Search
Menu

گزارش سالیانه از تهدیدات سایبری در سال ۲۰۲۱ – بخش دوم

راهکار EDR

از بسیاری جهات، این گزارش سالیانه، تهدیدات سایبری جهانی امسال را خلاصه می کند. جزئیات مطرح شده در این گزارش از مشاهدات دست اول تیم‌های پاسخ به رخداد و تحلیلگران سایبری، جمع‌آوری شده است. همچنین این گزارش سالیانه تهدیدات سایبری ۲۰۲۱ در سال شامل درس‌ها و توصیههای مهمی برای تیمهای امنیتی ارائه می دهد. بخش اول این مطلب را از دست ندهید.

 

استفاده از روش‌های اخاذی داده توسط شکارچیان بزرگ

پس از شناسایی مهاجم اصلی BGH یا BOSS SPIDER در ژانویه ۲۰۱۶ CrowdStrike Intelligence، مشاهده شد که هم عاملان مجرم تثبیت‌شده (مثل INDRIK SPIDER و WIZARD SPIDER) و هم کسانی که از باج‌افزار استفاده می‌کنند، به تاکتیک‌های BGH روی آورده‌اند و در آن‌ها نوآوری ایجاد کرده‌اند.

در سال ۲۰۲۰، BGH تهدید فراگیری برای شرکت‌هایی در سراسر جهان در تمامی بازارها محسوب می‌شد و حداقل ۱۳۷۷ نفوذ BGH  منحصربه‌فرد را شناسایی شد. نکته‌ی قابل‌توجه در سال ۲۰۲۰ این بود که تعداد بیشتری از افرادی که از باج‌افزار استفاده می‌کردند سازمان‌های قربانی را تهدید به افشای داده کرده و در برخی از موارد این کار را انجام می‌دادند. احتمالاً هدف از این تاکتیک این بود که مجرمان تحت فشار قرار گرفته و هزینه‌ای را بپردازند، اما این امر همچنین می‌تواند پاسخی باشد به بهبود اقدامات امنیتی شرکت‌هایی که می‌توانستند با بازیابی از پشتیبان‌گیری‌های خود، رمزگذاری داده‌ها را بی‌اثر کنند.

اخاذی داده تاکتیکی است که خود را اثبات کرده و حتی ترکیب اخاذی داده با یک عملیات باج‌افزار مختص به سال ۲۰۲۱ نیست، بلکه OUTLAW SPIDER برای اولین بار در ماه مه سال ۲۰۱۹ از این تاکتیک استفاده کرد. چیزی که نشان‌دهنده‌ی تغییر نسبت به عملیات‌های BGH قبلی است، استفاده‌ی سریع‌تر از تکنیک اخاذی داده و معرفی سایت‌های افشای اختصاصی یا DLSهای مرتبط با خانواده‌های باج‌افزار به‌خصوص می‌باشد. این رویکردها حداقل توسط ۲۳ استفاده‌کننده از باج‌افزار در سال ۲۰۲۰ اتخاذ شدند.

فعال‌ترین مهاجمان BGH با سایت‌های افشای اختصاصی

شکل ۴. فعال‌ترین مهاجمان BGH با DLSها

در بین عاملان تهدیدی که از DLSها و اخاذی داده استفاده می‌کنند، افرادی وجود دارند که از خانواده‌های باج‌افزار جدیدی که در سال ۲۰۲۰ شناسایی شده، بهره می‌برند. به‌علاوه، برخی از مهاجمین BGH قدیمی، انواع باج‌افزار جدیدی را معرفی کردند و CARBON SPIDER به دنبال GRACEFUL SPIDER عملیات جرائم سایبری هدفمند خود را به‌سوی BGH برد و عملیات باج‌افزار به‌عنوان یک سرویس یا RaaS خود را اجرا نمود.

انواع رویکرد به کارگرفته شده توسط مهاجمین BGH

مهاجمین BGH رویکرد‌های متفاوتی را در انتشار داده به یک DLS پی گرفتند و انتشارهای سرسام‌آورِ بسیاری، از داده‌های به سرقت رفته‌ی قربانیان انجام شد.TWISTED SPIDER  در این تکنیک از همه ماهرتر شد و انتشارهای مجموعه داده استخراج شده را به‌مرور، در درصدهای مختلفی انجام داد.

 مهاجمین دیگری که از روش انتشار داده به‌طور درصدی استفاده می‌کردند شامل WIZARD SPIDER با قربانیان Conti و استفاده‌کنندگان از باج‌افزار MountLocker هستند. یک رویکرد جایگزین، انتشار مجموعه داده در «بخش‌های» شماره‌گذاری‌شده است؛ تکنیکی که RIDDLE SPIDER و VIKING SPIDER از آن بهره بردند و ظاهراً هر دو تصمیم گرفتند داده را به‌صورت دستی منتشر کنند. CARBON SPIDER یک سیستم خودکارسازی‌شده را ایجاد کرد که یک زمان انتشار از پیش تعیین‌شده را نمایش می‌دهد که توسط یک تایمر خودکارسازی‌شده تنظیم می‌گردد.

چیزی که کمتر مشاهده شد، انتشار داده با توجه به نوع آن است که در این روش، مهاجم مجموعه داده‌هایی را برای اطلاعات قابل‌شناسایی شخصی یا PII، آمار مالی، داده‌های حساس شرکتی و اطلاعات مربوط به شرکا و مشتریان ایجاد کرده و سپس این مجموعه داده‌ها را در بازه‌های زمانی به‌خصوص منتشر می‌نماید. برای برخی از قربانیانی که برند آن‌ها در سطح بالاتری قرار دارد، هر انتشار جدید می‌تواند گزارش‌‌های مجددی را در مورد این رخداد روی پلتفرم‌های رسانه اجتماعی یا توسط مراکز خبری به راه بیندازد. VIKING SPIDER  این رویکرد را با برخی از قربانیان پیش گرفته است و همچنین گروه‌های وابسته به PINCHY SPIDER این رویکرد را برای تعداد اندکی از قربانیان REvil اتخاذ کردند. هرکدام از این روش‌های انتشار توسط مهاجم انتخاب گردند، هدف از آن‌ها همیشه افزایش فشار روی شرکت قربانی است تا مجبور به پرداخت باج شود.

چه صنایعی بیشتر هدف باج‌افزارها بوده‌اند

بااینکه اکثر عملیات‌های باج‌افزار فرصت‌طلبانه هستند، بیشترین تعداد عملیات اخاذی داده مرتبط به باج‌افزار را امسال در بخش صنعتی و مهندسی شناسایی شد (۲۲۹ حادثه) و بخش تولید (۲۲۸ حادثه) در جایگاه دوم قرار داشت. صنعت تولیدی به‌طور خاص نسبت به عملیات باج‌افزار آسیب‌پذیر است. نه‌تنها این صنعت از عواقب عادی آلودگی باج‌افزار رنج می‌برد، بلکه اگر شرکتی به دلیل قطعی سیستم، نتواند پاسخگوی تقاضاهای تولید باشد اختلال در عملیات روزمره تأثیر گسترده‌ای روی کسب‌و‌کار اصلی خواهد گذاشت.

شکل ۵. صنایعی که مورد هدف اخاذی داده‌ی عملیات BGH قرار گرفتند

TWISTED SPIDER و Maze Cartel

درحالی‌که OUTLAW SPIDER اولین مهاجمی بود که در یک کارزار باج‌افزار از اخاذی داده استفاده کرد، TWISTED SPIDER (استفاده‌کنندگان از باج‌افزارهای Maze و Egregor) کاتالیزور استفاده‌ی سنگین از این تکنیک بوده است. TWISTED SPIDER اولین عامل باج‌افزاری بود که یک DLS را اجرا کرد که در ۱۰ دسامبر ۲۰۱۹ ساخته شده بود. در ژوئن ۲۰۲۰، پس از انفجار سایت‌های افشای اختصاصی در نیمه‌ی اول سال، TWISTED SPIDER خود را به‌عنوان «Maze Cartel» معرفی کرد که همکاری آن‌ها با VIKING SPIDER  و استفاده‌کنندگان از باج‌افزار LockBit بود، همچنین مشارکت تاییدنشده‌ای با استفاده‌کنندگان از SunCrypt و WIZARD SPIDER وجود داشت. Maze Cartel داده‌های افشاشده از عملیات خود را روی هرکدام از DLSهای خود به اشتراک گذاشت، احتمالاً برای اینکه به مخاطب‌های گسترده‌تری دست پیدا کند و فشار بیشتری را روی شرکت‌های قربانی قرار دهد.

TWISTED SPIDER پایان کار عملیات Maze را در نوامبر ۲۰۲۰ اعلام کرد و همچنین بیان داشت که Maze Cartel هرگز وجود نداشته است. ارزیابی ما این است که احتمالاً این گروه نام دیگری روی خود گذاشته است و اکنون باج‌افزار Egregor را پیاده‌سازی می‌کند. این ارزیابی براساس همپوشانی کد بین Maze و Egregor، همزمان شدن افزایش فعالیت Egregor با کاهش آلودگی‌های Maze و تاکتیک‌ها و طرح مشابه DLS مرتبط با این دو باج‌افزار (از جمله افشای داده‌های قربانی به‌صورت درصدی) است.

علیرغم پایان کار Maze، ممکن است در صورت نیاز Cartelهای جدیدی ایجاد شوند. پست جدیدی با عنوان Cartel News در DLS  متعلق به باج‌افزار MountLocker که Host آن Tor است، قرار داده شد که شامل اطلاعات یکی از قربانیان Ragnar Locker متعلق به VIKING SPIDER بود. احتمالاً عمومی کردن عملیات یکدیگر، روی اعتبار استفاده‌کنندگان از BGH تأثیرگذار باشد. اگر تاکتیک‌ها تکامل پیدا کنند و مهاجمین شروع کنند به استفاده از Hostingهای مختلف برای داده‌های قربانیان یکدیگر، ممکن است توانایی قربانی برای مذاکره جهت حذف یا نابودی داده‌های به سرقت رفته را از بین ببرد و بیش‌ازپیش ریسک به اشتراک گذاشتن، فروش یا حراج داده‌ها را به عاملان جرائم سایبری دیگر افزایش دهد.

چشم‌انداز

می‌توان گفت که سرقت داده و استفاده از DLS به‌اندازه‌ی فرایند رمزگذاری در عملیات باج‌افزار BGH تثبیت شده است. در سال اخیر، چشم‌انداز BGH به این سمت رفت که وقتی قربانیان به باج‌افزار آلوده شدند، مجبور شوند به مذاکره برای پرداخت باج، تن دهند. بطور مثال استفاده‌کنندگان از باج‌افزار SunCrypt از یک حمله‌ی Distributed Denial-of-Service یا DDoS استفاده کردند تا قربانی را مجبور به پرداخت باج کنند و گونه‌ی جدیدی از تاکتیک‌های Strong-Arm را معرفی کردند که مهاجمان BGH در سال ۲۰۲۰ به آن‌ها شناخته شده بودند.

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.