اخبار امنیت

خانه اخبار امنیت تشدید خطر باج افزارها با استفاده مهاجمین از راهکارهای جدید!

۳ آبان ۱۳۹۹

تشدید خطر باج افزارها با استفاده مهاجمین از راهکارهای جدید!

گروه FIN11

یکی از گروه‌های سایبری که پیش‌تر در راه‌اندازی برخی از کمپین‌های بدافزاری نقش پررنگی داشت، اخیرا از تکنیک‌هایش برای انتشار باج‌افزار و باج‌گیری از قربانیان استفاده کرده است.  بر اساس اظهارات تیم تشخیص تهدیدات سایبری Mandiant (متعلق به شرکت امنیتی FireEye) گروهی از هکرها با نام مستعار FIN11 از سال ۲۰۱۶ در مجموعه‌ای از جرائم سازمان‌یافته سایبری از جمله انتشار بدافزارهای پایانه‌های فروش (POS)، کسب درآمد از طریق حمله به سازمان‌ها و شبکه‌ها، موسسات مالی، کسب و کارهای کوچک، رستوران‌ها و شرکت‌های داروسازی، دخیل بوده‌اند. به گفته تیم امنیتی Mandiant، گروه سایبری FIN11 در حملات اخیر خود، با انتشار باج‌افزار CLOP اقداماتی از قبیل سرقت داده‌ها، باج‌خواهی و اختلال در شبکه‌های قربانیان را انجام داده‌اند.

هرچند فعالیت گروه سایبری FIN11 در گذشته با انتشار بدافزارهای FlawedAmmyy،  FRIENDSPEAK و MIXLABEL مرتبط بوده است اما Mandiant معتقد است که تکنیک‌های مورد استفاده در این حملات، شباهت بسیار زیادی با فعالیت‌های گروه سایبری دیگری موسوم به TA505 دارد. جالب است بدانید که گروه سایبری TA505 نقش پررنگی در توسعه/انتشار تروجان بانکی Dridex و باج‌افزار Locky که از طریق کمپین‌های بدافزاری و بات‌نت Necrus منتشر می‌شد دارد. ناگفته نماند که مایکروسافت در اوایل ماه مارس امسال اقداماتی را برای توقف فعالیت بات‌نت Necrus انجام داده است تا از ثبت دامنه‌های جدید برای حملات بعدی در آینده جلوگیری کند.

کمپین‌های هرزنامه‌ای بزرگ

گروه سایبری FIN11 علاوه بر توزیع ایمیل‌های مخرب با حجم بسیار بالا، از روش دیگری برای افزایش شمار قربانیان خود استفاده می‌کند. این گروه با ارسال ایمیل‌هایی به زبان بومی که در آن‌ها نام ارسال کننده ایمیل دستکاری شده، سعی در اعتبار بخشیدن به ایمیل و فریب کاربران را دارد. در حملات امسال نیزسازمان‌هایی در کشور آلمان را مورد هدف قرار داده اند

به عنوان مثال، گروه مذکور در ماه ژانویه ۲۰۲۰ یک کمپین ایمیل‌های تبلیغاتی با موضوعات «گزارش تحقیق N- (عدد پنج رقمی)» و «حادثه آزمایشگاهی» راه‌اندازی کرد و پس از آن موج دوم را نیز در ماه مارس با ارسال ایمیل‌های فیشینگ با موضوعات «]نام شرکت دارویی[ صورتحساب ۲۰۲۰ از ابتدای سال تاکنون» به راه انداخت.

اندی مور، تحلیل‌گر ارشد فنی تیم امنیتی Mandiant در اینباره به Hacker News گفت: کمپین‌های گسترده گروه سایبری FIN11 برای ارسال ایمیل، به مرور و با گذشت زمان کامل‌تر شده است. هرچند این ارتباط را مستقیما تایید نمی‌کنیم اما گزارش‌های قابل توجهی به دست ما رسیده که نشان می‌دهد گروه سایبری FIN11 تا سال ۲۰۱۸ برای انتشار بدافزار به بات‌نت Necrus متکی بوده است. از طرفی اتمام فعالیت بات‌نت Necrus نیز با توقف فعالیت گروه سایبری FIN11 همزمان است.

در واقع طبق تحقیقات تیم امنیتی Mandiant، به نظر می‌رسد که عملیات FIN11 از اواسط ماه مارس ۲۰۲۰ تا اواخر ماه مه همان سال، به طور کامل متوقف شده است. سپس دوباره در ماه ژوئیه از طریق ایمیل‌های فیشینگ حاوی پیوست‌های HTML با محتوای اسناد مخرب آفیس، از سر گرفته شده است. این اسناد آفیس حاوی ماکروهایی هستند که به صورت خودکار بدافزارهای MINEDOOR و FRIENDSPEAK را دانلود کرده و سپس بدافزار درب پشتی MAXIBEL را در سیستم قربانی بارگذاری می‌کنند.

تغییر رویه به باج‌گیری ترکیبی

در ماه‌های اخیر، تلاش‌های FIN11 برای کسب درآمد منجر به آلوده شدن تعدادی از سازمان‌ها به باج‌افزار CLOP شده است. علاوه بر این، استفاده از روش‌های باج‌گیری ترکیبی (ترکیب باج‌افزار و سرقت داده‌ها)، سازمان‌ها را وادار به پرداخت مبالغ بسیار زیادی از چندصدهزار دلار تا ۱۰ میلیون دلار کرده است.

به نقل از اندی مور، درآمدزایی FIN11 از طریق انتشار باج‌افزار و اخاذی، روند گسترده‌تری را در بین مهاجمان سایبری که انگیزه‌های مالی دارند ایجاد نموده است. استراتژی‌های کسب درآمد مثل نصب بدافزارهای پایانه‌های فروش (POS) که در گذشته نیز رایج بوده‌اند، مهاجمان را محدود به حمله به صنایع خاصی می‌کنند. این در حالی است که انتشار باج‌افزارها به مهاجمان سایبری این امکان را می‌دهد که به شبکه تمام سازمان‌ها نفوذ کنند.

وی افزود: وجود انعطاف‌پذیری به همراه افزایش روز به روز مبلغ باج‌خواهی، این استراتژی را به یک طرح فوق‌العاده در بین مهاجمان سایبری با انگیزه‌های مالی، بدل نموده است.

علاوه بر این، گفته می‌شود که گروه سایبری FIN11 از طیف گسترده‌ای از ابزارها (مثل FORKBEARD، SPOONBEARD و MINEDOOR) که از انجمن‌های زیرزمینی خریداری شده، استفاده کرده است.

گروهی برخاسته از اتحادیه کشورهای مستقل (CIS)

تیم امنیتی Mandiant با اطمینان نسبی بر این باور است که گروه سایبری FIN11 بنا به دلایلی از جمله استفاده از زبان روسی، عدم حمله باج‌افزاری به کشورهای عضو CIS و همچنین فعالیت همزمان با آغاز سال نو میلادی و تعطیلات کریسمس، احتمالا در محدوده اتحادیه کشورهای مستقل (CIS) فعالیت می‌کند.

اندی مور در اینباره می‌گوید: به رغم وجود اختلالاتی در فعالیت‌های این گروه سایبری، به احتمال زیاد FIN11 به حملات باج‌افزاری به سازمان‌ها و سرقت اطلاعات برای باج‌گیری ادامه خواهد داد. این گروه سایبری برای جلوگیری از شناسایی و افزایش بهره‌وری، مرتبا تکنیک‌های خود را به‌روز می‌کنند و به احتمال زیاد در آینده نیز همین رویه را در پیش خواهند گرفت. FIN11 اخیرا در حملات خود از ماکروهای مخرب تعبیه شده در اسناد آفیس استفاه می‌کند. بنابراین علاوه بر اقدامات امنیتی متداول، سازمان‌ها می‌توانند کاربران را برای نحوه تشخیص ایمیل‌های فیشینگ، غیرفعال‌سازی ماکروهای آفیس و شناسایی بدافزار FRIENDSPEAK آموزش دهند.

آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی در ایران

تعداد بازدید: 73