گردانندگان باجافزار REvil مدعی هستند اطلاعاتی را در اختیار دارند که افشای آنها میتواند لطمهای جدی به میزان استقبال رأیدهندگان از دونالد ترامپ در انتخابات بعدی ریاست جمهوری آمریکا وارد کند. همچنین این گروه قصد دارد تا دادههای مربوط به مدونا را نیز در یک حراج به فروش بگذارد.
گردانندگان REvil از جمله مهاجمانی هستند که اهداف خود را بهصورت خاص انتخاب کرده و ضمن سرقت فایلها و دادهها، در صورت پرداخت نشدن مبلغ اخاذیشده اقدام به افشای آنها میکنند. ۲۱ فروردین روزنامه والاستریت جورنال گزارش کرد که شرکت تراولکس که شبکه آن آلوده به باجافزار REvil شده بود بهمنظور بازگرداندن سیستمها به حالت اولیه اقدام به پرداخت باج ۲.۳ میلیون دلاری به این تبهکاران کرده است.
به گزارش شرکت مهندسی شبکه گستر، در یکی از جدیدترین موارد این مهاجمان با رخنه به شبکه شرکت حقوقی Grubman Shire Meiselas & Sacks – به اختصار GSMLaw – اقدام به سرقت اطلاعات ظاهراً بسیار باارزش قبل از رمزگذاری آنها کردهاند.
GSMLaw وکالت تعداد بسیار زیادی از افراد سرشناس را در کارنامه دارد.
این گروه در ابتدا مبلغ 21 میلیون دلار را در ازای آنچه که این افراد آن را رمزگشایی فایلها میخوانند از GSMLaw اخاذی کرد. در پی پرداخت نشدن باج ظرف 10 روز، مهاجمان ضمن دو برابر کردن مبلغ، GSMLaw را تهدید به انتشار 756 گیگابایت از دادههای سرقت شده کردند.
با زیر بار نرفتن GSMLaw، مهاجمان REvil اقدام به انتشار 2.4 گیگابایت از اسناد مرتبط با لیدی گاگا (خواننده آمریکایی) کردند. در ادامه تهدید کردند که در صورت عدم پرداخت باج، اطلاعات دونالد ترامپ، رئیس جمهور آمریکا را که در جریان هک GSMLaw به دست این مهاجمان رسیده است منتشر خواهند کرد. اطلاعاتی که به گفته این گروه تأثیری منفی بر میزان محبوبیت ترامپ و انتخاب مجدد او در انتخابات آتی ریاست جمهوری آمریکا خواهد گذاشت.
با بینتیجه ماندن تلاش مهاجمان در مستأصل کردن مدیران GSMLaw، بخشی از اطلاعات مرتبط با دونالد ترامپ، شامل 160 ایمیل که به گفته این افراد در مقایسه با سایر اطلاعات بیضرر محسوب می شود به اشتراک گذاشته شد.
بر طبق اعلام گردانندگان REvil اطلاعات اصلی در حراجهای هفتگی به فروش گذاشته خواهد شد. این افراد قول دادهاند که هیچ نسخهای از دادهها را نزد خود نگاه نداشته و مدعی هستند که پس از پایان معامله این تنها خریدار است که رونوشت اطلاعات را در اختیار خواهد داشت.
در ادامه تهدید GSMLaw، گروه REvil خبر داده که قصد دارد تا با برگزاری یک مزایده، اطلاعات مربوط به مدونا، دیگر موکل این شرکت را با قیمت اولیه 1 میلیون دلار به حراج بگذارد.
در عین حال GSMLaw حداقل تا زمان نگارش این خبر زیر بار پرداخت باج نرفته است.
مهاجمان باجافزار REvil گروهی با گرایشهای بهشدت مالی است.
باجافزار REvil با نامهای Sodin و Sodinokibi نیز شناخته میشود. 23 اردیبهشت ماه مرکز مدیریت راهبردی افتای ریاست جمهوری با همکاری شرکت مهندسی شبکه گستر در این گزارش به برخی قابلیتهای جدید این باجافزار پرداخت.
انتشار دادههای قربانی در صورت عدم پرداخت، تهدیدی است که سالهاست گردانندگان باجافزار از آن حرف میزنند. در حالی که دسترسی مهاجم به فایلهای قربانی بهخصوص در حملات باجافزاری مبتنی بر RDP بر کسی پوشیده نیست، موانعی همچون زمانبر بودن انتقال اطلاعات در بستر اینترنت، همواره عامل جدی گرفته نشدن این چنین ادعاها و توخالی دانستن آنها توسط شرکتها و متخصصان فعال در حوزه امنیت بوده است.
اما به نظر میرسد که اقدامات اخیر مهاجمان باجافزارهایی همچون REvil همه چیز را تغییر داده است.
واقعیت آن است که حملات باجافزاری هیچ گاه بهعنوان حملاتی از نوع نشت اطلاعات در نظر گرفته نمیشده است. اما با واقعی شدن این ادعای قدیمی مهاجمان باجافزار زمان آن فرا رسیده که شرکتها و به خصوص دستاندرکاران امنیت فناوری اطلاعات تجدید نظری در باورها و روالهای خود داشته باشد. در بسیاری از موارد در میان فایلهای رمزگذرای شده اطلاعات حساسی همچون اطلاعات کارکنان، مشتریان و شرکا که سازمان ملزم به حفاظت از آنهاست به چشم میخورد. با این رویکرد جدید باجگیران سایبری، منبعد قربانیان باجافزار، نه فقط دغدغه بازگرداندن اطلاعات رمزگذاری شده که نگرانی اعلام موضوع به مشتریان و شرکای تجاری خود را هم که الزام قانونی برخی کشورها در رخدادهای نشت اطلاعات است نیز خواهند داشت.
لذا، همچون همیشه بکارگیری روشهای پیشگیرانه در مقابله با باجافزارها و مقاوم سازی پودمان RDP برای ایمن ماندن از گزند باجافزارها توصیه میشود.