هدف قرار گرفتن زیرساخت های حیاتی آمریکا و کانادا توسط یک گروه باج افزاری جدید

به گزارش کارگروه امنیت سایبربان؛ یک گروه جدید باج افزاری به نام Sabbath (UNC2190) از ژوئن 2021 در حال هدف قرار دادن زیرساخت های حیاتی کانادا و آمریکا می باشد. طبق گفته محققین Mandiant این گروه، برند بازسازی شده گروه های Arcane و Eruption می باشد. 

طبق هشدار Mandiant، این گروه پیش از این تحت نام های Eruption و Arcane فعالیت می کرد و بر اساس مشاهدات سال گذشته از باج افزار ROLLCOAST استفاده می کرد. این محققین سایبری در سپتامبر 2021 و هنگامی که به دنبال هم دستان یک گروه باج افزاری جدید بودند، متوجه پستی بر روی فروم هکری exploit.in شدند. فعالیت های این گروه جدید به نام 54BB47h (Sabbath) 21 اکتبر 2021 و هنگامی شروع شد که عاملین آن یک وبسایت و وبلاگ شیمینگ راه انداری کردند. 

این گروه باج افزاری در ماه اکتبر سیستم های یک حوزه آموزشی در آمریکا را آلوده و سپس درخواست باج چندین میلیون دلاری کرد.

Sabbath بر خلاف دیگر گروه های باج افزاری، پی لودهای از پیش پیکربندی شده در پشتی Cobalt Strike BEACON را برای شرکای خود مهیا می کند.

گروه باج افزاری Sabbath، زیرساخت های حیاتی آمریکا و کانادا شامل بخش های آموزشی، سلامت و منابع طبیعی آن ها را  مورد هدف قرار داده است.

این گروه در جولای 2020 و زمانی که نام Eruption بود، از باج افزار ROLLCOAST استفاده می کرد. اما شواهدی مبنی بر استفاده از این باج افزار در سال 2021 مشاهده نشده است.

اما نمونه های BEACON این گروه در سال 2021 نسبت به سال 2020 تغییری نکرده است.