محققان امنیتی به تازگی جزئیاتی از Chaos، یک گروه جدیدتر باجافزار به عنوان سرویس، ارائه دادند که در شکار بزرگ و حملات اخاذی دوگانه تخصص دارد (به این معنی که هم فایلهای قربانی را رمزگذاری میکند و هم دادهها را برای نشت احتمالی به سرقت میبرد). این گروه در اوایل فوریه پدیدار شد و “بر اساس شباهتها در روش رمزگذاری باجافزار، ساختار یادداشت باج و مجموعه ابزارهای مورد استفاده در حملات” به نظر میرسد از اعضای سابق باند باجافزار BlackSuit تشکیل شده است
اگر این موضوع درست باشد، سابقه این گروه به سالها قبل برمیگردد زیرا BlackSuit یک باند نسبتاً پرکار است که در سال 2023 ظهور کرد. این گروه از باجافزار Royal منشعب شده است، که گمان میرفت خود از اعضای سابق Conti تشکیل شده باشد.
این نشان دهنده وضعیت دائماً در حال تغییر چشمانداز باجافزار است. اعضای باند میتوانند به چندین گروه وابسته باشند و هنگامی که زیرساختهای یک گروه از بین میرود، نسخهی دیگری با نام تجاری جدید و سرورهای جدید و سایتهای نشت اطلاعات در دارک وب جای آن را میگیرد. BlackSuit میتواند به خوبی در این مسیر حرکت کند، زیرا دامنههای دارک وب این باند اواخر هفته گذشته توقیف شد.
اصول اولیه Chaos
به گفته محققان امنیتی، باجافزار Chaos طیف وسیعی از قربانیان را که عمدتاً در ایالات متحده و پس از آن در بریتانیا، نیوزیلند و هند مستقر هستند، تحت تأثیر قرار داده است.
به گفته محققین “این عوامل تهدید تأکید میکنند که نرمافزار جدید Chaos با سیستمهای ویندوز، ESXi، لینوکس و NAS سازگار است و دارای ویژگیهایی مانند کلیدهای رمزگذاری فایلهای جداگانه، سرعت رمزگذاری سریع و اسکن منابع شبکه است و بر روی رمزگذاری پرسرعت و اقدامات امنیتی قوی تاکید دارد.”
باجافزار Chaos شامل روشهای متعددی برای مبهمسازی خود و عدم تشخیص است، مانند «رمزگذاری انتخابی سریع چند رشتهای» و تکنیکهای ضد تحلیل که اشکالزدایی، sandbox و محیطهای ماشین مجازی را تشخیص میدهند.
برای حفظ امنیت خود چه باید کرد؟
اگرچه عناصری از تاکتیکها، تکنیکها و رویههای Chaos برجسته هستند، اما توجه به این نکته مهم است که در یک حمله معمولی، این باند از طریق تکنیکهای مهندسی اجتماعی مانند phishing و vishing به دسترسی اولیه دست مییابد.
به همین ترتیب، بهترین رعایت بهداشت عمومی امنیتی، آموزش در اولویت هستند. اگر از کسی در حوزه فناوری اطلاعات تماسی دریافت کردید که از شما اطلاعات حساسی مرتبط با مواردی مانند احراز هویت چند عاملی (MFA) یا VPN درخواست میکند، درخواست را از طریق یک راه ارتباطی دیگر (ترجیحاً حضوری) تأیید کنید. اگر ایمیل مشکوکی یا هر ایمیلی که از شما میخواهد وارد سیستم شوید دریافت کردید، آدرس ایمیلی را که آن را برای شما ارسال میکند، بررسی کنید. و مثل همیشه، هنگام اعطای دسترسی از راه دور مراقب باشید و از راهکارهای نظارت و مدیریت دسترسی از راه دور استفاده کنید. احراز هویت مقاوم در برابر فیشینگ، مانند راهکارهای احراز هویت چندعاملی، نیز مهم است.
منبع:
