در این پست هم طبق روال ماه های پیش به بررسی حملات باج افزاری از دید محققین Malwarebytes پرداختیم.
نکته ای که در این خصوص این گزارش هستش اینه که ، حملات زیادی ممکنه از جنس باج افزاری وجود داشته باشه، اما در این گزارش به مواردی که افشاء شده پرداخته شده.
ماه مه ، باج افزار لاک بیت، یا بقول معروف ، پادشاه باج افزارها، یه رقیب سرسخت بنام MalasLocker داشت. در این ماه باج افزارها 556 قربانی داشتن و ایتالیا و روسیه اهداف اصلی باج افزارها بودن. نکته جالب دیگه اینکه در این ماه حمله به بخش آموزش افزایش قابل توجهی داشته.
شکل زیر نشون دهنده حملات باج افزاری شناخته شده در ماه مه هستش :
امسال این اولین باری نیست که باج افزار لاک بیت ، در رتبه اول لیست قرار نمیگیره. در مارس 2023 هم باج افزار Cl0p تونسته بود از مرز 100 قربانی عبور کنه و رتبه نخست به خودش اختصاص بده. این باج افزار با استفاده از یه آسیب پذیری زیرودی در برنامه انتقال فایل GoAnywhere MFT به این رتبه رسیده بود.
شکل زیر نشون دهنده بیشترین کشورهای قربانی باج افزار هستش :
شکل زیر هم نشون دهنده بیشترین صنایع درگیر با حملات باج افزاری هستش:
در ماه مه شاهد افزایش حمله به بخش آموزش هستیم. محققا اعلام کردن که از اوایل سال 2022 که فعالیت های باج افزارها رو رصد میکنن، بخش آموزش با 30 حمله شناخته شده، بدترین ماه رو تجربه کرده. شکل زیر این قضیه رو نشون میده و نکته ای که وجود داره اینه که این روند حمله در حال افزایش هستش :
بیشترین حمله در این بازه زمانی به بخش آموزش توسط باج افزار Vice Society انجام شده.
این ماه باج افزار MalasLocker ، تونسته با اکسپلویت آسیب پذیری CVE-2022-24682 که امکان اجرای کد از راه دور در سرورهای Zimbra میده، قربانیان زیادی رو بگیره. اما نکته ای که موجب شد این گروه بیشتر تو چشم بیاد، این بود که به جای درخواست باج، از قربانیان میخواستن که باج رو به موسسات خیریه مورد تایید بدن.
در یادداشت باج این گروه اومده که : بر خلاف گروههای باجافزار سنتی، ما از شما نمیخوایم برای ما پول بفرستید. ما فقط از شرکتها و نابرابری اقتصادی خوشمون نمیاد.
البته اینجوری هم فکر نکنید که اینا شرکتهای بزرگ یا پولدار میزنن، بلکه هر جور شرکتی رو هک و روش باج افزار اجرا میکنن و فقط شرکتهایی که در آمریکای لاتین ، آفریقا و کشورهای مستعمره نیستند رو هک نمیکنن. همچنین به گفته محققین، تا الان تاییدیه هم در خصوص اینکه اگه قربانی باج به امور خیریه داده باشه، اینا رمزگشا رو بهش داده باشن هم نگرفتن.
افزایش قربانیان باج افزار در روسیه و ایتالیا هم قابل توجه هستش بطوریکه اونا رو در لیست سه کشور برتر قرار داده ، که عمدتا دست آمریکا و بریتانیا هستش.
ایتالیا نسبت به ماه قبل افزایش 6 برابری داشته و روسیه که ماه قبل صفر گزارش باج افزاری داشته، در این ماه 50 گزارش رو ثبت کرده.
دلیل این رشد، حملات باج افزار MalasLocker هستش و اینکه اهداف آسیب پذیر در این دو کشور بیشتر بودن. شکل زیر حملات این باج افزار رو به تفکیک کشور نشون میده :
معمولا باج افزارها از هدف قرار دادن روسیه و کشورهای مشترک المنافع اجتناب میکنن، بنابراین یا این باج افزار در این کشورها مستقر نیست و از FSB نمیترسه و یا اینکه فعالیتهاشون موقتی هستش.
باج افزار Cl0p در 27 ماه مه ،تعطیلات روز یادبود آمریکا، شروع به سوء استفاده از یه آسیب پذیری SQLi در MOVEit Transfer کرد. این گروه قبلا از آسیب پذیری هایی در Accellion FTA و GoAnywhere MFT و PaperCut سوء استفاده کرده بود.
همچنین نکته ای که وجود داره اینه که باج افزارها دارن به سمت هدف قرار دادن چندین قربانی بصورت همزمان حرکت میکنن. اغلب با خودکار کردن حملات و اکسپلویتهای شناخته شده، چندین هدف رو بصورت همزمان میزنن. مثلا این ماه باج افزارهای Cl0p و MalasLocker چنین حرکتی رو زده بودن. این امر به دلیل اینکه میتونه حملات باج افزاری رو گسترده تر کنه، میتونه نگران کننده باشه.
بازیگران جدید :
BlackSuit به طور عجیبی شبیه باج افزار Royal هستش و 98 درصد کدهاشون مشترک هستش. این باج افزار پلتفرم های ویندوز و لینوکس رو ماه گذشته هدف قرار داده بود. با توجه به این اشتراک کد، BlackSuit میتونه برای رد گم کنی توسط توسعه دهندگان باج افزار Royal ایجاد شده باشه، یا توسط شرکای Royal ایجاد شده باشه تا تغییرات خودشون رو داشته باشن یا توسط یه گروه جدا شده از Royal توسعه داده شده باشه.
Rancoz یه باج افزار جدید هستش که شباهت هایی با Vice Society داره. یسری تغییرات در کدها دادن تا بتونن صنایع، سازمانها و مناطق جغرافیایی خاصی رو هدف قرار بدن ، همچنین بهبودهایی هم در کارایی و فرار از شناسایی دادن.
8BASE که از آوریل 2022 فعالیت میکنه، اما جدیدا مورد توجه قرار گرفته. این باج افزار در ماه مه 67 قربانی داشت که عمدتا شرکتهای کوچک و متوسط بودن. از این قربانیان 36 درصد مرتبط با بخش های تخصصی ، علمی و فنی و 17 درصد شامل بخش تولید بودن. اکثرا روی آمریکا و اروپا تمرکز دارن و بیشترین قربانی هاشون در کشورهای برزیل و آمریکاست.
RA Group یه باج افزار جدید هستش که بیشتر شرکتهای دارویی ، بیمه ، مدیریت ثروت و تولیدی رو در آمریکا و کره جنوبی هدف قرار میده. باج افزارشون هم از سورس کد افشاء شده Babuk توسعه داده شده. این باج افزار از رمزنگاری متناوب استفاده میکنه، یعنی بجای اینکه کل فایل رمز کنه بخشی از اون رو رمز میکنه.
