توسط Claudia Glover 10 13 ژانویه 2022
گروههای باجافزار از سال 2019 کسبوکارها و سازمانهای بخش عمومی را به وحشت انداختهاند، اما سال گذشته موج شروع به تغییر کرد. همکاری بین سازمانهای مجری قانون منجر به دستگیریهای مواردی شد و تجارت باجافزار برای مجرمان خطرناکتر شده است. اما بازی هنوز تمام نشده است. امسال، کارشناسان انتظار دارند صنعت باجافزار در اطراف پیچیدهترین گروهها ادغام شود، حملات بیشتری را خودکار کند و تمرکز خود را از زیرساختهای حیاتی به اهداف شرکتی تغییر دهد.
سال گذشته نقطه عطفی در مبارزه با باج افزارها بود. با اذعان به گستردگی تهدید، آژانس های مجری قانون غربی واحدهای اختصاصی مانند گروه ویژه اقدام مشترک جرایم سایبری یوروپل یا گروه وظیفه مشترک تحقیقات سایبری ملی FBI را تشکیل دادند. این امر منجر به دستگیری های موفقیت آمیز و توقیف میلیون ها دلار ارز دیجیتال شد.
به عنوان مثال، در ماه نوامبر، وزارت دادگستری ایالات متحده 6.1 میلیون دلار از وجوه قابل ردیابی به پرداخت های باج افزار مرتبط با حمله بدنام به ارائه دهنده خدمات مدیریت شده Kesaya را ضبط کرد. یک نفر دستگیر شد و اتهاماتی علیه یوگنی پولیانین، تبعه روس، که گمان می رود یکی از اعضای ارشد باند REvil باشد، تشکیل شد. FBI برای هر گونه اطلاعاتی در مورد محل اختفای او 10 میلیون دلار جایزه تعیین کرده است.
Yelisey Boguslavskiy، سرپرست تحقیقات در مشاوره امنیتی Advanced Intelligence توضیح میدهد که این سرکوب اکوسیستم باجافزار را مجبور به تغییر میکند. اما به جای تضعیف اکوسیستم، ممکن است به سادگی گروه های کمتر پیچیده را پاکسازی کند. میگوید: دستگیریها باعث پاکسازی افراد ضعیفتر میشود و کسانی که به اندازه کافی باهوش هستند که دستگیر نشوند، به رشد خود ادامه خواهند داد.
Jon DiMaggio، استراتژیست ارشد امنیتی در فروشنده اطلاعات تهدید، Analyst1 معتقد است که این می تواند باعث ایجاد چند گروه بسیار پیچیده شود که بر تجارت باج افزار مسلط هستند. او میگوید: «بازیگران بزرگ تقریباً مانند شرکتهای بزرگی خواهند شد که همه افراد خوب را در این زمینه جذب میکنند. من فکر میکنم که ما شاهد تأثیرگذاری بازیکنان بزرگتر به جای تعداد زیادی از گروههای متوسط خواهیم بود.»
در همین حال، Analyst1 شاهد تشکیل یک کارتل گروههای باجافزار، به اشتراکگذاری تاکتیکها، زیرساختهای فرماندهی و کنترل و دادههای قربانیان خود بوده است. این شرکت میگوید پس از آن به نظر میرسد مهاجمان در حال سرمایهگذاری مجدد سود حاصل از عملیات باجگیری برای پیشبرد تاکتیکها و بدافزارها برای افزایش موفقیت و درآمد خود هستند.
با این حال، هر چه این گروه ها بزرگتر شوند، هدف بیشتری برای اجرای قانون هستند. در نتیجه، آنها روش های خود را برای جلوگیری از شناسایی متنوع می کنند. این شامل استفاده از طیف گستردهتری از بردارهای حمله، فراتر از حملات سنتی ایمیل میشود. Boguslavskiy توضیح می دهد: «ما به تازگی Log4j، یک CVE بزرگ را دیدیم که اکنون توسط گروه های باج افزار مورد سوء استفاده قرار می گیرد. استفاده از اکسپلویت های روز صفر و همچنین بات نت ها و بروکرهای دسترسی اولیه نیز می تواند به گروه ها کمک کند تا از شناسایی فرار کنند.
برای کاهش بیشتر خطر شناسایی، برخی از گروههای باجافزار حملات خود را خودکار میکنند. DiMaggio توضیح میدهد: «چندین باند این قابلیت را برای باجافزار خود اضافه کردهاند که اغلب از طریق بهرهگیری از پروتکل [بلاک پیام سرور] و سایر فناوریهای شبکهای، منتشر میشوند. قبلاً، یک انسان از ابزارهای مدیریتی مانند psExec و اسکریپتها برای خاموش کردن ویژگیهای امنیتی و انتشار دستی بدافزار، یک سیستم در یک زمان استفاده میکرد. Analyst1 انتظار دارد که حملات باج افزار کاملاً خودکار در دو سال آینده عادی شود.
سرکوب باجافزارها، برخی گروهها را وادار میکند تا اتکای خود را به شرکتهای وابسته، سازمانهای شریکی که به شناسایی و آلوده کردن اهداف به بدافزارشان کمک میکنند، کاهش دهند. بوگوسلاوسکی میگوید: هر چه تعداد شرکتهای وابسته بیشتر در یک حمله باجافزار درگیر شوند، خطر اختلال توسط مجری قانون بیشتر میشود و به نظر میرسد گروههای بزرگتر شبکههای مجرمانه خود را به حداقل میرسانند تا زنجیرههای تامین کوتاهتر و یکپارچهتر شوند. “اگر گروهی بر روی یک زنجیره تامین تمرکز نکند، برای آنها راحت تر است که از یک حذف احتمالی جان سالم به در ببرند.”
DiMaggio انتظار دارد که با رشد گروههای باجافزار، تمرکز خود را از زیرساختهای حیاتی – حملاتی که پوشش رسانهای و اعتراض عمومی را جلب میکنند – به سمت اهداف شرکتی با مشخصات کمتر تغییر دهند. او می گوید: آنها نمی خواهند مطرح باشند، نمی خواهند در رسانه ها حضور داشته باشند. من فکر میکنم که شرکتهای حقوقی، بانکها، مکانهایی که از نظر مالی با ثبات هستند، بیشتر خواهیم شد.
در همین حال، گروههای باجافزاری مانند Conti، Dopplemeyer و LockBit در حال استخدام اعضای تیمی هستند که عملکرد درونی دنیای شرکتها را درک میکنند. بوگوسلاوسکی توضیح میدهد: آنها افرادی را استخدام میکنند که دارای مدرک حقوقی هستند، افرادی را استخدام میکنند که دنیای شرکتها را درک میکنند.
این باعث ایجاد اشکال جدیدی از اخاذی می شود. نوامبر گذشته، FBI هشدار داد که گروههای باجافزار با افشای دادههای حیاتی، ارزیابی سهام هدفها را تهدید کردهاند. حملات تجاری مانند این با پیچیده تر شدن گروه ها بیشتر می شود. بوگوسلاوسکی توضیح می دهد: گاهی اوقات آنها وارد شبکه می شوند و داده های بازار را طبقه بندی می کنند. او میگوید: در این مرحله، آنها واقعاً توانایی خواندن صحیح آن و استفاده از سلاح واقعی آن را ندارند. اما با توجه به تعداد افرادی که با دانش شرکتی استخدام میکنند، آنها به زودی این کار را خواهند کرد.
در انتظار سال 2022، تمرکز باندهای باج افزار در کارتل های کمتر و قدرتمندتر به این معنی است که شرکت های بخش خصوصی باید مراقب خود باشند. بوگوسلاوسکی هشدار میدهد که باندهای باجافزاری که دارای بودجه خوبی هستند و مشتاق زنده ماندن هستند، فناوری و نوآوریهای مدل کسبوکار را از اقتصاد مشروع در عملیات خود وارد میکنند که اثرات بالقوه فاجعهباری دارد.
