مهاجمانی مثل اپراتورهای باج افزار Cl0p به طور فزاینده ای در حال بهره برداری و سواستفاده از آسیب پذیری های ناشناخته و Zero-day در حملات خود هستند.
امسال تعداد سازمانهایی که قربانی حملات باج افزاری شده اند تا 143% نسبت به فصل ابتدایی سال 2022 افزایش یافته و به همین ترتیب مهاجمان نیز بیش از همیشه در حال بهره برداری از آسیب پذیری های Zero-day و ناشناس برای حملات خود و نفوذ به شبکه های هدف هستند. در بسیاری از حملات این چنینی تمرکز اصلی مهاجمان رمزنگاری فایل ها نیست بلکه تلاش می کنند تا اطلاعات حساس سازمان را به سرقت برده و سپس قربانی را با اقدام به فروش یا نشت اطلاعات تهدید می کنند. این تکنیک حتی برای کسانی که فایل های بکاپ قوی هم دارند، خطرناک و دردسرساز است.
موج جدید قربانیان
محققان امنیتی اخیرا روی داده های جمع آوری شده از سایتهای نشت اطلاعات بیش از 90 گروه باج افزاری بررسی هایی انجام داده اند. گروههای باج افزاری معمولا از سایت های نشت برای انتشار جزییات حملات خود، قربانی و هر داده ای که ممکن است رمز شده باشد، استفاده می کند.
بررسی های صورت گرفته نشان میدهد که تصورات قبلی در مورد حملات باج افزاری درست نیست. یکی از مهمترین آنها تغییر روش نفوذ مهاجمان است که بجای استفاده بیشتر از حملات Phishing بر روی آسیب پذیری های Zero-day تمرکز می کنند. یافته ها حاکی از آن است که بخش عمده اپراتورهای باج افزار بر روی دسترسی به آسیب پذیری های Zero-day برای حملات خود تمرکز دارند و سعی در پیدا کردن آسیب پذیری ها یا از طریق جستجوی داخلی یا خرید آنها از منابع مختلف دارند.
یکی از موارد قابل توجه گروه باج افزاری Cl0p است که از آسیب پذیری zero-day در SQL نرم افزار GoAnywhere با شماره شناسایی (CVE-2023-0669) استفاده کرده و در اوایل سال جاری به شرکتهای متعددی حمله کرد. در ماه May همان مهاجم از آسیب پذیری Zero-day دیگری که در نرم افزار MOVEit وجود داشت (CVE-2023-34362) استفاده نمود و به سیستم های زیادی در سراسر جهان حمله کرد. نفوذ از طریق آسیب پذیریهای Zero-day راه تازه ای نبوده اما افزایش استفاده از آنها توسط گروههای باج افزاری قابل توجه است. در موارد دیگری همچون باج افزارهای بزرگ LockBit و ALPHV(aka BlackCat) نیز از آسیب پذیری ها جدید قبل از اینکه سازمانها فرصتی برای نصب وصله ها داشته باشند، بهره برداری شده بود (CVE-2023-27350 و CVE-2023-27351).
تغییر جهت از رمزنگاری به نفوذ و اخاذی
محققان همچنین باج افزارهای دیگری را بررسی کردند که تمرکزشان از رمزنگاری داده ها به سمت اخاذی و سرقت داده ها بوده است. دلیل این تغییر این بوده است که در صورتیکه اطلاعات سازمان رمزنگاری شود بازهم شانس برگرداندن آنها از طریق فایل بکاپ مناسب وجود دارد. با سرقت اطلاعات سازمان شانسی نداشته و امکان بیشتری برای پرداخت باج و برآوردن خواسته مهاجم وجود دارد چرا که مهاجم تهدید به افشای عمومی داده ها و یا بدتر از آن فروش اطلاعات به رقبا، می کند.
اکثر قربانیان این بررسی (چیزی حدود 65% از آنها) سازمانهای کوچک و متوسطی بوده اند که درآمدی حدود 50 میلیون دلار داشته اند. بر خلاف این تصور که سازمانهای بزرگتر بیشتر هدف حملات باج افزاری قرار میگیرند اما تنها 12% قربانیان از این سازمانها بوده اند.
شرکت های تولیدی درصد بالایی از چنین حملات را تجربه کردند و پس از آن سازمانهای بهداشتی و درمانی و شرکت های خدمات مالی قرار گرفتند. به طور قابل توجهی، در این بررسی مشخص شده است که سازمان هایی که حمله باج افزاری را تجربه میکنند، با احتمال بسیار بالایی در عرض سه ماه پس از حمله اول، حمله دوم را تجربه خواهند کرد.
در نهایت مهم است که در نظر داشته باشیم همچنان توجه به روشهای فیشینگ و دفاع در برابر آنها ضروری است. ضمنا باید دانلود و نصب وصله های مربوط به آسیب پذیری های تازه افشا شده را در اولویت قرار داد.
منبع:
https://www.darkreading.com