به تازگی “پلیس فدرال امریکا” (Federal Bureau of Investigation – به اختصار FBI) در مورد باجافزار BlackCat که به صورت خدمات اجارهای (Ransomware-as-a-Service – به اختصار RaaS) در اختیار تبهکاران سایبری قرار گرفته، هشدار داده است. این باجافزار از زمان ظهور آن در آبان 1400 تا اوایل فرودین سال جاری، حداقل 60 سازمان در سراسر جهان را مورد هدف قرار داده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده باجافزار مذکور مورد بررسی قرار گرفته است.
باجافزار BlackCat که ALPHV و Noberus نیز نامیده میشود، اولین نمونهای است که به زبان برنامهنویسی Rust نوشته شده است و به دلیل ارائه عملکرد بهتر، بسیار مورد توجه قرار گرفته است.
FBI همچنین اعلام نموده است که بسیاری از برنامهنویسان این باجافزار و افرادی که باجهای دریافتی آن را پولشویی میکنند، با گردانندگان باجافزار DarkSide/BlackMatter در ارتباط میباشند، که این امر نشان دهنده ارتباط گسترده مهاجمان BlackCat و تجربه و تبحر فراوان آنها در حملات باجافزاری است.
لازم به ذکر است که این اطلاعات چند هفته پس از انتشار دو گزارش از طرف محققان امنیتی سیسکو (.Cisco Systems, Inc) و کسپرسکی (.Kaspersky Lab) توسط FBI ارائه شده است. در گزارشهای منتشر شده توسط این دو شرکت، ارتباطاتی بین باجافزارهای BlackCat و BlackMatter شناسایی و اعلام شده بود، از جمله استفاده از نسخه اصلاحشده ابزار Fendr جهت استخراج داده که قبلاً فقط در فعالیتهای مرتبط با BlackMatter مشاهده شده بود.
یکی از دیگر مزایای کدهای مخرب نوشته شده با زبان برنامهنویسی Rust این است که امکان تشخیص این کدهای مخرب توسط ابزارهای تحلیل ساده کمتر است زیرا این ابزارها با همه زبانهای برنامهنویسی همخوانی و سازگاری ندارند.
مانند سایر گروههای اجارهدهنده باجافزار، BlackCat نیز قبل از اجرای عملیات باجافزار، اقدام به سرقت دادههای قربانیان مینماید. باجافزار اغلب از مجوزهای دسترسی سرقته شده جهت دسترسی اولیه به سیستم مورد نظر خود استفاده میکند.
در یکی از حملات باجافزار BlackCat که در 26 اسفند 1400 رخ داد و توسط محققان آزمایشگاه Forescout Vedere تحلیل شده، مشخص گردید که از یک فایروال SonicWall SRA از رده خارج و به روز نشده، جهت دسترسی اولیه به شبکه سوءاستفاده شده و پس از ورود اقدام به رمزگذاری نمودند.
FBI علاوه بر توصیه به قربانیان جهت گزارش فوری حوادث باجافزاری، پرداخت باج را به هیچ وجه توصیه نمیکند، زیرا هیچ تضمینی وجود ندارد که فایلهای رمزگذاری شده بازیابی شوند. اما در عین حال تصدیق کرده که قربانیان ممکن است جهت محافظت از سهامداران، کارمندان و مشتریان خود مجبور شوند به چنین درخواستهای باجگیری تن دهند.
FBI به سازمانها اقدامات زیر را جهت ایمن ماندن از گزند باجافزارها توصیه میکند:
- Domain Controller، سرورها، ایستگاههای کاری و دایرکتوریهای فعال را برای حسابهای کاربری جدید یا ناشناس بررسی کنید.
- از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حسابهای کاربری محلی (Local)، تحت دامنه (Domain)، سیستمعامل و پایگاههای داده، به ویژه حسابهای با سطح دسترسی Administrator/SysAdmin استفاده نمایید.
- به طور مرتب رمزهای عبور به سیستمها و حسابهای کاربری شبکه را تغییر دهید و از استفاده از رمزهای عبور تکراری برای حسابهای مختلف خودداری کنید.
- به طور منظم از دادهها و رمزهای عبور به صورت آفلاین نسخه پشتیبان تهیه کنید. اطمینان حاصل کنید که دادههای نسخه پشتیبان بر روی سیستمی که نگهداری میشوند قابل تغییر یا حذف نیستند.
- در کوتاهترین بازههای زمانی قابل قبول جهت تغییر رمزهای عبور اقدام نمائید.
- بخش زمانبندی وظایف (Task Scheduler) را برای وظایف زمانبندیشده ناشناخته بازبینی کنید. بهعلاوه، وظایف زمانبندیشده را جهت یافتن «اقدام» ناشناخته بازبینی کنید (به عنوان مثال: مراحل و گامهایی که هر وظیفه زمانبندی شده باید انجام دهد را مرور کنید).
- گزارشهای ضدویروس را جهت یافتن نشانههایی که حاکی از خاموش شدن غیرمنتظره ضدویروس هستند، مرور کنید.
- شبکه را تقسیمبندی کنید.
- سطح دسترسی کاربران را محدود کنید به صورتی که جهت نصب نرمافزار به تائید مدیر شبکه نیاز باشد.
- سطوح دسترسی اعمال شده بر روی پوشههای اشتراکی را بصورت سختگیرانه مدیریت کنید.
- یک طرح بازیابی برای نگهداری و حفظ نسخ پشتیبان متعدد از دادهها و سرورهای حساس و حیاتی یا اختصاصی در یک مکان فیزیکی جدا، بخشبندی شده و ایمن (به عنوان مثال، دیسکهای سخت، دستگاههای ذخیرهسازی، بسترهای ابری) اجرا و تدوین نمایید.
- به محض انتشار اصلاحیهها و بروزرسانی سیستمعامل، نرمافزارها و ثابتافزارها، اقدام به نصب و اعمال آنها کنید.
- در صورت امکان، از احراز هویت چندعاملی (Multifactor Authentication) استفاده کنید.
- پورتهای دسترسی از راه دور / پودمان دسکتاپ از راه دور (Remote Desktop Protocol – به اختصار RDP) استفاده نشده را غیرفعال کنید یا حداقل درگاه پیشفرض آنها را تغییر دهید و گزارشهای دسترسی از راه دور/RDP را بررسی کنید.
- حسابهای کاربری دارای اختیارات مدیریتی را بازبینی کنید و مجوز دسترسی به حسابها را با حداقل اختیارات قابل قبول، پیکربندی کنید.
- برای نصب ضدویروس قدرتمند و بروزرسانی منظم آن و بکارگیری نرمافزارهای ضدباجافزار بر روی همه سرورها اقدام کنید.
- برای استفاده از دیواره آتش (Firewall) در درگاه شبکه اقدام کنید.
- فقط از شبکههای امن استفاده کنید و از شبکههای Wi-Fi عمومی استفاده نکنید. نصب و استفاده از یک شبکه خصوصی مجازی (VPN) را در دستور کار قرار دهید.
- جهت هوشیاری بیشتر کاربران، افزودن یک اعلان (Banner) به ایمیلهای دریافتی از خارج از سازمان خود را در اولویت قرار دهید.
- پیوندها (Hyperlink) را در ایمیلهای دریافتی غیرفعال کنید.
مشروح اطلاعیه FBI در خصوص این باجافزار به همراه علائم آلودگی (Indicators of Compromise – به اختصار IoC) در نشانی زیر قابل دریافت و مطالعه است:
https://www.ic3.gov/Media/News/2022/220420.pdf
منبع:
https://thehackernews.com/2022/04/fbi-warns-of-blackcat-ransomware-that.html