فهرست بستن

تاکتیک های باج افزار برای جمع آوری سریع پول از قربانیان

vpn
تاکتیک های باج افزار برای جمع آوری سریع پول از قربانیان

مفهوم باج افزار.

گتی

باج افزارها در روزهای اولیه خود از یک طرح اسپری و دعا استفاده می کردند که در آن اپراتورهای آن تا آنجا که ممکن بود ایمیل های فیشینگ ارسال می کردند و اهمیتی نمی داد که چه کسی یا افراد یا سازمان ها درگیر این مشکل شده اند. در این دوره که با اولین راه اندازی CryptoLocker در سال 2013 شروع شد ، باج 2000 دلار بیت کوین به دست آمد. هر چند در سال 2018 ، اخاذیان با تمرکز بر بخش سازمانی به عنوان هدفی بسیار آبدارتر از کاربران عادی ، اصول خود را تجدید نظر کردند.

این تغییر از بسیاری جهات، از جمله اندازه باج که می‌تواند به میلیون‌ها دلار برای هر سازمان در معرض خطر برسد، تبدیل به یک تغییر بازی شد. در کمال تعجب ، قربانیان تمایلی به پاسخگویی به خواسته های مهاجمان ندارند ، در صورتی که چنین ثروتی در خطر باشد. این امر کاتالیزوری برای ظهور مکانیسم‌های فشار پیچیده با هدف تسلیم کردن شرکت‌های غیرپرداخت و تغییر روند مذاکرات باج‌گیری شد. در زیر خلاصه ای از این تاکتیک ها آمده است.
1) سرقت و افشاگری
امروزه توزیع کنندگان باج افزار بیش از رمزگذاری داده های قربانیان عمل می کنند. آنها همچنین آن را به سرورهای تحت کنترل خود استخراج می کنند. این دمدمی مزیت بیشتری را برای کلاهبرداران در هنگام برقراری ارتباط با مشاغلی که به شبکه‌های آنها حمله کرده‌اند، می‌دهد. در صورت عدم پرداخت، فایل‌های دزدیده شده در سایت‌هایی به بیرون درز می‌کنند که همه علاقه‌مندان می‌توانند آن‌ها را ببینند. این می تواند مسائل فاجعه بار شهرت را در پی داشته و سازمان ها را مطیع تر کند.

یک گروه جنایی سایبری به نام Maze در اواخر سال 2019 با شروع به بازیابی داده های شرکت ها علاوه بر استفاده از رمزگذاری ، انقلابی در اکوسیستم اخاذی ایجاد کرد. ده‌ها باند باج‌افزار از آن زمان پیروی کرده‌اند.

۲)   از بین بردن داده‌ها در صورت ورود شرکت مذاکره‌کننده
در اواسط سپتامبر 2021 ، نویسندگان باج افزار نسبتاً جدید Grief اعلانی را در سایت دارک نت خود ارسال کردند و اعلام کردند که فوراً کلیدهای رمزگشایی خصوصی هر قربانی را که واسطه شخص ثالث حرفه ای برای مذاکره استخدام می کند ، حذف خواهند کرد. در این پیام تأکید می شود که چنین شرکت هایی فقط برای زمان بازی می کنند و سعی می کنند اندازه باج را کاهش دهند ، که هیچ کدام به نفع کلاهبرداران نیست.

3) ریختن داده ها در صورت تماس قربانی با مجریان قانون
یک گروه باج افزار معروف به Ragnar Locker در اوایل سپتامبر 2021 برخی از ترسهای اضافی را به برنامه های خود اضافه کرد. آنها سایت نشت خود را به روز کردند تا اعلام کنند که داده های مربوط به سازمانهایی را که از پلیس یا FBI درخواست کمک می کنند منتشر خواهند کرد. علاوه بر این ، اخاذی ها هشدار دادند که اگر یک قربانی با یک شرکت بازیابی اطلاعات برای انجام مذاکرات باجتی از طرف آنها مذاکره کند ، همین سناریو شروع می شود.

4) استخدام خودی
ژوئن گذشته ، صاحبان بی پروا از پلتفرم LockBit ransomware-as-a-service (RaaS) تعدیل قابل توجهی در شیوه عملکرد خود انجام دادند. این موارد شامل تنظیم دقیق صفحه پرداخت و سایت نشت ، و همچنین مجموعه ای از ویژگی های پیچیده جدید ، مانند توانایی مدیریت نادرست خط مشی های گروه برای حرکت سریع جانبی در داخل شبکه سازمانی است.

با این حال ، یک تغییر ویژه جالب در مورد عبارت یادداشت باج بود که تصویر زمینه ویندوز را در هر رایانه رمزگذاری شده جایگزین می کند. در حال حاضر این پاداش میلیون دلاری را به هر کسی که به کلاهبرداران کمک کند تا در محیط هر سازمانی پا بگیرند کمک می کند.
به عنوان مثال ، صفحه هشدار اطلاعات ورود به سیستم برای خدمات دسک تاپ از راه دور ، حساب های ایمیل شرکت ها یا VPN ها را ذکر می کند. اگر یک خودی با همکاری موافقت کند، باید چنین اطلاعاتی را در اختیار مهاجمان قرار دهد یا یک نسخه از یک ویروس را از طریق ایمیل دریافت کند و آن را بر روی هر دستگاهی در شرکت اجرا کند.
در نگاه اول ، نمایش چنین پیشنهادی برای کارکنان سازمانی که قبلاً به خطر افتاده است ، بی معنی به نظر می رسد. این پیام احتمالاً روی کارشناسان فنی و امنیتی خارجی متمرکز است که ممکن است حادثه باج افزار را بررسی کنند. بسیاری از این متخصصان با چندین مشتری شرکتی همکاری می کنند و به آنها در پاسخ به حملات سایبری یا انجام آزمایشات نفوذ کمک می کنند و بنابراین محدوده خاصی از دسترسی به دارایی های دیجیتالی خود را دارند.
5) DDoS به عنوان شمشیر داموکلس
تهدید به تاراج وب سایت قربانی با تعداد زیادی بسته ترافیک سرکش یک روش ارعاب متداول است که توسط توسعه دهندگان باج افزار استفاده می شود. در این مرحله ، دسته هایی مانند SunCrypt ، RagnarLocker ، REvil و Avaddon از این نوع باج گیری استفاده می کنند.
طبق روایت آنها، یک حمله انکار سرویس توزیع شده هنگامی که گفتگو با یک شرکت مصیبت زده به بن بست برسد، آغاز می شود. در یک نکته جانبی ، خدمات نسبتاً ارزان DDoS-for-hire در زیرزمین هک وجود دارد. این امر به احتمال زیاد این نوع "مجازات" را به یک تمرین اصلی در طول راه تبدیل می کند.
6) چاپگرها بامزه عمل می کنند
در نوامبر سال 2020 ، بدخواهان مسئول باج افزار Egregor از یک ترفند بسیار عجیب و غریب برای قربانی کردن قربانی خود استفاده کردند ، غول خرده فروشی شیلی به نام Cencosud. آنها کنترل چاپگرهای دریافتی را در فروشگاه های شرکت به دست آوردند و دستوراتی دادند تا این دستگاه ها جلوی چشم مشتریان زیادی که برای خرید مواد غذایی آمده بودند یادداشت باج چاپ کنند. به سختی می توان راهی م effectiveثرتر برای تبلیغات یک حمله در نظر گرفت ، اینطور نیست؟
7) تبلیغات فیس بوک مسلح شده است
تبلیغات در شبکه های اجتماعی یکی دیگر از راه های مناسب برای جنایتکاران است تا در مورد جنایت خود سر و صدا ایجاد کنند. سال گذشته ، توسعه دهندگان باج افزار Ragnar Locker از این تکنیک استفاده کردند تا قربانی خود را شرم آور کنند ، یک شرکت معروف نوشیدنی ایتالیایی Campari Group. آنها یک کمپین تبلیغاتی را از طرف یک دی جی شیکاگو که قبلاً حسابش تصرف شده بود راه اندازی کردند.
این تبلیغات حاوی جزئیاتی در مورد تهاجم، با تاکید بر دفاع ضعیف سازمان نقض شده بود. این کمپین بیش از 7000 بازدید و تقریبا 1000 کلیک جمع آوری کرده بود قبل از اینکه فیس بوک آن را به عنوان تقلب مسدود کند.
8) تماس با رسانه ها
در اوایل سال جاری ، باند بد نام باج افزار REvil شروع به استخدام افرادی کرد تا با روزنامه نگاران تماس بگیرند و بدین ترتیب خبر آخرین حملات آنها را به گوش دیگران برسانند. به عنوان بخشی از استراتژی امنیت عملیات (OPSEC) ، آنها از سرویس VoIP با قابلیت پخش صدا استفاده کردند. این حرکت همزمان با راه اندازی یک ابزار سفارشی DDoS انجام شد که به "وابستگان" اجازه می دهد شبکه های قربانیان سرسخت را به صورت آفلاین از کار بیندازند.
۹) برانگیختن ترس مشتریان
در مارس 2021، سازندگان یک نوع باج‌افزار معروف به Clop، ایمیل‌های نگران‌کننده‌ای را برای مشتریان شرکت‌های بزرگی که داده‌هایشان در نقض بدنام Accellion افشا شده بود، ارسال کردند. این حادثه مشاغل بیشماری را درگیر کرد که از آسیب پذیری بدون آدرس در راه حل Accellion's File Transfer Appliance (FTA) استفاده می کردند. تعدادی از قربانیان برجسته مورگان استنلی ، بانک ذخیره نیوزلند ، شل و بمباردیه بودند.
در این ایمیل ها ، اپراتورهای Clop به گیرندگان اطلاع دادند که فایل های ارزشمند آنها فاش می شود مگر اینکه سازمان آسیب دیده باج ارسال کند. کلاهبرداران همچنین به کاربران گفتند که با این شرکت ها تماس گرفته و بر پرداخت فوری اصرار کنند.
10) اختلال در خدمات مهم مشتریان تجاری شرکت
PrismHR، یک ارائه دهنده بین المللی نرم افزار مدیریت حقوق و دستمزد و منابع انسانی، به دلیل حمله سایبری که در فوریه 2021 رخ داد، مجبور شد برخی از خدمات خود را متوقف کند. فعالیتهای روزمره
PrismHR به خود زحمت نداد که به مشتریان بگوید چه چیزی باعث این قطعی شده است. با این حال، تحلیل‌گران امنیتی استدلال می‌کنند که این احتمالاً یک تلاش برای اخاذی بوده است، با توجه به اینکه این حادثه در آخر هفته رخ داده است، زمانی که اکثر توزیع‌کنندگان باج‌افزار از حفاظت تا حدودی بی‌کار سازمان‌ها بهره می‌برند.
خبر خوب این بود که شرکت آسیب دیده پشتیبان هایی داشت که می توانست سیستم های خود را از آنها بازیابی کند ، اما با توجه به این نکته که این روند همیشه زمان بر است ، به ویژه برای زیرساخت های بزرگ الکترونیکی. در همین حال ، نارضایتی بسیاری از مشتریان می تواند هر ارائه دهنده خدمات را به دنبال گزینه های بازیابی سریع تر ، که یکی از آنها پرداخت باج است ، قرار دهد.
11) بازارهای داده های سرقت شده
یکی از روندهای فعلی جرایم رایانه ای ، استفاده از منابع ویژه وب تاریک است که داده های بدست آمده از حملات و نقض باج افزارها را مبادله می کند. بازارهای برتر از این نوع مارکتو، File Leaks و Dark Leak Market نام دارند. در ژوئن گذشته ، مدیران Marketo تصمیم گرفتند با تماس با رقبای شرکت های قربانی و ارائه اطلاعات سرقت شده به آنها علاقه مند شوند.
نتیجه
استراتژی‌های اخاذی‌های سایبری امروزی به نفوذ به شبکه‌ها، اعمال رمزگذاری غیرمجاز و سرقت داده‌ها محدود نمی‌شود. این افراد همچنین تکنیک های م postثر پس از استثمار و سیاه نمایی را تحت فشار قرار داده اند تا قربانیان را برای سرفه کردن پول تحت فشار قرار دهند. گرفتن آنها بسیار سخت است. آنها از گزینه های جنایی استفاده می کنند و می توانند علاوه بر VPN ، پروکسی ها و. آنها برای دریافت پول از کیف پول های رمزنگاری شده با پشتوانه طلا استفاده می کنند.
با این حال، حتی اگر به نظر می‌رسد که وضعیت تاسف بار است، سازمان‌ها باید به باج به‌عنوان آخرین راه‌حل فکر کنند تا تنها گزینه ارزشمند. این نه تنها به پیشرفت بیشتر طاعون باج افزار کمک می کند ، بلکه به معنی واگذاری شرایط به شانس است ، زیرا کلاهبرداران حتی پس از به دست آوردن آنچه می خواهند هرگز نمی توانند فایلها را رمزگشایی کنند.
در این شرایط ، جلوگیری از تهدید بهترین تاکتیک است. شرکت ها باید در برنامه های آگاهی امنیتی برای پرسنل خود سرمایه گذاری کنند ، از ابزارهای امنیتی قابل اطمینان استفاده کنند که بدافزارها را قبل از آسیب رساندن مسدود می کند ، از خدمات کاهش DDoS مبتنی بر ابر حداکثر استفاده را بکنند و از بهداشت مناسب داده ها پشتیبانی کنند.