افزایش فعالیت باج‌افزار BlackCat

به تازگی “پلیس فدرال امریکا” (Federal Bureau of Investigation – به اختصار FBI) در مورد باج‌افزار BlackCat که به صورت خدمات اجاره‌ای (Ransomware-as-a-Service – به اختصار RaaS) در اختیار تبهکاران سایبری قرار گرفته، هشدار داده است. این باج‌افزار از زمان ظهور آن در آبان 1400 تا اوایل فرودین سال جاری، حداقل 60 سازمان در سراسر جهان را مورد هدف قرار داده است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده باج‌افزار مذکور مورد بررسی قرار گرفته است.

باج‌افزار BlackCat که ALPHV و Noberus نیز نامیده می‌شود، اولین نمونه‌ای است که به زبان برنامه‌نویسی Rust نوشته شده است و به دلیل  ارائه عملکرد بهتر، بسیار مورد توجه قرار گرفته است.

FBI همچنین اعلام نموده است که بسیاری از برنامه‌نویسان این باج‌افزار و افرادی که باج‌های دریافتی آن را پولشویی‌ می‌کنند، با گردانندگان باج‌افزار DarkSide/BlackMatter در ارتباط می‌باشند، که این امر نشان دهنده ارتباط گسترده مهاجمان BlackCat و تجربه و تبحر فراوان آنها در حملات باج‌افزاری است.

لازم به ذکر است که این اطلاعات چند هفته پس از انتشار دو گزارش‌ از طرف محققان امنیتی سیسکو (.Cisco Systems, Inc) و کسپرسکی (.Kaspersky Lab) توسط FBI ارائه شده است. در گزارش‌های منتشر شده توسط این دو شرکت، ارتباطاتی بین باج‌افزارهای BlackCat و BlackMatter شناسایی و اعلام شده بود، از جمله استفاده از نسخه اصلاح‌شده ابزار Fendr جهت استخراج داده‌ که قبلاً فقط در فعالیت‌های مرتبط با BlackMatter مشاهده شده بود.

یکی از دیگر مزایای کدهای مخرب نوشته شده با زبان برنامه‌نویسی Rust این است که امکان تشخیص این کدهای مخرب توسط ابزارهای تحلیل ساده کمتر است زیرا این ابزارها با همه زبان‌های برنامه‌نویسی همخوانی و سازگاری ندارند.

مانند سایر گروه‌های اجاره‌دهنده باج‌افزار، BlackCat نیز قبل از اجرای عملیات باج‌افزار، اقدام به سرقت داده‌های قربانیان می‌نماید. باج‌افزار اغلب از مجوزهای دسترسی سرقته شده جهت دسترسی اولیه به سیستم مورد نظر خود استفاده می‌کند.

در یکی از حملات باج‌افزار BlackCat که در 26 اسفند 1400 رخ داد و توسط محققان آزمایشگاه‌ Forescout Vedere تحلیل شده، مشخص گردید که از یک فایروال SonicWall SRA از رده خارج و به روز نشده، جهت دسترسی اولیه به شبکه سوءاستفاده شده و پس از ورود اقدام به رمزگذاری نمودند.

FBI علاوه بر توصیه به قربانیان جهت گزارش فوری حوادث باج‌افزاری، پرداخت باج را به هیچ وجه توصیه نمی‌کند، زیرا هیچ تضمینی وجود ندارد که فایل‌های رمزگذاری شده بازیابی شوند. اما در عین حال تصدیق کرده که قربانیان ممکن است جهت محافظت از سهامداران، کارمندان و مشتریان خود مجبور شوند به چنین درخواست‌های باج‌گیری تن دهند.

FBI به سازمان‌ها اقدامات زیر را جهت ایمن ماندن از گزند باج‌افزارها توصیه می‌کند:

  • Domain Controller، سرورها، ایستگاه‌های کاری و دایرکتوری‌های فعال را برای حساب‌های کاربری جدید یا ناشناس بررسی کنید.
  • از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حساب‌های کاربری محلی (Local)، تحت دامنه (Domain)، سیستم‌عامل و پایگاه‌های داده، به ویژه حساب‌های با سطح دسترسی Administrator/SysAdmin استفاده نمایید.
  • به طور مرتب رمزهای عبور به سیستم‌ها و حساب‌های کاربری شبکه را تغییر دهید و از استفاده از رمزهای عبور تکراری برای حساب‌های مختلف خودداری کنید.
  • به طور منظم از داده‌ها و رمزهای عبور به صورت آفلاین نسخه پشتیبان تهیه کنید. اطمینان حاصل کنید که داده‌های نسخه پشتیبان بر روی سیستمی که نگهداری می‌شوند قابل تغییر یا حذف نیستند.
  • در کوتاهترین بازه‌های زمانی قابل قبول جهت تغییر رمزهای عبور اقدام نمائید.
  • بخش زمان‌بندی وظایف (Task Scheduler) را برای وظایف زمان‌بندی‌شده ناشناخته بازبینی کنید. به‌علاوه، وظایف زمان‌بندی‌شده را جهت یافتن «اقدام» ناشناخته بازبینی کنید (به عنوان مثال: مراحل و گام‌هایی که هر وظیفه زمان‌بندی شده باید انجام دهد را مرور کنید).
  • گزارش‌های ضدویروس را جهت یافتن نشانه‌هایی که حاکی از خاموش شدن غیرمنتظره ضدویروس هستند، مرور کنید.
  • شبکه را تقسیم‌بندی کنید.
  • سطح دسترسی کاربران را محدود کنید به صورتی که جهت نصب نرم‌افزار به تائید مدیر شبکه نیاز باشد.
  • سطوح دسترسی اعمال شده بر روی پوشه‌های اشتراکی را بصورت سخت‌گیرانه مدیریت کنید.
  • یک طرح بازیابی برای نگهداری و حفظ نسخ پشتیبان متعدد از داده‌ها و سرورهای حساس و حیاتی یا اختصاصی در یک مکان فیزیکی جدا، بخش‌بندی شده و ایمن (به عنوان مثال، دیسک‌های سخت، دستگاه‌های ذخیره‌سازی، بسترهای ابری) اجرا و تدوین نمایید.
  • به ‌محض انتشار اصلاحیه‌ها و بروزرسانی‌ سیستم‌عامل، نرم‌افزارها و ثابت‌افزارها، اقدام به نصب و اعمال آنها کنید.
  • در صورت امکان، از احراز هویت چند‌عاملی (Multifactor Authentication) استفاده کنید.
  • پورت‌های دسترسی از راه دور / پودمان دسکتاپ از راه دور (Remote Desktop Protocol – به اختصار RDP) استفاده نشده را غیرفعال کنید یا حداقل درگاه پیش‌فرض آنها را تغییر دهید و گزارش‌های دسترسی از راه دور/RDP را بررسی کنید.
  • حساب‌های کاربری دارای اختیارات مدیریتی را بازبینی کنید و مجوز دسترسی به حساب‌ها را با حداقل اختیارات قابل قبول، پیکربندی کنید.
  • برای نصب ضدویروس قدرتمند و بروزرسانی منظم آن و بکارگیری نرم‌افزارهای ضدباج‌افزار بر روی همه سرورها اقدام کنید.
  • برای استفاده از دیواره آتش (Firewall) در درگاه شبکه اقدام کنید.
  • فقط از شبکه‌های امن استفاده کنید و از شبکه‌های Wi-Fi عمومی استفاده نکنید. نصب و استفاده از یک شبکه خصوصی مجازی (VPN) را در دستور کار قرار دهید.
  • جهت هوشیاری بیشتر کاربران، افزودن یک اعلان (Banner) به ایمیل‌های دریافتی از خارج از سازمان خود را در اولویت قرار دهید.
  • پیوندها (Hyperlink) را در ایمیل‌های دریافتی غیرفعال کنید.

مشروح اطلاعیه FBI در خصوص این باج‌افزار به همراه علائم آلودگی (Indicators of Compromise – به اختصار IoC) در نشانی زیر قابل دریافت و مطالعه است:

https://www.ic3.gov/Media/News/2022/220420.pdf

 

منبع:

https://thehackernews.com/2022/04/fbi-warns-of-blackcat-ransomware-that.html

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *