پس از چندین ماه استفاده عوامل باجافزارهای LockBit و Maze از یک پورتال مشترک، اعضای گروه باجافزاری LockBit وب سایت جدیدی راهاندازی کرده اند تا بتوانند اطلاعات مربوط به نفوذهای امنیتی خود را از طریق آن منتشر کنند.
افشای اطلاعات سازمانها
محققان شرکت امنیت سایبری Kela متوجه انتشار اطلاعیه ای در یک انجمن روسی زبان توسط عوامل LockBit شدند که در آن درباره وب سایت جدید این گروه صحبت شده بود. پس از بررسی این وب سایت توسط کارشناسان مشخص گردید که اطلاعات دو شرکت در آن منتشر شده است. یکی از این شرکت ها تولیدکننده تجهیزات اتوماسیون و دیگری نیز شرکتی در حوزه حمل و نقل است.
عوامل باجافزار LockBit اوایل سال 2020 یک وب سایت دیگر راهاندازی کرده بودند اما پس از پیوستن به گروه Maze و استفاده مشترک از زیرساخت آن، اقدام به تعطیلی وب سایت شان کردند. لازم به ذکر است Maze جزو نخستین گروه های فعال در حوزه بدافزار و رمزنگاری است که ابتدا اقدام به سرقت اطلاعات قربانیان خود کرده و سپس آنها را رمزنگاری می کند. این گروه اولین بار پس از آلوده کردن شبکه یک شرکت استخدامی در حوزه امنیت از چنین رویکردی استفاده کرد و سپس سایر گروههای دیگر هم شروع به استفاده از همین تکنیک نمودند.
بر اساس گزارشها هنوز مشخص نیست که آیا LockBit باز هم از وب سایت باجافزار Maze استفاده خواهد کرد یا خیر.
همکاری مهاجمان سایبری
بدون شک عوامل LockBit، از تجربه استفاده مشترک از پورتال Maze برای راهاندازی وب سایت خودشان استفاده کردهاند اما این موضوع، یک طرفه نیست و مهاجمان Maze هم درسهای زیادی را از این همکاری متقابل آموخته اند.
بلافاصله پس از انتشار خبر راه اندازی وب سایت جدید LockBit، توجه شرکت Sophos به این موضوع جلب شد. Sophos هنگام بررسی درباره یک حادثه امنیتی دیگر متوجه اجرای حملهای شد که مهاجمان در آن بارها سعی به نصب باجافزار Maze کرده بودند. این حمله از این جهت با حوادث قبلی باجافزار Maze متفاوت است که مهاجمان در آن پیلود رمزنگاری فایل را داخل یک فایل نصب msi. ویندوز در درایو ماشین مجازی قرار داده بودند. عوامل اجرای این حمله، 15 میلیون دلار از قربانیان شان باج خواهی کرده بودند. بر اساس گزارش Sophos، قربانیان از پرداخت این مبلغ خودداری نمودند.
البته این اولین باری نیست که عوامل باجافزار Maze پیلودهای خودشان را داخل یک ماشین مجازی تعبیه می کنند. برای مثال در ماههای گذشته نیز یک حمله مشابه اجرا شد که در آن از “Ragnar Locker” استفاده شده بود. این حمله با سایر حملاتی که توسط باجافزار Maze انجام می شود، متفاوت است. در واقع در حملات قبلی از ماشین مجازی ویندوز XP استفاده میشد اما در این حمله از ماشین مجازی ویندوز 7 استفاده شده است. ظرفیت دیسک مجازی مورد استفاده در حمله Ragnar Locker هم یک چهارم مقداری بوده که در Maze استفاده شده است.
نحوه مقابله با حملاتی مثل باجافزار Maze
پیشرفتهای صورت گرفته در بدافزارها نیاز به حفاظت از سازمانها در برابر حملات باجافزاری را پررنگتر کردهاند. برای دستیابی به این هدف، ابتدا باید از اجرای حملاتی شبیه باجافزار Maze پیشگیری شود. این کار با بهره گیری از هوش تهدید برای ایجاد یک برنامه آموزشی منظم، آموزش به کارمندان در خصوص حملات فیشینگ و سایر روشهای اجرای حملات باجافزاری قابل انجام است.
سازمانها باید در کنار آموزشها سعی کنند آسیبپذیریهای امنیتی خود را شناسایی کنند. برای انجام این کار و به منظور شناسایی نقاط ضعف شبکه میتوان از آزمون نفوذپذیری (تست نفوذ) کمک گرفت. پس از شناسایی نقاط ضعف باید در اسرع وقت آنها را بر اساس اولویت شان برطرف کرد.
منبع: securityintelligence