حمله باج افزاری به موو ایت، نشانگر پیچیدگی مجرمان سایبری

به گزارش کارگروه امنیت خبرگزاری سایبربان، گروه کلاپ که به عنوان معمار اصلی پشت حملات اخیر سرقت داده موو ایت (MOVEit) شناخته می شود، توجه زیادی را به خود جلب کرده است و بر تهدید مداوم آن برای شرکت ها در سطح جهانی تأکید می کند.

کلاپ در این صنعت به دلیل ارتباط با نهادهایی مانند لیس تمپست (Lace Tempest)، تی ای 505 (TA505)و فین11 (FIN11) شناخته شده است.

این گروه‌ها از استراتژی‌های باج‌افزار پیشرفته استفاده می‌کنند و از نرم‌افزار مخربی استفاده می‌کنند که سیستم‌ها را تا زمانی که باج درخواستی برآورده شود، گروگان نگه می‌دارد و باعث اختلال شدید و ضرر مالی می‌شود.

آخرین حمله این گروه، یک آسیب‌پذیری کشف‌نشده - به نام «آسیب‌پذیری روز صفر» - را در سرورهای انتقال فایل نرم افزار موو ایت ایجاد کرد که باعث سرقت گسترده داده‌ها در صدها شرکت جهانی شد.

این گروه به طرز حیله گرانه ای از فصل تعطیلات بهره‌برداری کرد و از کاهش حضور کارکنان برای فعالیت‌های ناشناس بهره برد.

اگر شرکتی تقاضای باج را رد کند، کلاپ با انتشار اطلاعات محرمانه دزدیده شده در سایت نشت داده خود، تلافی می‌کند.

به نظر می رسد که این سندیکا، اقدامات اخاذی خود را موقتاً متوقف کرده و داده های سرقت شده را برای یافتن قطعات با ارزشی که به طور بالقوه می توانند باج های بالاتری دریافت کنند، بررسی می کند.

تغییر تاکتیک
به نظر می رسد کلاپ که به طور سنتی در کمپین های باج افزار ریشه دارد، در حال انتقال به سمت اخاذی با سرقت اطلاعات است، تاکتیکی که شامل سرقت داده های حساس و تهدیدات بعدی برای قرار گرفتن در معرض عموم است، مگر اینکه باج داده شود.

قربانیان برجسته سرقت اطلاعات موو ایت، در حال حاضر در حال ظهور هستند.

شرکت زلیس (Zellis)، ارائه‌دهنده راه‌حل‌های حقوقی و دستمزد و منابع انسانی در بریتانیا، به سرقت داده‌ها ناشی از فعالیت‌های گروه کلاپ که بر بسیاری از مشتریانش تأثیر گذاشته است، اذعان کرده است.

سایر مشاغل تحت تأثیر شامل ایر لینگوس (Aer Lingus) و بریتیش ایرویز (British Airways) هستند که هر دو تحت تاثیر بودن خود را در اثر سرقت داده از زلیس، تأیید کرده اند.

گروه کلاپ در عملیات‌های اخیر خود، از آسیب‌پذیری‌های راه‌حل‌های انتقال فایل مدیریت‌شده موو ایت از سال 2021 سوء استفاده کرده و نگرانی‌های اساسی را برای همه مشاغل ایجاد کرده است.

در طول سه سال گذشته، کلاپ به دلیل اجرای حملات پرمخاطب علیه شرکت‌های جهانی در بخش‌های مختلف شهرت پیدا کرده است.

با به کارگیری تکنیک های پیچیده اخاذی، این گروه تا نوامبر 2021 در مجموع 500 میلیون دلار درآمد غیرقانونی جمع آوری کرده است.

حتی پس از دستگیری شش عضو از این گروه در ژوئن 2021 توسط یک ائتلاف جهانی، عملیات جنایتکارانه کلاپ هیچ نشانه ای از توقف را نشان نداده است؛ بنابراین، وضعیت امنیت سایبری پیشگیرانه، همچنان یک ضرورت مطلق برای مشاغل در سراسر جهان بشمار می آید.

راهبردهای پیشگیری
بنابراین، چگونه کسب و کارهای بخش مالی می توانند خود را در برابر چنین تهدیدهایی مقاوم کنند؟

-    مدیریت دارایی: دارایی ها و داده های شرکت خود را درک کرده، دستگاه ها و نرم افزارهای مجاز و غیرمجاز را شناسایی کنید.
-    نظارت مداوم: نظارت فعال بر پورت‌ها، پروتکل‌ها و سرویس‌های شبکه را حفظ کنید و پیکربندی‌های امنیتی قوی را در دستگاه‌های زیرساخت شبکه خود اعمال کنید.
-    تنظیمات: کنترل دقیقی بر پیکربندی‌های سخت‌افزار و نرم‌افزار اعمال کنید و امتیازات مدیریت را فقط به پرسنل ضروری محدود کنید.
-    مدیریت آسیب‌پذیری: ارزیابی‌های آسیب‌پذیری را به طور منظم انجام دهید و از آخرین وصله‌ها و به‌روزرسانی‌های سیستم‌های خود مطلع شوید.
-    حفاظت از داده ها: اقدامات قوی حفاظت از داده ها، از جمله روش های پشتیبان گیری و بازیابی ایمن را اجرا کنید و احراز هویت چند عاملی را به عنوان یک لایه امنیتی اضافه فعال کنید.
-    اتوماسیون: از فناوری های پیشرفته مانند هوش مصنوعی و یادگیری ماشینی برای تشخیص زودهنگام حملات استفاده کنید و از تجزیه و تحلیل ایمن برای فیلتر کردن ایمیل های مخرب استفاده کنید و راه حل های امنیتی را همیشه به روز نگه دارید.
-    آموزش: به طور منظم به کارکنان خود در مورد پروتکل های امنیتی آموزش دهید. تمرینات تیم قرمز و تست های نفوذ را انجام دهید تا نقاط ضعف احتمالی را آشکار کنید.

به طور خلاصه، تهدید ناشی از گروه کلاپ و مجرمان سایبری مشابه واقعی و پایدار است؛ اما کسب‌وکارها با اطلاع‌رسانی، مطلع شدن از آخرین استراتژی‌های امنیت سایبری و اجرای اقدامات امنیتی قوی، می‌توانند خطر این حملات سایبری را به میزان قابل توجهی کاهش دهند.