گروه جدیدی از تبهکاران سایبری با عنوان BlackMatter در تلاش هستند تا با دستیابی به اطلاعاتی همچون نام کاربری و رمز عبور شبکه سازمانهای بزرگ، اقدام به رخنه به آنها و توزیع باجافزار بر روی دستگاهها کنند.
BlackMatter مدعی است، باجافزار این گروه تمامی قابلیتهای اصلی باجافزارهای REvil و DarkSide را در خود دارد.
در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، برخی اخبار و یافتههای منتشر شده در خصوص BlackMatter مرور شده است.
30 تیر، گردانندگان BlackMatter در یکی از تالارهای گفتگوی اینترنتی هکرها، اقدام به انتشار پیامهایی در خصوص خرید اطلاعات دسترسی شبکههای سازمانی کردند.
در این پیام، مهاجمان اعلام کردند که جهت خرید اطلاعات لازم برای دسترسی به شبکه سازمانهایی با مشخصات زیر، حاضرند مبلغی بین 3 تا 100 هزار دلار را پرداخت کنند:
- درآمد بالای شرکت (حداقل 100 میلیون دلار)
- دارای 500 تا 15 هزار دستگاه
- عدم سابقه حمله مهاجمان دیگر به آن
مهاجمان 120 هزار دلار را در کیف پول دیجیتال یکی از این تالارهای گفتگو واریز کردند تا نشان دهند که تصمیم آنها برای خرید جدی است.
همچنین بهتازگی یک سایت جدید نشت داده در شبکه ناشناس TOR در Dark Web فعال شده که به نظر میرسد متعلق به BlackMatter است.
در سایت مذکور، این مهاجمان علاوه بر تعریف و تمجید از خود! مدعی شدهاند که مراکز و سازمانهای فعال در هر یک از حوزههای زیر از گزند حملات BlackMatter در امان خواهند بود:
- بیمارستانها
- تأسیسات زیربنایی حیاتی (نیروگاههای هستهای، نیروگاههای تولید برق و تاسیسات تصفیه آب)
- صنایع نفت و گاز (خطوط لوله و پالایشگاههای نفت).
- صنایع دفاعی
- شرکتهای غیرانتفاعی
- بخش دولتی
گفته میشود باجافزار BlackMatter بسترهای مختلف از جمله موارد زیر را پشتیبانی میکند:
- Windows با قابلیت اجرا در حال SafeMode به روشهای مختلف (EXE / Reflective DLL / PowerShell)
- Linux با قابلیت اجرا بر روی توزیعها و سیستمهای فایل مختلف و پشتیبانی از تجهیزات NAS معروف نظیر Synology ،OpenMediaVault و TrueNAS
اگر چه هنوز نام هیچ قربانی در سایت این گروه باجافزاری منتشر نشده اما برخی اخبار و گزارشها از اجرای گسترده حملات توسط BlackMatter حکایت دارد.
در یکی از موارد گزارش شده بهتازگی یک قربانی 4 میلیون دلار به مهاجمان BlackMatter پرداخت کرده است.
با بررسی پیامهای مهاجمان و نحوه عملکرد آنها به نظر میرسد که گردانندگان BlackMatter افرادی بسیار حرفهای بوده و به احتمال زیاد باجافزار آنها، بر پایه باجافزاری مطرح و سابقهدار توسعه داده شده است.
برخی محققان نیز معتقدند باجافزار BlackMatter محصول گروهی است که قبلاً با DarkSide و REvil همکاری داشتهاند.
سال گذشته گزارش شد که گردانندگان باجافزار REvil، برای فرار از پیگیردهای قانونی، اقدام به تغییر نام خود به DarkSide کردهاند.
در عین حال ظهور DarkSide موجب افول REvil نشد و طی یک سال گذشته هر دوی آنها فعال ماندند. حمله DarkSide به خط لوله کولونیال و انتشار گسترده REvil با سوءاستفاده از یک آسیبپذیری روز-صفر در Kaseya VSA در ماههای گذشته یکبار دیگر حساسیت نهادهای قانونی به این جرایم سایبری را تشدید کرد؛ به نحوی که مدتی کوتاه پس از اجرای حملات مذکور، سایتهای پرداخت باج این دو باجافزار غیرفعال شدند. برخی منابع احتمال میدهند که این اتفاقات در نتیجه مذاکرات اخیر کاخ سفید با مسکو در مورد لزوم توقف حملات باجافزاری مهاجمان روسی به سازمانها و زیرساختهای آمریکا رخ داده و فشار دولت روسیه عامل اصلی تعطیلی REvil و DarkSide بوده است.
همه این ها در کنار وجود شباهتهایی دیگر سبب شده که عده ای از کارشناسان امنیتی، BlackMatter را نام جدید REvil و DarkSide بدانند. اما تا زمانی که نمونهای از حملات BlackMatter مورد بررسی و کالبدشکافی قرار نگیرد نمیتوان با اطمینان در خصوص این فرضیهها اظهار نظر کرد.