روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  یک زمان بود که وقتی سر خط خبرها باج‌افزارها بودند همه مطبوعات خبری به جنبش می‌افتادند و مردم می‌ترسیدند اما اکنون به جایی رسیدیم که حملات باج‌افزاری عادی شدند و حتی وقتی خبرساز می‌شوند به راحتی از کنارشان می‌گذریم. با این حال، باج‌افزارها هنوز هم برای امنیت سازمانی، سم هستند. در ادامه با ما همراه شوید تا معروف‌ترین حملات باج‌افزاری سال 2023 را با هم مرور کنیم.

ژانویه 2023: حمله LockBit به رویال میل انگلستان

سال2023 با گروه LockBit شروع شد. این گروه به سرویس پست ملی انگستان (رویال میل) حمله کرد. حمله باعث شد دلیوری پست ملی فلج شود و میلیون‌ها نامه و بسته در سیستم شرکت گیر کند. از همه بدتر اینکه وبسایت ردیابی مرسولات، سیستم پرداخت آنلاین و سایر سرویس‌ها هم از کار افتادند. در مرکز توزیع پست رویال در ایرلند شمالی، پرینترها شروع کردند به پخش نسخه‌هایی از یادداشت‌های باج که به رنگ نارنجی بودند.

همانطور که معمولاً در مورد حملات باج‌افزار مدرن اتفاق می‌افتد، LockBit تهدید کرد که داده‌های دزدیده شده را به صورت آنلاین پست می‌کند مگر اینکه باج پرداخت شود. رویال میل از پرداخت خودداری کرد، بنابراین داده‌ها در نهایت منتشر شد.

فوریه 2023: حمله ESXiArgs به سرورهای VMware ESXi در سراسر جهان

فوریه شاهد حمله باج‌افزاری خودکار ESXiArgs به سازمان‌ها از طریق آسیب‌پذیری RCE CVE-2021-21974 در سرورهای VMware ESXi بود. اگرچه VMware در اوایل سال 2021 یک پچ برای این آسیب‌پذیری منتشر کرد، اما این حمله باعث شد بیش از 3000 سرور VMware ESXi رمزگذاری شوند. عاملین حمله بیش از 2 بیت‌کوین (حدود 45000 دلار در زمان حمله) طلب کردند. برای هر قربانی جداگانه، آنها یک کیف پول بیت کوین جدید تولید کردند و آدرس آن را در یادداشت باج قرار دادند.

 تنها چند روز پس از شروع حمله، مجرمان سایبری نوع جدیدی از بدافزار رمزنگاری را راه‌اندازی کردند که بازیابی ماشین‌های مجازی رمزگذاری‌شده را بسیار سخت‌تر می‌کرد. برای اینکه ردیابی فعالیت‌های خود را دشوارتر کنند، آنها همچنین از دادن آدرس کیف پول باج خودداری کردند و همین باعث شد قربانیان به جای آن از طریق پیام‌رسان P2P با آنها تماس بگیرند.

مارس 2023: گروه Clop به طور گسترده روز صفری را در GoAnywhere MFT اکسپلویت کرد

در مارس 2023، گروه Clop شروع به بهره برداری گسترده از یک آسیب‌پذیری روز صفر در ابزار GoAnywhere MFT  (انتقال فایل مدیریت شده) Fortra کرد. Clop به دلیل تمایل خود به اکسپلویت آسیب پذیری‌ها در چنین سرویس‌هایی مشهور است: در سال های 2020-2021، این گروه از طریق حفره‌ای در Accelon FTA به سازمان ها حمله کرد و در اواخر سال 2021 به سوء استفاده از یک آسیب‌پذیری در SolarWinds Serv-U تغییر مکان داد.

در مجموع، بیش از 100 سازمان از حملات به سرورهای آسیب‌پذیر GoAnywhere MFT، از جمله Procter & Gamble، شهر تورنتو، و Community Health Systems - یکی از بزرگترین ارائه‌دهندگان مراقبت‌های بهداشتی در ایالات متحده، رنج بردند.

آوریل 2023: غیرفعال شدن پایانه‌های پوز NCR Aloha توسط حمله BlackCat

در ماه آوریل، گروه ALPHV  معروف به BlackCat  پس از باج‌افزاری که استفاده می‌کند  به NCR، سازنده و سرویس‌دهنده دستگاه‌های خودپرداز، بارکدخوان‌ها، پایانه‌های پرداخت و سایر تجهیزات خرده‌فروشی و بانکی در ایالات متحده حمله کرد. حمله باج‌افزاری، مراکز داده‌ای را که پلتفرم Aloha POS را مدیریت می‌کنند - که در رستوران‌ها، عمدتاً در فست فودها استفاده می‌شود - برای چند روز تعطیل کرد.

اساساً، این پلتفرم فروشگاه یک مرحله‌ای[1] برای مدیریت عملیات پذیرایی است: از پردازش پرداخت‌ها، دریافت سفارشات آنلاین و اجرای برنامه وفاداری گرفته تا مدیریت آماده‌سازی ظروف در آشپزخانه و حسابداری حقوق و دستمزد. در نتیجه حمله باج افزار به NCR، بسیاری از موسسات پذیرایی مجبور شدند به قلم و کاغذ روی بیاورند.

می 2023: حمله باج‌افزار رویال به شهر دالاس

اوایل ماه می شاهد یک حمله باج‌افزاری به خدمات شهری در دالاس، تگزاس بودیم - نهمین شهر پرجمعیت ایالات متحده- که بیشتر تحت تأثیر سیستم‌های فناوری اطلاعات و ارتباطات اداره پلیس دالاس قرار گرفت، و چاپگرهای شبکه شهر دالاس شروع به باج‌گیری کردند.

در اواخر همان ماه، حمله باج افزار دیگری به شهرداری شهری صورت گرفت: هدف این بار شهر آگوستا در ایالت جورجیا ایالات متحده بود و عاملین آن گروه BlackByte بودند.

ژوئن 2023: لانچ حملات وسیع با آسیب‌پذیری در MOVEit Transfer توسط گروه Clop

در ژوئن، همان گروه Clop که مسئول حملات فوریه به Fortra GoAnywhere MFT بود، شروع به سوءاستفاده از یک آسیب‌پذیری در یکی دیگر از ابزارهای انتقال فایل مدیریت‌شده - Progress Software's MOVEit Transfer کرد. این آسیب‌پذیری، CVE-2023-34362، در آخرین روز ماه می توسط Progress فاش و رفع شد، اما طبق معمول، همه مشتریان موفق به اعمال سریع پچ‌ها نشدند.

این حمله باج‌افزار - یکی از بزرگترین رخدادهای سال - سازمان‌های متعددی از جمله شرکت نفتی به نام Shel، اداره آموزش شهر نیویورک، شرکت رسانه‌ای بی‌بی‌سی، داروخانه‌های زنجیره‌ای بریتانیا Boots، شرکت هواپیمایی ایرلندی Aer Lingus، دانشگاه جورجیا و تولیدکننده تجهیزات چاپ آلمانی به نام Heidelberger Druckmaschinen را تحت الشعاع قرار داد.

جولای 2023: دانشگاه هاوایی به گروه NoEscape باج می‌دهد

در ماه جولای، دانشگاه هاوایی پذیرفت که به باج‌گیران پول پرداخت کرده است. خود این رخداد یک ماه قبل از اینکه همه نگاه‌ها به حملات MOVEit دوخته شود اتفاق افتاد. در آن زمان، یک گروه نسبتاً جدید به نام NoEscape یکی از بخش‌های دانشگاه، کالج جامعه هاوایی را با باج‌افزار آلوده کرد.

مهاجمین با سرقت 65 گیگابایت داده، دانشگاه را به انتشار تهدید کردند. اطلاعات شخصی 28000 نفر ظاهراً در معرض خطر قرار داشت. این واقعیت بود که دانشگاه را متقاعد کرد که به زورگیران باج بدهد.

نکته قابل توجه این است که کارکنان دانشگاه مجبور شدند به طور موقت سیستم های IT را خاموش کنند تا از گسترش باج افزار جلوگیری کنند. اگرچه گروه NoEscape پس از پرداخت باج، کلید رمزگشایی را ارائه کرد، انتظار می‌رفت که بازسازی زیرساخت فناوری اطلاعات دو ماه طول بکشد.

آگست 2023: Rhysida بخش مراقبت‌های بهداشتی را هدف قرار می‌دهد

ماه آگست با یک سری حملات توسط گروه باج افزار Rhysida به بخش مراقبت‌های بهداشتی مشخص شد. هلدینگ پزشکی پراسپکت PMH)  )که 16 بیمارستان و 165 کلینیک را در چندین ایالت آمریکا اداره می‌کند، سازمانی بود که بیشترین آسیب را دید.

هکرها ادعا کردند که 1 ترابایت اسناد شرکت و یک پایگاه داده 1.3 ترابایتی SQL حاوی 500000 شماره تامین اجتماعی، گذرنامه، گواهینامه رانندگی، سوابق پزشکی بیماران و همچنین اسناد مالی و حقوقی را به سرقت برده اند. مجرمان سایبری تقاضای باج 50 بیت کوین (در آن زمان حدود 1.3 میلیون دلار) کردند.

سپتامبر 2023: حمله BlackCat به دو کازینوی Caesars و MGM

در اوایل سپتامبر، اخباری مبنی بر حمله باج‌افزاری به دو عدد از بزرگترین هتل‌ها و کازینوهای زنجیره‌ای ایالات متحده - Caesars و MGM -  منتشر شد. در پشت این حملات گروه ALPHV/BlackCat قرار داشت که در بالا در ارتباط با حمله به پلتفرم NCR Aloha POS ذکر شد. این رخداد کل زیرساخت شرکت‌ها را از کار انداخت - از سیستم‌های چک‌این هتل گرفته تا ماشین‌های بازی. جالب اینجاست که قربانیان به روش های بسیار متفاوتی پاسخ دادند. سزار تصمیم گرفت 15 میلیون دلار به زورگیران بپردازد، یعنی نیمی از تقاضای اولیه 30 میلیون دلاری.

MGM تصمیم گرفت پرداخت نکند، بلکه به تنهایی زیرساخت را بازیابی کند. روند بازیابی 9 روز طول کشید، در این مدت شرکت 100 میلیون دلار (براورد خود) از دست داد که 10 میلیون دلار آن هزینه های مستقیم مربوط به بازیابی سیستم های فناوری اطلاعات از کار افتاده بود.

اکتبر 2023: اخاذی گروه BianLian از Air Canada

یک ماه بعد، گروه BianLian شرکت حامل پرچم کانادا، ایر کانادا را هدف قرار داد. مهاجمان ادعا می کنند که بیش از 210 گیگابایت اطلاعات مختلف از جمله داده های کارمند/تامین کننده و اسناد محرمانه را به سرقت برده اند. به ویژه، مهاجمین موفق به سرقت اطلاعات در مورد تخلفات فنی و مسائل امنیتی شرکت هواپیمایی شدند.

نوامبر 2023: گروه LockBit آسیب‌پذیری Citrix Bleed را اکسپلویت می‌کند

نوامبر 2023 تداعی کننده اکسپلویت آسیب‌پذیری Citrix Bleed است که توسط گروه LockBit انجام شد. اگرچه پچ‌های مربوط به این آسیب‌پذیری یک ماه قبل منتشر شد، اما در زمان حمله در مقیاس بزرگ، بیش از 10000 سرور در دسترس عموم آسیب‌پذیر بودند. این همان چیزی است که باج افزار LockBit از آن برای نفوذ به سیستم چندین شرکت بزرگ، سرقت داده ها و رمزگذاری فایل ها استفاده کرد.

در میان قربانیان نام‌های بزرگ، بوئینگ بود که مهاجمان اطلاعات دزدیده شده‌اش را بدون انتظار برای پرداخت باج منتشر کردند. این باج افزار همچنین به بانک صنعتی و تجاری چین ICBC))، بزرگترین بانک تجاری جهان، ضربه زد.

این رخداد به شدت به بازوی استرالیایی DP World، شرکت لجستیکی بزرگ مستقر در امارات که ده‌ها بندر و پایانه کانتینری را در سراسر جهان اداره می‌کند، آسیب رساند. حمله به سیستم‌های فناوری اطلاعات DP World Australia به طور گسترده در عملیات لجستیکی آن اختلال ایجاد نموده و حدود 30000 کانتینر را در بنادر استرالیا سرگردان کرد.

دسامبر 2023: زیرساخت ALPHV/BlackCat توسط نیروهای مجری قانون به زیر کشیده شد

در پایان سال، عملیات مشترک اف‌بی‌آی، وزارت دادگستری ایالات متحده، یوروپل، و سازمان‌های مجری قانون چندین کشور اروپایی، گروه باج‌افزار ALPHV/BlackCat را از کنترل زیرساخت‌های خود محروم کرد. پس از هک کردن آن، آنها به مدت چندین ماه بی سر و صدا اقدامات مجرمان سایبری را مشاهده، کلیدهای رمزگشایی داده ها را جمع آوری و به قربانیان BlackCat کمک کردند.

به این ترتیب، آژانس ها بیش از 500 سازمان را در سراسر جهان از تهدید باج خلاص  و حدود 68 میلیون دلار در پرداخت های احتمالی صرفه جویی کردند. در ادامه تصاحب نهایی سرورها را داشتیم و سپس به عملیات BlackCat پایان داده شد.

آمارهای مختلفی در مورد عملیات گروه باج افزار نیز منتشر شد. به گفته FBI، در طول دو سال فعالیت خود، ALPHV/BlackCat بیش از هزار سازمان را زیر پا گذاشته، در مجموع بیش از 500 میلیون دلار از قربانیان مطالبه و حدود 300 میلیون دلار باج دریافت کرده است.

چطور از گزند حملات باج‌افزاری به دور بمانیم؟

حملات باج‌افزاری هر سال که می‌گذرد متنوع‌تر و پیچیده‌تر می‌شوند، بنابراین یک نکته قاتل برای جلوگیری از این رخدادها وجود ندارد . اقدامات دفاعی باید جامع باشد. در نتیجه توصیه‌مان این است که روی وظایف زیر تمرکز کنید:

•         آموزش کارکنان در زمینه آگاهی از امنیت سایبری.
•         ذخیره سازی داده‌ها و دسترسی کارکنان را پیاده‌سازی و اصلاح کنید.
•         از داده های مهم به طور منظم نسخه پشتیبان تهیه کنید و آنها را از شبکه جدا کنید.
•         نصب محافظ قوی روی همه دستگاه های شرکتی.
•         نظارت بر فعالیت مشکوک در شبکه شرکتی با استفاده از تشخیص و پاسخ نقطه پایانی EDR) ).
•         اگر امنیت اطلاعات داخلی شما فاقد این قابلیت باشد، جستجو و پاسخ تهدید را به یک شرکت متخصص برون سپاری کنید.

[1] One stop shop

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.