باج‌افزار BlackMatter؛ معجونی از REvil و DarkSide

گروه جدیدی از تبهکاران سایبری با عنوان BlackMatter در تلاش هستند تا با دستیابی به اطلاعاتی همچون نام کاربری و رمز عبور شبکه سازمان‌های بزرگ، اقدام به رخنه به آن‌ها و توزیع باج‌افزار بر روی دستگاه‌ها کنند.

BlackMatter مدعی است، باج‌افزار این گروه تمامی قابلیت‌های اصلی باج‌افزارهای REvil و DarkSide را در خود دارد.

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، برخی اخبار و یافته‌های منتشر شده در خصوص BlackMatter مرور شده است.

30 تیر، گردانندگان BlackMatter در یکی از تالارهای گفتگوی اینترنتی هکرها، اقدام به انتشار پیام‌هایی در خصوص خرید اطلاعات دسترسی شبکه‌های سازمانی کردند.

 

 

در این پیام، مهاجمان اعلام کردند که جهت خرید اطلاعات لازم برای دسترسی به شبکه سازمان‌هایی با مشخصات زیر، حاضرند مبلغی بین 3 تا 100 هزار دلار را پرداخت کنند:

  • درآمد بالای شرکت (حداقل 100 میلیون دلار)
  • دارای 500 تا 15 هزار دستگاه
  • عدم سابقه حمله مهاجمان دیگر به آن

مهاجمان 120 هزار دلار را در کیف پول دیجیتال یکی از این تالارهای گفتگو واریز کردند تا نشان دهند که تصمیم آن‌ها برای خرید جدی است.

همچنین به‌تازگی یک سایت جدید نشت داده در شبکه ناشناس TOR در Dark Web فعال شده که به نظر می‌رسد متعلق به BlackMatter است.

 

 

در سایت مذکور، این مهاجمان علاوه بر تعریف و تمجید از خود! مدعی شده‌اند که مراکز و سازمان‌های فعال در هر یک از حوزه‌های زیر از گزند حملات BlackMatter در امان خواهند بود:

  • بیمارستان‌ها
  • تأسیسات زیربنایی حیاتی (نیروگاه‌های هسته‌ای، نیروگاه‌های تولید برق و تاسیسات تصفیه آب)
  • صنایع نفت و گاز (خطوط لوله و پالایشگاه‌های نفت).
  • صنایع دفاعی
  • شرکت‌های غیر‌انتفاعی
  • بخش دولتی

گفته می‌شود باج‌افزار BlackMatter بسترهای مختلف از جمله موارد زیر را پشتیبانی می‌کند:

  • Windows با قابلیت اجرا در حال SafeMode به روش‌های مختلف (EXE / Reflective DLL / PowerShell)
  • Linux با قابلیت اجرا بر روی توزیع‌ها و سیستم‌های فایل مختلف و پشتیبانی از تجهیزات NAS معروف نظیر Synology ،OpenMediaVault و TrueNAS

اگر چه هنوز نام هیچ قربانی در سایت این گروه باج‌افزاری منتشر نشده اما برخی اخبار و گزارش‌ها از اجرای گسترده حملات توسط BlackMatter حکایت دارد.

در یکی از موارد گزارش شده به‌تازگی یک قربانی 4 میلیون دلار به مهاجمان BlackMatter پرداخت کرده است.

 

 

با بررسی پیام‌های مهاجمان و نحوه عملکرد آن‌ها به نظر می‌رسد که گردانندگان BlackMatter افرادی بسیار حرفه‌ای بوده و به احتمال زیاد باج‌افزار آن‌ها، بر پایه باج‌افزاری مطرح و سابقه‌دار توسعه داده شده است.

برخی محققان نیز معتقدند باج‌افزار BlackMatter محصول گروهی است که قبلاً با DarkSide و REvil همکاری داشته‌اند.

سال گذشته گزارش شد که گردانندگان باج‌افزار REvil، برای فرار از پیگیردهای قانونی، اقدام به تغییر نام خود به DarkSide کرده‌اند.

در عین حال ظهور DarkSide موجب افول REvil نشد و طی یک سال گذشته هر دوی آنها فعال ماندند. حمله DarkSide به خط لوله کولونیال و انتشار گسترده REvil با سوءاستفاده از یک آسیب‌پذیری روز-صفر در Kaseya VSA در ماه‌های گذشته یکبار دیگر حساسیت نهادهای قانونی به این جرایم سایبری را تشدید کرد؛ به نحوی که مدتی کوتاه پس از اجرای حملات مذکور، سایت‌های پرداخت باج این دو باج‌افزار غیرفعال شدند. برخی منابع احتمال می‌دهند که این اتفاقات در نتیجه مذاکرات اخیر کاخ سفید با مسکو در مورد لزوم توقف حملات باج‌افزاری مهاجمان روسی به سازمان‌ها و زیرساخت‌های آمریکا رخ داده و فشار دولت روسیه عامل اصلی تعطیلی REvil و DarkSide بوده است.

همه این ها در کنار وجود شباهت‌هایی دیگر سبب شده که عده ای از کارشناسان امنیتی، BlackMatter را نام جدید REvil و DarkSide بدانند. اما تا زمانی که نمونه‌ای از حملات BlackMatter مورد بررسی و کالبدشکافی قرار نگیرد نمی‌توان با اطمینان در خصوص این فرضیه‌ها اظهار نظر کرد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *