باج‌افزار BlackByte از ابزارهای استخراج داده اختصاصی استفاده می‌کند

محققان سیمنتک می‌گویند احتمال ورود باج‌افزار BlackByte به رده حملات بسیار پیشرفته وجود دارد چون این گروه شروع به ساختن ابزارهای بدافزاری اختصاصی کرده‌اند.

بنا به گفته محققان امنیت سایبری: «ممکن است یک گروه باج‌افزاری جدید به رده بالای جرایم سایبری رسیده باشند». محققان تیم شکار تهدید سیمنتک می‌گویند: «گروه باج‌افزاری BlackByte با طراحی اجزای اختصاصی برای این باج‌افزار، به نقطه عطف کلیدی در مسیر رشد خودش رسیده است». این تیم به نمونه‌هایی از این باج‌افزار دست پیدا کرده که نشان می‌دهد در حملات BlackByte از یک ابزار استخراج اطلاعات اختصاصی استفاده شده است. BlackByte با مدل RaaS (ransomware-as-a-service) کار می‌کند و بر اساس این مدل، کدهای باج‌افزار را به هکرهای وابسته می‌فروشد. این ابزار استخراج اطلاعات که تحت عنوان Exbyte شناخته شده، قابلیت انتقال داده‌های جمع‌آوری شده به یک بستر تحت ابر به نام «مگا» را دارد و شامل اجزایی است که برای گریز از ابزارهای تشخیص و تحلیل بدافزار طراحی شده‌اند.

بنا به گفته Dick O’Brien، تحلیلگر ارشد هوش تیم شکار تهدید سیمنتک: «این ابزار نسبت به ابزارهای مشابهی که در گذشته مشاهده کردیم، دارای پیچیدگی فنی بیشتری است. این ابزار به زبان Go نوشته شده و از نظر تلاش‌های شدیدی که برای پیشگیری از اجرا در محیط سندباکس و تحلیل انجام می‌دهد، قوی‌تر است. این ابزار همچنین یک پوشه Upload جدید برای هر قربانی ایجاد می‌کند. به این ترتیب مهاجمان می‌توانند به راحتی داده‌های سرقتی را شناسایی و مدیریت کنند».

استفاده از این ابزار استخراج اطلاعات اختصاصی حرکت مهمی محسوب می‌شود اما محققان معتقدند که انتشار Exbyte مهمتر است. BlackByte با انتشار اجزایی اختصاصی برای باج‌افزار خود، به نوعی تبدیل به یکی از بزرگترین گروه‌های عملیات باج‌افزاری جهان شده است. از طرفی ممکن است قابلیت طراحی یک بدافزار اختصاصی نشان‌دهنده عزم BlackByte برای اجرای حملات چشمگیر و تبدیل به یک بازیگر جدی در عرصه حملات باج‌افزاری باشد.

براساس گزارش تیم شکار تهدید سیمنتک: «اقدام این مهاجمان برای ساختن ابزارهای اختصاصی می‌تواند دلالت بر تلاش این گروه در راستای تبدیل به یکی از مهم‌ترین گروه‌های باج‌افزاری داشته باشد». O’Brien معتقد است که چنین حرکتی زمانبر خواهد بود چون فقط حدود 8 ماه از ورود BlackByte به عرصه حملات باج‌افزاری می‌گذرد. البته فراموش نکنید که این گروه مسیرش را به خوبی طی کرده است.

او می‌گوید: «برای اینکه این گروه به مقیاسی در حد Conti یا LockBit برسد، باید مهاجمان وابسته زیادی را جذب کند. عوامل زیادی در تعیین این مقیاس نقش دارند؛ از جمله کارایی پی‌لود، مدت زمانی که رمزنگاری فایل‌ها و تشخیص‌شان طول می‌کشد، زیرساخت مورد استفاده باج‌افزار مثل پنل‌های کنترل مهاجم، سایت‌های افشای داده‌ها و غیره».

باج‌افزار BlackByte برای اولین بار در سال 2021 و در حملاتی که از آسیب‌پذیری‌های ProxyShell سرور مایکروسافت اکسچنج سوءاستفاده می‌کردند، مشاهده شد. به تازگی محققان سوفوس متوجه شدند که این گروه از یک درایور آسیب‌پذیر در یک ابزار اورکلاک کردن استفاده می‌کنند تا محصولات تشخیص و واکنش به تهدیدات را بی‌اثر کنند.

ظهور یک گروه بزرگ جدید مثل BlackByte برای افرادی که به کاهش این حملات امید داشتند هم خبر چندان مطلوبی نیست. براساس گزارشی که توسط یک شرکت فروشنده محصولات امنیتی منتشر شده: «حجم حملات باج‌افزاری کاهش یافته و حالا LockBit 3.0 حدود یک سوم همه حملات را به خود اختصاص می‌دهد».

البته در همین گزارش اشاره شده که چندین خانواده بدافزار جدید هم ظهور کردند که ممکن است کاهش فعالیت‌های Conti و سایر گروه‌های باج‌افزاری مهم را جبران کنند.