باجافزار BlackByte از ابزارهای استخراج داده اختصاصی استفاده میکند
محققان سیمنتک میگویند احتمال ورود باجافزار BlackByte به رده حملات بسیار پیشرفته وجود دارد چون این گروه شروع به ساختن ابزارهای بدافزاری اختصاصی کردهاند.
بنا به گفته محققان امنیت سایبری: «ممکن است یک گروه باجافزاری جدید به رده بالای جرایم سایبری رسیده باشند». محققان تیم شکار تهدید سیمنتک میگویند: «گروه باجافزاری BlackByte با طراحی اجزای اختصاصی برای این باجافزار، به نقطه عطف کلیدی در مسیر رشد خودش رسیده است». این تیم به نمونههایی از این باجافزار دست پیدا کرده که نشان میدهد در حملات BlackByte از یک ابزار استخراج اطلاعات اختصاصی استفاده شده است. BlackByte با مدل RaaS (ransomware-as-a-service) کار میکند و بر اساس این مدل، کدهای باجافزار را به هکرهای وابسته میفروشد. این ابزار استخراج اطلاعات که تحت عنوان Exbyte شناخته شده، قابلیت انتقال دادههای جمعآوری شده به یک بستر تحت ابر به نام «مگا» را دارد و شامل اجزایی است که برای گریز از ابزارهای تشخیص و تحلیل بدافزار طراحی شدهاند.
بنا به گفته Dick O’Brien، تحلیلگر ارشد هوش تیم شکار تهدید سیمنتک: «این ابزار نسبت به ابزارهای مشابهی که در گذشته مشاهده کردیم، دارای پیچیدگی فنی بیشتری است. این ابزار به زبان Go نوشته شده و از نظر تلاشهای شدیدی که برای پیشگیری از اجرا در محیط سندباکس و تحلیل انجام میدهد، قویتر است. این ابزار همچنین یک پوشه Upload جدید برای هر قربانی ایجاد میکند. به این ترتیب مهاجمان میتوانند به راحتی دادههای سرقتی را شناسایی و مدیریت کنند».
استفاده از این ابزار استخراج اطلاعات اختصاصی حرکت مهمی محسوب میشود اما محققان معتقدند که انتشار Exbyte مهمتر است. BlackByte با انتشار اجزایی اختصاصی برای باجافزار خود، به نوعی تبدیل به یکی از بزرگترین گروههای عملیات باجافزاری جهان شده است. از طرفی ممکن است قابلیت طراحی یک بدافزار اختصاصی نشاندهنده عزم BlackByte برای اجرای حملات چشمگیر و تبدیل به یک بازیگر جدی در عرصه حملات باجافزاری باشد.
براساس گزارش تیم شکار تهدید سیمنتک: «اقدام این مهاجمان برای ساختن ابزارهای اختصاصی میتواند دلالت بر تلاش این گروه در راستای تبدیل به یکی از مهمترین گروههای باجافزاری داشته باشد». O’Brien معتقد است که چنین حرکتی زمانبر خواهد بود چون فقط حدود 8 ماه از ورود BlackByte به عرصه حملات باجافزاری میگذرد. البته فراموش نکنید که این گروه مسیرش را به خوبی طی کرده است.
او میگوید: «برای اینکه این گروه به مقیاسی در حد Conti یا LockBit برسد، باید مهاجمان وابسته زیادی را جذب کند. عوامل زیادی در تعیین این مقیاس نقش دارند؛ از جمله کارایی پیلود، مدت زمانی که رمزنگاری فایلها و تشخیصشان طول میکشد، زیرساخت مورد استفاده باجافزار مثل پنلهای کنترل مهاجم، سایتهای افشای دادهها و غیره».
باجافزار BlackByte برای اولین بار در سال 2021 و در حملاتی که از آسیبپذیریهای ProxyShell سرور مایکروسافت اکسچنج سوءاستفاده میکردند، مشاهده شد. به تازگی محققان سوفوس متوجه شدند که این گروه از یک درایور آسیبپذیر در یک ابزار اورکلاک کردن استفاده میکنند تا محصولات تشخیص و واکنش به تهدیدات را بیاثر کنند.
ظهور یک گروه بزرگ جدید مثل BlackByte برای افرادی که به کاهش این حملات امید داشتند هم خبر چندان مطلوبی نیست. براساس گزارشی که توسط یک شرکت فروشنده محصولات امنیتی منتشر شده: «حجم حملات باجافزاری کاهش یافته و حالا LockBit 3.0 حدود یک سوم همه حملات را به خود اختصاص میدهد».
البته در همین گزارش اشاره شده که چندین خانواده بدافزار جدید هم ظهور کردند که ممکن است کاهش فعالیتهای Conti و سایر گروههای باجافزاری مهم را جبران کنند.