فعالیت دوباره باجافزار BlackByte با ترفندها و تهدیدات جدید
با انتشار سایت جدید نشت دادهها و با بهکارگیری تکنیکهای جدید اخاذی الگو گرفته شده از LockBit، فعالیت باجافزار ۲.BlackByte دوباره ازسرگرفته شد.
به گزارش خبرگزاري صدا و سيما و به نقل از مرکز مدیریت راهبردی افتا، مهاجمان اکنون استراتژیهای جدیدی برای اخاذی دارند که به قربانیان اجازه میدهد تا برای تمدید مهلت پرداخت باج و عدم انتشار دادهها تا ۲۴ ساعت، ۵ هزار دلار، عدم بهاشتراکگذاری دادهها، ۲۰۰ هزار دلار، یا حذف تمامی دادههای سرقت شده، ۳۰۰ هزار دلار هزینه پرداخت کنند. این قیمتها احتمالاً بسته به میزان درآمد هر قربانی تغییر خواهند کرد.
بااینحال، سایت جدید نشت داده باجافزار BlackByte، نشانیهای بیتکوین و مونرو را که «مشتریان» میتوانند برای خرید یا حذف دادهها از آنها استفاده کنند، بهدرستی جاسازی نمیکند و این موجب عدم اجرای صحیح قابلیتهای جدید میشود.
به نظر میرسد که هدف از تکنیکهای جدید اخاذی این است که به قربانی اجازه داده شود تا برای حذف دادههای خود پول پرداخت کند و یا در صورت تمایل، سایر مهاجمان دادههای سرقتشده را خریداری کنند.
LockBit ۳.۰ نیز چنین تکنیکهای اخاذی را معرفی کرده است که بیشتر بهعنوان یک ترفند به نظر میرسد تا تکنیک اخاذی قابلاجرا.
باجافزار BlackByte سعی میکند بسیاری از پروسههای مربوط به محصولات امنیتی، سرور ایمیل و پایگاهدادهها را برای رمزگذاری موفق سیستمها، از کار بیندازد؛ برای مثال این باجافزار قبل از رمزگذاری فایلها، Microsoft Defender را در سیستمهای قربانیان غیرفعال میکند.
مهاجمان با سوءاستفاده از آسیبپذیریهای امنیتی به شبکهها نفوذ کرده و زنجیره حمله ProxyShell به سرورهای Microsoft Exchange را نیز در کارنامه دارند.
محققان در پاییز سال گذشته، به این نکته پی بردند که گروه باجافزاری BlackByte، کلید رمزگذاری را پس از کد کردن، به اطلاعیه باجگیری (Ransom Note) اضافه کرده و از کلید مشابه برای چندین قربانی استفاده میکنند؛ در پی شناسایی ضعف یادشده در این باجافزار، محققان رمزگشای BlackByte را منتشر کردند که به قربانیان این باجافزار اجازه میداد فایلهای خود را بهصورت رایگان بازیابی کنند؛ البته متأسفانه پس از انتشار گزارش این ضعف، مهاجمان نقص مذکور را برطرف کردند.
خبر فنی و تخصصی درباره از سرگیری فعالیت باج افزار BlackByte برای آگاهی و مطالعه راهبران امنیتی سازمانهای دارای زیرساخت حیاتی در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به آدرس https://afta.gov.ir/fa-IR/Portal/۴۹۲۷/news/view/۱۴۶۰۸/۲۱۸۵/ منتشر شده است.