکردی استفاده کرد و سپس سایر گروه‌های دیگر هم شروع به استفاده از همین تکنیک نمودند.

بر اساس گزارش‌­ها هنوز مشخص نیست که آیا LockBit باز هم از وب سایت باج‌افزار Maze استفاده خواهد کرد یا خیر.

همکاری مهاجمان سایبری

بدون شک عوامل LockBit، از تجربه استفاده مشترک از پورتال Maze برای راه‌اندازی وب سایت خودشان استفاده کرده‌اند اما این موضوع، یک طرفه نیست و مهاجمان Maze هم درس‌های زیادی را از این همکاری متقابل آموخته اند.

بلافاصله پس از انتشار خبر راه اندازی وب سایت جدید LockBit، توجه شرکت Sophos به این موضوع جلب شد. Sophos هنگام بررسی درباره یک حادثه امنیتی دیگر متوجه اجرای حمله‌ای شد که مهاجمان در آن بارها سعی به نصب باج‌افزار Maze کرده بودند. این حمله از این جهت با حوادث قبلی باج‌افزار Maze متفاوت است که مهاجمان در آن پی‌لود رمزنگاری فایل را داخل یک فایل نصب msi. ویندوز در درایو ماشین مجازی قرار داده بودند. عوامل اجرای این حمله، ۱۵ میلیون دلار از قربانیان شان باج خواهی کرده بودند. بر اساس گزارش Sophos، قربانیان از پرداخت این مبلغ خودداری نمودند.

البته این اولین باری نیست که عوامل باج‌افزار Maze پی‌لودهای خودشان را داخل یک ماشین مجازی تعبیه می کنند. برای مثال در ماه‌­های گذشته نیز یک حمله مشابه اجرا شد که در آن از “Ragnar Locker” استفاده شده بود. این حمله با سایر حملاتی که توسط باج‌افزار Maze انجام می شود، متفاوت است. در واقع در حملات قبلی از ماشین مجازی ویندوز XP استفاده می‌شد اما در این حمله از ماشین مجازی ویندوز ۷ استفاده شده است. ظرفیت دیسک مجازی مورد استفاده در حمله Ragnar Locker هم یک چهارم مقداری بوده که در Maze استفاده شده است.

نحوه مقابله با حملاتی مثل باج‌افزار Maze

پیشرفت‌های صورت گرفته در بدافزارها نیاز به حفاظت از سازمان‌ها در برابر حملات باج‌افزاری را پررنگ‌تر کرده‌اند. برای دستیابی به این هدف، ابتدا باید از اجرای حملاتی شبیه باج‌افزار Maze پیشگیری شود. این کار با بهره گیری از هوش تهدید برای ایجاد یک برنامه آموزشی منظم، آموزش به کارمندان در خصوص حملات فیشینگ و سایر روش‌های اجرای حملات باج‌افزاری قابل انجام است.

سازمان‌ها باید در کنار آموزش‌ها سعی کنند آسیب‌پذیری‌های امنیتی خود را شناسایی کنند. برای انجام این کار و به منظور شناسایی نقاط ضعف شبکه می‌توان از آزمون نفوذپذیری (تست نفوذ) کمک گرفت. پس از شناسایی نقاط ضعف باید در اسرع وقت آنها را بر اساس اولویت شان برطرف کرد.

 

منبع: securityintelligence

 

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

14 + دو =

دکمه بازگشت به بالا