تغییر نام گروه باج افزاری رویال به بلک‌سوت

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، اف‌بی‌آی و آژانس امنیت سایبری و امنیت زیرساخت‌ ایالات متحده (CISA) به‌روزرسانی مشاوره قبلی در مورد عملیات باج‌افزار رویال را ارائه داده و تایید کردند که این گروه اکنون خود را "بلک‌سوت" می‌نامد و همچنان به صدور درخواست‌های باج کلان ادامه می‌دهد که برخی از آن‌ها به ۶۰ میلیون دلار نیز رسیده است.

این به‌روزرسانی شامل اطلاعات فنی جدیدی است که به مدافعان کمک می‌کند تا فعالیت‌های این گروه را شناسایی کنند.

این گروه از سپتامبر ۲۰۲۲ تا جولای ۲۰۲۳ تحت نام "رویال" فعالیت می‌کرد و از آن زمان به نام "بلک‌سوت" شناخته می‌شود.

این گروه با حمله به دالاس در تابستان گذشته، که به خدمات اضطراری، دادگاه‌ها و شهرداری آسیب رساند، توجه مقام‌های قانونی را جلب کرد.

در نوامبر، اف‌بی‌آی و آژانس امنیت سایبری و امنیت زیرساخت‌ ایالات متحده هشدار دادند که رویال در حال انتقال به برندینگ "بلک‌سوت" در طی انجام حملات است.

به‌روزرسانی روز چهارشنبه تایید می‌کند که تمامی حملات جدید این عامل هکری، از جمله برخی که به تازگی در جولای انجام شده‌اند، تحت عنوان این نام جدید صورت گرفته است.

این سازمان‌ها اعلام کردند:

درخواست‌های باج معمولاً از حدود ۱ میلیون تا ۱۰ میلیون دلار متغیر بوده و پرداخت به صورت بیت‌کوین درخواست شده است. عوامل بلک‌سوت تمایل به مذاکره در مورد مقادیر پرداخت نشان داده‌اند.

سازمان‌ها، هکرهای پشت این دو گروه را بر اساس شباهت‌های کدگذاری متعدد مرتبط دانستند، اما اشاره کردند که بلک‌سوت قابلیت‌های بهبود یافته‌تری را نشان داده است.

هکرها همچنان قبل از غیر فعال کردن نرم‌افزار ضدویروس، استخراج مقادیر زیاد داده و استقرار باج‌افزار، از ایمیل‌های فیشینگ به عنوان موفق‌ترین روش حمله برای دسترسی اولیه استفاده می‌کنند.

این سازمان‌ها همچنین اشاره کردند که اخیراً حملات بیشتری صورت گرفته است که در آن‌ها قربانیان ارتباطات تلفنی یا ایمیلی از طرف عوامل بلک‌سوت درباره نفوذ و باج دریافت کرده‌اند.

گزارش اخیر شرکت امنیت سایبری سوفوس (Sophos) نشان می‌دهد که چندین گروه باج‌افزاری اکنون از این تاکتیک به عنوان روشی جدید برای فشار آوردن به قربانیان برای پرداخت باج استفاده می‌کنند.

بسیاری از بیمارستان‌ها و کسب‌وکارها گزارش داده‌اند که گروه‌های باج‌افزاری با تهدیدات مرتبط با داده‌های دزدیده شده یا دسترسی یافته در طول حملات، با بیماران و مشتریان تماس گرفته‌اند.

چستر ویشنیوسکی، مدیر فناوری اطلاعات میدانی شرکت سوفوس، در کنفرانس امنیت سایبری کلاه سیاه یا بلک هت (Black Hat) بیان کرد که سال‌ها پیش گروه‌های باج‌افزاری فکر می‌کردند که پوشش رسانه‌ای حملات باعث ایجاد احساس ترس در میان قربانیان خواهد شد؛ اما در سال گذشته، گروه‌ها تاکتیک خود را به سمت تماس مستقیم با مشتریان و بیماران تغییر کرده‌اند.

ویشنیوسکی استدلال کرد که این تاکتیک به طور کلی کارساز نبوده است و بیشتر شرکت‌ها بر اساس دلایل عملی‌تر مانند توقف کسب‌وکار و نگرانی‌های نظارتی، تصمیم می‌گیرند که آیا باج را پرداخت کنند یا نه.

بیشتر اطلاعات فنی جدید در مورد بلک‌سوت از حوادث پاسخ به تهدید اف‌بی‌آی تا جولای ۲۰۲۴ به دست آمده است.

هکرها معمولاً از ابزارهای قانونی برای حرکت جانبی در سیستم‌های قربانی استفاده می‌کنند و در حداقل یک مورد از حساب‌های قانونی برای ورود از راه دور به سیستم استفاده کرده‌اند.

آن‌ها از دسترسی به این حساب‌ها برای غیرفعال کردن نرم‌افزار ضدویروس و از نرم‌افزارهای نظارت و مدیریت از راه دور برای حفظ دسترسی در شبکه‌های قربانیان استفاده کرده‌اند.

این مشاوره شامل نمونه‌ای از یادداشت باج است که برخی از قربانیان مشاهده کرده‌اند.

گزارش همچنین شامل آدرس‌های آی پی است که اف‌بی‌آی و آژانس امنیت سایبری و امنیت زیرساخت‌ آمریکا معتقدند باید پیش از انجام اقدامی مانند مسدود کردن، توسط سازمان‌ها مورد تحقیق یا ارزیابی قرار گیرد.

بلک‌سوت مسئول چندین حمله اخیر به مدارس ابتدایی و دانشگاه‌های ایالات متحده، همچنین شرکت‌های برجسته و دولت‌های محلی شده است.

در کنفرانس بلک هت، جین ایسترلی، مدیر آژانس امنیت سایبری و امنیت زیرساخت‌ آمریکا، متذکر شد که حملات باج‌افزاری به ویژه سازمان‌ها را مجبور به اولویت‌بندی امنیت سایبری کرده است.

او در پایان اذعان کرد:

من وقت زیادی را با مدیران عامل و هیئت‌های مدیره صرف می‌کنم، بنابراین به طور فزاینده‌ای شاهد هستم که آگاهی از اهمیت بهداشت سایبری بیشتر شده است. به دلیل حملات باج‌افزاری، مردم آگاه شده‌اند و به این فکر می‌کنند که 'چه کاری باید انجام دهم تا از خانواده و جامعه‌ام محافظت کنم؟'