اخاذی‌های ده‌ها میلیون دلاری باج‌افزار REvil

گردانندگان باج‌افزار REvil مدعی هستند اطلاعاتی را در اختیار دارند که افشای آنها می‌تواند لطمه‌ای جدی به میزان استقبال رأی‌دهندگان از دونالد ترامپ در انتخابات بعدی ریاست جمهوری آمریکا وارد کند. همچنین این گروه قصد دارد تا داده‌های مربوط به مدونا را نیز در یک حراج به فروش بگذارد.

گردانندگان REvil از جمله مهاجمانی هستند که اهداف خود را به‌صورت خاص انتخاب کرده و ضمن سرقت فایل‌ها و داده‌ها، در صورت پرداخت نشدن مبلغ اخاذی‌شده اقدام به افشای آنها می‌کنند. ۲۱ فروردین روزنامه وال‌استریت جورنال گزارش کرد که شرکت تراولکس که شبکه آن آلوده به باج‌افزار REvil شده بود به‌منظور بازگرداندن سیستم‌ها به حالت اولیه اقدام به پرداخت باج ۲.۳ میلیون دلاری به این تبهکاران کرده است.

به گزارش شرکت مهندسی شبکه گستر، در یکی از جدیدترین موارد این مهاجمان با رخنه به شبکه شرکت حقوقی Grubman Shire Meiselas & Sacks – به اختصار GSMLaw – اقدام به سرقت اطلاعات ظاهراً بسیار باارزش قبل از رمزگذاری آنها کرده‌اند.

GSMLaw وکالت تعداد بسیار زیادی از افراد سرشناس را در کارنامه دارد.

این گروه در ابتدا مبلغ 21 میلیون دلار را در ازای آنچه که این افراد آن را رمزگشایی فایل‌ها می‌خوانند از GSMLaw اخاذی کرد. در پی پرداخت نشدن باج ظرف 10 روز، مهاجمان ضمن دو برابر کردن مبلغ، GSMLaw را تهدید به انتشار 756 گیگابایت از داده‌های سرقت شده کردند.

با زیر بار نرفتن GSMLaw، مهاجمان REvil اقدام به انتشار 2.4 گیگابایت از اسناد مرتبط با لیدی گاگا (خواننده آمریکایی) کردند. در ادامه تهدید کردند که در صورت عدم پرداخت باج، اطلاعات دونالد ترامپ، رئیس جمهور آمریکا را که در جریان هک GSMLaw به دست این مهاجمان رسیده است منتشر خواهند کرد. اطلاعاتی که به گفته این گروه تأثیری منفی بر میزان محبوبیت ترامپ و انتخاب مجدد او در انتخابات آتی ریاست جمهوری آمریکا خواهد گذاشت.

 با بی‌نتیجه ماندن تلاش مهاجمان در مستأصل کردن مدیران GSMLaw، بخشی از اطلاعات مرتبط با دونالد ترامپ، شامل 160 ایمیل که به گفته این افراد در مقایسه با سایر اطلاعات بی‌ضرر محسوب می شود به اشتراک گذاشته شد.

بر طبق اعلام گردانندگان REvil اطلاعات اصلی در حراج‌های هفتگی به فروش گذاشته خواهد شد. این افراد قول داده‌اند که هیچ نسخه‌ای از داده‌ها را نزد خود نگاه نداشته و مدعی هستند که پس از پایان معامله این تنها خریدار است که رونوشت اطلاعات را در اختیار خواهد داشت.

در ادامه تهدید GSMLaw، گروه REvil خبر داده که قصد دارد تا با برگزاری یک مزایده، اطلاعات مربوط به مدونا، دیگر موکل این شرکت را با قیمت اولیه 1 میلیون دلار به حراج بگذارد.

در عین حال GSMLaw حداقل تا زمان نگارش این خبر زیر بار پرداخت باج نرفته است.

مهاجمان باج‌افزار REvil گروهی با گرایش‌های به‌شدت مالی است.

باج‌افزار REvil با نام‌های Sodin و Sodinokibi نیز شناخته می‌شود. 23 اردیبهشت ماه مرکز مدیریت راهبردی افتای ریاست جمهوری با همکاری شرکت مهندسی شبکه گستر در این گزارش به برخی قابلیت‌های جدید این باج‌افزار پرداخت.

انتشار داده‌های قربانی در صورت عدم پرداخت، تهدیدی است که سال‌هاست گردانندگان باج‌افزار از آن حرف می‌زنند. در حالی که دسترسی مهاجم به فایل‌های قربانی به‌خصوص در حملات باج‌افزاری مبتنی بر RDP بر کسی پوشیده نیست، موانعی همچون زمانبر بودن انتقال اطلاعات در بستر اینترنت، همواره عامل جدی گرفته نشدن این چنین ادعاها و توخالی دانستن آنها توسط شرکت‌ها و متخصصان فعال در حوزه امنیت بوده است.

اما به نظر می‌رسد که اقدامات اخیر مهاجمان باج‌افزارهایی همچون REvil همه چیز را تغییر داده است.

واقعیت آن است که حملات باج‌افزاری هیچ گاه به‌عنوان حملاتی از نوع نشت اطلاعات در نظر گرفته نمی‌شده است. اما با واقعی شدن این ادعای قدیمی مهاجمان باج‌افزار زمان آن فرا رسیده که شرکت‌ها و به خصوص دست‌اندرکاران امنیت فناوری اطلاعات تجدید نظری در باورها و روال‌های خود داشته باشد. در بسیاری از موارد در میان فایل‌های رمزگذرای شده اطلاعات حساسی همچون اطلاعات کارکنان، مشتریان و شرکا که سازمان ملزم به حفاظت از آنهاست به چشم می‌خورد. با این رویکرد جدید باج‌گیران سایبری، منبعد قربانیان باج‌افزار، نه فقط دغدغه بازگرداندن اطلاعات رمزگذاری شده که نگرانی اعلام موضوع به مشتریان و شرکای تجاری خود را هم که الزام قانونی برخی کشورها در رخدادهای نشت اطلاعات است نیز خواهند داشت.

لذا، همچون همیشه بکارگیری روش‌های پیشگیرانه در مقابله با باج‌افزارها و مقاوم سازی پودمان RDP برای ایمن ماندن از گزند باج‌افزارها توصیه می‌شود.