از بسیاری جهات، این گزارش سالیانه، تهدیدات سایبری جهانی امسال را خلاصه می کند. جزئیات مطرح شده در این گزارش از مشاهدات دست اول تیمهای پاسخ به رخداد و تحلیلگران سایبری، جمعآوری شده است. همچنین این گزارش سالیانه تهدیدات سایبری ۲۰۲۱ در سال شامل درسها و توصیههای مهمی برای تیمهای امنیتی ارائه می دهد. بخش اول این مطلب را از دست ندهید.
استفاده از روشهای اخاذی داده توسط شکارچیان بزرگ
پس از شناسایی مهاجم اصلی BGH یا BOSS SPIDER در ژانویه ۲۰۱۶ CrowdStrike Intelligence، مشاهده شد که هم عاملان مجرم تثبیتشده (مثل INDRIK SPIDER و WIZARD SPIDER) و هم کسانی که از باجافزار استفاده میکنند، به تاکتیکهای BGH روی آوردهاند و در آنها نوآوری ایجاد کردهاند.
در سال ۲۰۲۰، BGH تهدید فراگیری برای شرکتهایی در سراسر جهان در تمامی بازارها محسوب میشد و حداقل ۱۳۷۷ نفوذ BGH منحصربهفرد را شناسایی شد. نکتهی قابلتوجه در سال ۲۰۲۰ این بود که تعداد بیشتری از افرادی که از باجافزار استفاده میکردند سازمانهای قربانی را تهدید به افشای داده کرده و در برخی از موارد این کار را انجام میدادند. احتمالاً هدف از این تاکتیک این بود که مجرمان تحت فشار قرار گرفته و هزینهای را بپردازند، اما این امر همچنین میتواند پاسخی باشد به بهبود اقدامات امنیتی شرکتهایی که میتوانستند با بازیابی از پشتیبانگیریهای خود، رمزگذاری دادهها را بیاثر کنند.
اخاذی داده تاکتیکی است که خود را اثبات کرده و حتی ترکیب اخاذی داده با یک عملیات باجافزار مختص به سال ۲۰۲۱ نیست، بلکه OUTLAW SPIDER برای اولین بار در ماه مه سال ۲۰۱۹ از این تاکتیک استفاده کرد. چیزی که نشاندهندهی تغییر نسبت به عملیاتهای BGH قبلی است، استفادهی سریعتر از تکنیک اخاذی داده و معرفی سایتهای افشای اختصاصی یا DLSهای مرتبط با خانوادههای باجافزار بهخصوص میباشد. این رویکردها حداقل توسط ۲۳ استفادهکننده از باجافزار در سال ۲۰۲۰ اتخاذ شدند.
فعالترین مهاجمان BGH با سایتهای افشای اختصاصی
شکل ۴. فعالترین مهاجمان BGH با DLSها
در بین عاملان تهدیدی که از DLSها و اخاذی داده استفاده میکنند، افرادی وجود دارند که از خانوادههای باجافزار جدیدی که در سال ۲۰۲۰ شناسایی شده، بهره میبرند. بهعلاوه، برخی از مهاجمین BGH قدیمی، انواع باجافزار جدیدی را معرفی کردند و CARBON SPIDER به دنبال GRACEFUL SPIDER عملیات جرائم سایبری هدفمند خود را بهسوی BGH برد و عملیات باجافزار بهعنوان یک سرویس یا RaaS خود را اجرا نمود.
انواع رویکرد به کارگرفته شده توسط مهاجمین BGH
مهاجمین BGH رویکردهای متفاوتی را در انتشار داده به یک DLS پی گرفتند و انتشارهای سرسامآورِ بسیاری، از دادههای به سرقت رفتهی قربانیان انجام شد.TWISTED SPIDER در این تکنیک از همه ماهرتر شد و انتشارهای مجموعه داده استخراج شده را بهمرور، در درصدهای مختلفی انجام داد.
مهاجمین دیگری که از روش انتشار داده بهطور درصدی استفاده میکردند شامل WIZARD SPIDER با قربانیان Conti و استفادهکنندگان از باجافزار MountLocker هستند. یک رویکرد جایگزین، انتشار مجموعه داده در «بخشهای» شمارهگذاریشده است؛ تکنیکی که RIDDLE SPIDER و VIKING SPIDER از آن بهره بردند و ظاهراً هر دو تصمیم گرفتند داده را بهصورت دستی منتشر کنند. CARBON SPIDER یک سیستم خودکارسازیشده را ایجاد کرد که یک زمان انتشار از پیش تعیینشده را نمایش میدهد که توسط یک تایمر خودکارسازیشده تنظیم میگردد.
چیزی که کمتر مشاهده شد، انتشار داده با توجه به نوع آن است که در این روش، مهاجم مجموعه دادههایی را برای اطلاعات قابلشناسایی شخصی یا PII، آمار مالی، دادههای حساس شرکتی و اطلاعات مربوط به شرکا و مشتریان ایجاد کرده و سپس این مجموعه دادهها را در بازههای زمانی بهخصوص منتشر مینماید. برای برخی از قربانیانی که برند آنها در سطح بالاتری قرار دارد، هر انتشار جدید میتواند گزارشهای مجددی را در مورد این رخداد روی پلتفرمهای رسانه اجتماعی یا توسط مراکز خبری به راه بیندازد. VIKING SPIDER این رویکرد را با برخی از قربانیان پیش گرفته است و همچنین گروههای وابسته به PINCHY SPIDER این رویکرد را برای تعداد اندکی از قربانیان REvil اتخاذ کردند. هرکدام از این روشهای انتشار توسط مهاجم انتخاب گردند، هدف از آنها همیشه افزایش فشار روی شرکت قربانی است تا مجبور به پرداخت باج شود.
چه صنایعی بیشتر هدف باجافزارها بودهاند
بااینکه اکثر عملیاتهای باجافزار فرصتطلبانه هستند، بیشترین تعداد عملیات اخاذی داده مرتبط به باجافزار را امسال در بخش صنعتی و مهندسی شناسایی شد (۲۲۹ حادثه) و بخش تولید (۲۲۸ حادثه) در جایگاه دوم قرار داشت. صنعت تولیدی بهطور خاص نسبت به عملیات باجافزار آسیبپذیر است. نهتنها این صنعت از عواقب عادی آلودگی باجافزار رنج میبرد، بلکه اگر شرکتی به دلیل قطعی سیستم، نتواند پاسخگوی تقاضاهای تولید باشد اختلال در عملیات روزمره تأثیر گستردهای روی کسبوکار اصلی خواهد گذاشت.
شکل ۵. صنایعی که مورد هدف اخاذی دادهی عملیات BGH قرار گرفتند
TWISTED SPIDER و Maze Cartel
درحالیکه OUTLAW SPIDER اولین مهاجمی بود که در یک کارزار باجافزار از اخاذی داده استفاده کرد، TWISTED SPIDER (استفادهکنندگان از باجافزارهای Maze و Egregor) کاتالیزور استفادهی سنگین از این تکنیک بوده است. TWISTED SPIDER اولین عامل باجافزاری بود که یک DLS را اجرا کرد که در ۱۰ دسامبر ۲۰۱۹ ساخته شده بود. در ژوئن ۲۰۲۰، پس از انفجار سایتهای افشای اختصاصی در نیمهی اول سال، TWISTED SPIDER خود را بهعنوان «Maze Cartel» معرفی کرد که همکاری آنها با VIKING SPIDER و استفادهکنندگان از باجافزار LockBit بود، همچنین مشارکت تاییدنشدهای با استفادهکنندگان از SunCrypt و WIZARD SPIDER وجود داشت. Maze Cartel دادههای افشاشده از عملیات خود را روی هرکدام از DLSهای خود به اشتراک گذاشت، احتمالاً برای اینکه به مخاطبهای گستردهتری دست پیدا کند و فشار بیشتری را روی شرکتهای قربانی قرار دهد.
TWISTED SPIDER پایان کار عملیات Maze را در نوامبر ۲۰۲۰ اعلام کرد و همچنین بیان داشت که Maze Cartel هرگز وجود نداشته است. ارزیابی ما این است که احتمالاً این گروه نام دیگری روی خود گذاشته است و اکنون باجافزار Egregor را پیادهسازی میکند. این ارزیابی براساس همپوشانی کد بین Maze و Egregor، همزمان شدن افزایش فعالیت Egregor با کاهش آلودگیهای Maze و تاکتیکها و طرح مشابه DLS مرتبط با این دو باجافزار (از جمله افشای دادههای قربانی بهصورت درصدی) است.
علیرغم پایان کار Maze، ممکن است در صورت نیاز Cartelهای جدیدی ایجاد شوند. پست جدیدی با عنوان Cartel News در DLS متعلق به باجافزار MountLocker که Host آن Tor است، قرار داده شد که شامل اطلاعات یکی از قربانیان Ragnar Locker متعلق به VIKING SPIDER بود. احتمالاً عمومی کردن عملیات یکدیگر، روی اعتبار استفادهکنندگان از BGH تأثیرگذار باشد. اگر تاکتیکها تکامل پیدا کنند و مهاجمین شروع کنند به استفاده از Hostingهای مختلف برای دادههای قربانیان یکدیگر، ممکن است توانایی قربانی برای مذاکره جهت حذف یا نابودی دادههای به سرقت رفته را از بین ببرد و بیشازپیش ریسک به اشتراک گذاشتن، فروش یا حراج دادهها را به عاملان جرائم سایبری دیگر افزایش دهد.
چشمانداز
میتوان گفت که سرقت داده و استفاده از DLS بهاندازهی فرایند رمزگذاری در عملیات باجافزار BGH تثبیت شده است. در سال اخیر، چشمانداز BGH به این سمت رفت که وقتی قربانیان به باجافزار آلوده شدند، مجبور شوند به مذاکره برای پرداخت باج، تن دهند. بطور مثال استفادهکنندگان از باجافزار SunCrypt از یک حملهی Distributed Denial-of-Service یا DDoS استفاده کردند تا قربانی را مجبور به پرداخت باج کنند و گونهی جدیدی از تاکتیکهای Strong-Arm را معرفی کردند که مهاجمان BGH در سال ۲۰۲۰ به آنها شناخته شده بودند.