روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ هیچ بازاری تحمل پوچی را ندارد و این روی باجافزارها هم صدق میکند. بعد از اینکه گنگهای BlackMatter و REvil عملیاتهای خود را تمام کردند، بلافاصله با ظهور بازیگران جایگزین شدند و گربه سیاه یا همان BlackCat یکی از همانهاست. این باجافزار از ماه دسامبر 2021 وارد میدان شده. گروه پشت این باجافزار ALPHV است؛ آنها گربه سیاه را روی تالارهای گفتوگوی هکرها گذاشتند. در ادامه با ما همراه شوید تا اطلاعات بیشتری در مورد گربه سیاه در اختیارتان قرار دهیم.
بعد از چندین رخداد سایبری، متخصصین ما در GReAT[1] تصمیم گرفتند با دقت فعالیت این گروه را زیر نظر گرفته و گزارشی جامع از آن را در وبسایت سکیورلیست قرار دهند. مهاجمین در آگهیهای تبلیغاتی به این اشاره کرده بودند که خطاها و مشکلات پیشینیان خود را بررسی کرده بودند و از این رو دست به ابداع نسخه پیشرفتهای از این بدافزار زدهاند. با این حال هنوز آثاری از دخالت گروههای BlackMatter و REvil در آن دیده میشود اما گویی مهاجمین سعی ندارند این رد و آثار را نشان دهند.
معرفی گروه BlackCat و ابزارهایی که برای پیشبرد هدفش استفاده میکند
سازندگان باجافزار BlackCat سرویسهای خود را تحت نقشه [2]RaaS ارائه میدهند. به بیانی دیگر آنها به مهاجمین دسترسی به زیرساختشان و نیز کد مخرب میدهند و در عوض بخشی از سهم باج را برای خود برمیدارند. افزون بر این، اعضای گنگ گربه سیاه شاید همچنین مسئولیت مذاکرات با قربانیان را نیز خود بر عهده گیرند. از این رو تنها کاری که فرنچایز[3] آنها باید خودشان انجام دهند این است که به محیط سازمانی دسترسی پیدا کنند. این اصل «ما همه کارها را ترتیباثر میدهیم» دلیل شتاب گرفتن فعالیت گربه سیاه شده است: بدافزار آنها همین الانش دارد برای حمله به شرکتهای سراسر جهان مورد استفاده قرار میگیرد. در زرادخانهی گربه سیاه چندین سلاح و ابزار یافت میشود. اولی کریپتوری به همین نام است که به زبان Rust نوشته شده است و به لطف آن مهاجمین توانستند ابزار چند پلتفرمهای با نسخههایی از این بدافزار بسازند که هم روی محیط ویندوز کار کند هم لینوکس. دومی ابزار Fendr هست که برای استخراج داده از زیرساخت آلوده مورد استفاده قرار میگیرد. استفاده از این ابزار نشان میدهد شاید گربه سیاه همان BlackMatter باشد اما با نام تجاری تغییرکرده! BlackMatter تنها گروهی بود که از این ابزار –همچنین آن را به ExMatter هم میشناسند- استفاده میکرد. BlackCat همچنین از ابزار PsExec برای حرکت جانبی در شبکه قربانی و از Mimikatz (نرمافزار هکر شناختهشده) و نرمافزار Nirsoft برای استخراج پسوردهای شبکه استفاده میکند.
قربانیان گربه سیاه چه کسانی هستند؟
متخصصین ما از بین رخدادهای باجافزاری BlackCat دستکم یک حمله را روی شرکت صنعتی آمریکای جنوبی که در بخش نفت، گاز، ماینینگ و سازه فعالیت دارد مشاهده کردند. همینطور چندین کلاینت آلوده را نیز در شرکتهای ارائهدهنده برنامهریزی منبع سازمانی در خاورمیانه کشف نمودند. یکی از آزاردهندهترین حقیقتها این است که Fendr در حال پیشرفت است. این ابزار در حال حاضر میتواند در مقایسه با موارد قبلی حملات از سوی گروه BlackMatter به طور خودکار طیف وسیعتری از فایلها را دانلود کند. مجرمان سایبری اخیراً توانایی در یافتن فایلها با لیست افزونههای زیر را نیز به تواناییهای خود افزودند:
.sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt and .dxf.
این نوع فایلها به اپهای طراحی صنعتی و ابزارهای دسترسی ریموت مربوط می شوند و شاید علامتی باشد از اینکه سازندگان بدافزار دارند محیطهای صنعتی را مورد هدف قرار میدهند.
راهکارهای امنیتی
به منظور جلوگیری از شرکت خود در برابر سرقت دادههای مهم توصیه میکنیم ابتدا با استفاده از راهکارهای امنیتی مطمئن از همه دستگاههای سازمانی خود محافظت کرده و دوم اینکه به کارمندان خود در خصوص موارد اولیه امنیت اطلاعات به طور نظاممندی آموزش دهید. با توجه به این حقیقت که RaaS همچنان به رشد خود خود اصرار دارد مهمتر از هر چیز دیگری این است که شرکتها خود را برای رخدادهای سایبری آماده کنند و استراتژی ضدباجافزاری چند سطحی را اتخاذ نمایند.
[1] Global Research and Analysis Team
[2] Ransomware-as-a-Service
[3]حق امتیاز گونهای از کسب و کار است که بر پایه آن به یک شرکت اختیار داده میشود که تولیدات یا فراوردههای شرکت دیگر را بفروشد و در برابر آن مبلغی دریافت کند که به این مبلغ، مبلغ فرانشیز میگویند
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
