باج 100 میلیون دلاری، نتیجه حمله به نرم افزار موو ایت

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بر اساس یافته‌های شرکت واکنش به رویدادهای سایبری کاوور، حملات اخیر اخاذی داده‌ای که از یک آسیب‌پذیری مهم در ابزار انتقال فایل موو ایت (MOVEit) سوء استفاده کرده است، احتمالاً به درآمدی بالغ بر 100 میلیون دلار برای گروه مجرم سایبری کلاپ منجر شده است.

گروه کلاپ، یک گروه روسی زبان است که ادعا کرده که اگر شرکت قربانی مطالبات این گروه را بپردازد، اطلاعات سرقت شده آن را در وب سایت دارک نت خود افشا نخواهد کرد.

در پستی که روز جمعه منتشر شده است، کاوور پیشنهاد می کند که اکثریت قریب به اتفاق قربانیان تحت تاثیر کمپین موو ایت، از پرداخت مطالبات کلاپ خودداری کنند.

با این حال، طبق یافته های کاوور، برای سازمان های قربانی که باج را پرداخت می کنند، مبالغ پرداخت اخاذی می تواند قابل توجه باشد.

این شرکت تخمین زده است که کلاپ بین 75 تا 100 میلیون دلار در حملاتی که گمان می‌رود در اواخر ماه مه آغاز شده‌اند، دریافت کند.

کاوور در گزارش خود می گوید:

این مقدار، مبلغی خطرناک و سرسام آور برای در اختیار قرار دادن به یک گروه نسبتا کوچک است. درآمد بادآورده کمپین موو ایت از تنها تعداد انگشت شماری از قربانیان است که تسلیم پرداخت‌های مبلغ باج بسیار هنگفت شده اند.

ابزارهای مدیریت شده انتقال فایل مانند موو ایت، امکان جذب حجم زیادی از داده‌ها را فراهم می‌کند که سپس می‌توانند از نقطه‌ای به نقطه دیگر منتقل شوند، و آنها را به یک هدف جذاب برای سارقان داده تبدیل می‌کند.

این آسیب‌پذیری مهم در نرم افزار موو ایت که با نام CVE-2023-34362 دنبال می‌شود، در 31 مه توسط وبسایت پراگرس (Progress) گزارش شده است.

طبق آمار برت کالو، تحلیلگر تهدید شرکت امسیسافت (Emsisoft)، در حال حاضر حداقل 383 قربانی حملات موو ایت شناخته شده‌اند و بیش از 20 میلیون نفر تحت تأثیر قرار گرفته‌اند.

شرکت کاوور تخمین می نزد که بیش از 1000 شرکت ممکن است مستقیماً تحت تأثیر حملات موو ایت قرار گرفته باشند، اگرچه درصد بسیار کمی از قربانیان تلاش برای مذاکره را به زحمت انداخته اند، چه برسد به اینکه فکر پرداخت کنند.

با این حال، طبق یافته‌ها، برای معدود قربانیانی که به کلاپ مبلغ باج را پرداخت کرده‌اند، این رقم بسیار بالاتر از مبلغ استاندارد باج بوده است.

طبق گزارش کاوور، در کمپین‌های حمله قبلی کلاپ، مانند حملات گو انیور (GoAnywhere) در اوایل سال جاری، این گروه شرکت‌های کمی را پیدا کرد که مایل به پرداخت باج برای جلوگیری از نشت اطلاعات خود بودند.

کاوور می گوید که در پاسخ، گروه کلاپ یک تغییر مادی در کمپین موو ایت ایجاد کرده است و به طور چشمگیری میانگین تقاضای قربانیان را افزایش داده است.

چستر ویسنیوسکی، مدیر ارشد فناوری شرکت سوفوس فیلد (Sophos Field) می گوید که یکی از دلایلی که شرکت‌ها ممکن است کمتر به خواسته‌های عامل تهدید در یک حمله عمل کرده و باج را پرداخت کنند، در مقابل حمله باج‌افزاری استاندارد که فایل‌ها را رمزگذاری می‌کند، به دلیل بیمه سایبری است.

ویسنیوسکی می گوید:

در حالی که یک شرکت بیمه ممکن است برای دریافت کلیدهای رمزگشایی فایل، مبلغ باج را بپردازد، آنها هزینه اخاذی را پرداخت نمی کنند. طرز تفکر بیمه‌گران نیز اینگونه است که من کلیدهای رمزگذاری را می‌خرم و این به من اجازه خواهد داد تا این مشتری را سریع‌تر آنلاین کنم و این موضوع هزینه‌های من را برای حادثه کاهش خواهد داد. آنها فکر می‌کنند که این کار ارزش دارد. اما اگر یک مهاجم صرفاً در ازای عدم انتشار داده‌های خود به صورت آنلاین، از قربانی درخواست پرداخت کند، احتمالاً چیزی نیست که بیمه‌گر آن را پوشش دهد. آنها برای پنهان کردن سرقت از تنظیم کننده های مقررات عمومی حفاظت از داده ها (GDPR)، هیچ پولی را پرداخت نخواهند کرد.

کاوور در گزارش خود خاطرنشان می کند که انجام حملات تنها با اخاذی داده برای عوامل تهدید به دشواری حملات باج افزار که شامل رمزگذاری می شود، نیست؛ اما حملاتی که فقط شامل دزدی داده و اخاذی می‌شوند نیز مخرب نیستند، که این دلیلی کلیدی برای احتمال کمتری است که قربانی پرداخت باج را انجام دهد.

کاوور می گوید:

حملاتی که صرفا برای اخاذی داده‌ها است، تاثیری مانند رمزگذاری در اختلال در تجارت مادی نخواهند داشت، اما می‌توانند باعث آسیب به برند و ایجاد اخطار برای تعهدات آن شرکت شوند.