استفاده گسترده مجرمان سایبری از بدافزار سرقت داده در جهان

به گزارش کارگروه بین‌الملل سایبربان؛ طبق گزارش شرکت امنیت سایبری «Group-IB»، با افزایش رقابت برای منابع، مجرمان سایبری به طور فزاینده‌ای از کلاهبرداری خودکار به عنوان یک سرویس به توزیع کنندگان بدافزارهای پیشرفته‌تر اطلاعات می‌روند و به دنبال راه‌های جدیدی برای کسب سود هستند.

این شرکت امنیت سایبری 34 گروه روسی زبان را شناسایی کرد که بدافزار سرقت اطلاعات را تحت مدل دزد به عنوان سرویس توزیع می‌کنند.

بدافزار دزد اطلاعات، داده‌های کاربری کاربران را که در مرورگرها، حساب‌های بازی، سرویس‌های ایمیل، رسانه‌های اجتماعی، جزئیات کارت بانکی و اطلاعات کیف پول رمزنگاری شده از رایانه‌های آلوده ذخیره شده جمع‌آوری و داده‌ها را برای اپراتور بدافزار ارسال می‌کند. سپس این داده‌ها فروخته یا برای کلاهبرداری در وب تاریک استفاده می‌شوند.

عوامل تهدید شناسایی شده از طریق گروه‌های تلگرامی برای انجام عملیات خود هماهنگ می‌شوند. مانع ورود کم و یک فرآیند کاملاً خودکار باعث محبوبیت این طرح در میان مبتدیان شده است.

Group-IB خاطرنشان کرد که مبتدیان نیازی به دانش فنی پیشرفته ندارند زیرا این فرآیند کاملاً خودکار است و تنها وظیفه کارگر ایجاد یک فایل با دزد در ربات تلگرام و هدایت ترافیک به آن است.

افزایش قابل توجه بدافزار در سال 2022

طبق گفته تیم حفاظت از ریسک دیجیتال Group-IB، گروه‌ها و ربات‌های تلگرامی که برای توزیع دزدان اطلاعات طراحی شده‌اند، برای اولین بار در اوایل سال 2021 ظاهر شدند. با این حال، افزایش قابل توجهی در 7 ماهه اول سال جاری مشاهده شد و بیش از 890 هزار دستگاه در 111 کشور آلوده شدند. این تقریباً 2 برابر تعداد دستگاه‌های آلوده در سال 2021 است که در آن 538 هزار دستگاه در معرض خطر قرار گرفتند.

در 7 ماه اول سال جاری، عوامل تهدید بیش از 50 میلیون رمز عبور، 2 میلیارد فایل کوکی، جزئیات 103150 کارت بانکی و داده‌های 113204 کیف پول رمزنگاری را به سرقت بردند.

Group-IB اظهار داشت :

«ارزش بازار زیرزمینی لوگوهای سرقت شده و جزئیات کارت به خطر افتاده حدود 5.8 میلیون دلار است.»

به گفته کارشناسان، شرکت‌های پی‌پال و آمازون هدفمندترین خدمات بودند که پی‌پال بیش از 16 درصد و آمازون بیش از 13 درصد از حملات را به خود اختصاص دادند.

با این حال، موارد سرقت رمزهای عبور برای سرویس‌های بازی مانند «Steam»، «EpicGames»، «Roblox» تقریباً 5 برابر شده است. 5 کشوری که بیشترین حمله را به خود اختصاص داده‌اند عبارتند از : ایالات متحده، برزیل، هند، آلمان و اندونزی.

«RedLine» و «Racoon stealer» بیشترین استفاده را داشتند

در میان 34 گروه مورد بررسی، بیشترین استفاده از دزدها RedLine بود که از سوی 23 گروه استفاده شد، در حالیکه دومین ابزار پرکاربرد Racoon بود که به‌وسیله هشت گروه استفاده می‌شد. گروه-IB اشاره کرد که دزدهای سفارشی از سوی 3 گروه مورد استفاده قرار می‌گرفتند.

به اعضای گروه هر 2 ابزار سهمی از داده‌های دزدیده شده یا پول ارائه می‌شود.

در گزارش شرکت آمده است که بدافزار مورد نظر برای اجاره در وب تاریک با قیمت 150 تا 200 دلار در ماه ارائه می‌شود. برخی گروه‌ها از 3 دزد به طور همزمان استفاده می‌کنند، در حالیکه برخی دیگر تنها یک دزد را در زرادخانه خود دارند. به طور متوسط، 34 گروه توزیع کننده دزد اطلاعات شناسایی شده در تلگرام، 200 عضو فعال دارند. وظیفه اعضای گروه هدایت ترافیک به سمت وب‌سایت‌های کلاهبرداری با جعل هویت شرکت‌های معروف و متقاعد کردن قربانیان برای دانلود فایل‌های مخرب است.

Group-IB خاطرنشان کرد :

«جنایتکاران سایبری پیوندهایی را برای دانلود دزدها در بررسی‌های ویدیویی بازی‌های محبوب در یوتیوب، در نرم‌افزارهای استخراج یا فایل‌های «NFT» در انجمن‌های تخصصی و ارتباط مستقیم با هنرمندان NFT و قرعه‌کشی‌های خوش شانس در رسانه‌های اجتماعی تعبیه می‌کنند.»

حفاظت در برابر حملات

برای جلوگیری از چنین حملاتی، شرکت امنیت سایبری توصیه کرد که کاربران از دانلود نرم‌افزار از منابع مشکوک خودداری و از ماشین های مجازی ایزوله یا سیستم عامل‌های جایگزین برای نصب استفاده کنند، پسوردها را در مرورگرها ذخیره نکنند و کوکی‌های مرورگر را به طور منظم پاک کنند؛ همچنین رویکردی فعال نسبت به امنیت دیجیتال و استفاده از فناوری‌های مدرن برای نظارت و پاسخ به حملات داشته باشند.