BlackCat فعالیت‌هایش را گسترش می‌دهد

FBI در مورد باج‌افزار BlackCat که به‌صورت خدمات اجاره‌ای (RaaS) در اختیار تبهکاران سایبری قرار گرفته، هشدار داده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به‌تازگی FBI در مورد باج‌افزار BlackCat که به‌صورت خدمات اجاره‌ای (Ransomware-as-a-Service – به‌اختصار RaaS) در اختیار تبهکاران سایبری قرار گرفته، هشدار داده است. این باج‌افزار از زمان ظهور آن در آبان ۱۴۰۰ تا اوایل فروردین سال جاری، حداقل ۶۰ سازمان در سراسر جهان را مورد هدف قرار داده است.

باج‌افزار BlackCat که ALPHV و Noberus نیز نامیده می‌شود، اولین نمونه‌ای است که به زبان برنامه‌نویسی Rust نوشته شده است و به دلیل ارائه عملکرد بهتر، بسیار موردتوجه قرار گرفته است.

FBI همچنین اعلام کرده است که بسیاری از برنامه‌نویسان این باج‌افزار و افرادی که باج‌های دریافتی آن را پولشویی‌ می‌کنند، با گردانندگان باج‌افزار DarkSide/BlackMatter در ارتباط هستند، که این امر نشان دهنده ارتباط گسترده مهاجمان BlackCat و تجربه و تبحر فراوان آنان در حملات باج‌افزاری است.

این اطلاعات چند هفته پس از انتشار دو گزارش‌ از طرف محققان امنیتی سیسکو (Cisco Systems, Inc.) و کسپرسکی (Kaspersky Lab.) توسط FBI ارائه شده است. در گزارش‌های منتشر شده توسط این دو شرکت، ارتباطاتی بین باج‌افزارهای BlackCat و BlackMatter شناسایی و اعلام شده بود، از جمله استفاده از نسخه اصلاح‌شده ابزار Fendr جهت استخراج داده‌ که قبلاً فقط در فعالیت‌های مرتبط با BlackMatter مشاهده شده بود.

یکی از دیگر مزایای کدهای مخرب نوشته شده با زبان برنامه‌نویسی Rust این است که امکان تشخیص این کدهای مخرب توسط ابزارهای تحلیل ساده، کمتر است زیرا این ابزارها با همه زبان‌های برنامه‌نویسی همخوانی و سازگاری ندارند.

مانند سایر گروه‌های اجاره‌دهنده باج‌افزار، BlackCat نیز قبل از اجرای عملیات باج‌افزار، اقدام به سرقت داده‌های قربانیان می‌کند. باج‌افزار اغلب از مجوزهای دسترسی سرقت شده برای دسترسی اولیه به سیستم موردنظر خود استفاده می‌کند.

در یکی از حملات باج‌افزار BlackCat که در ۲۶ اسفند ۱۴۰۰ رخ داد و توسط محققان آزمایشگاه Forescout Vedere تحلیل شده است، مشخص شد که از یک فایروال SonicWall SRA از رده‌خارج و به‌روز نشده، برای دسترسی اولیه به شبکه، سوءاستفاده شده و پس از ورود اقدام به رمزگذاری کردند.

FBI علاوه بر توصیه به قربانیان برای گزارش فوری حوادث باج‌افزاری، پرداخت باج را به‌هیچ‌وجه توصیه نمی‌کند، زیرا هیچ تضمینی وجود ندارد که فایل‌های رمزگذاری شده بازیابی شوند. اما درعین‌حال تصدیق کرده که قربانیان ممکن است برای محافظت از سهام‌داران، کارمندان و مشتریان خود مجبور شوند به چنین درخواست‌های باج‌گیری تن دهند.

FBI به سازمان‌ها اقدامات زیر را برای ایمن ماندن از گزند باج‌افزارها توصیه می‌کند:
- سرورها،Domain Controller، ایستگاه‌های کاری و دایرکتوری‌های فعال را برای حساب‌های کاربری جدید یا ناشناس بررسی کنید.

- از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حساب‌های کاربری محلی (Local)، تحت دامنه (Domain)، سیستم‌عامل و پایگاه‌های داده، به‌ویژه حساب‌های با سطح دسترسی Administrator/SysAdmin استفاده کنید.

- به طور مرتب رمزهای عبور به سیستم‌ها و حساب‌های کاربری شبکه را تغییر دهید و از استفاده از رمزهای عبور تکراری برای حساب‌های مختلف خودداری کنید.

- به طور منظم از داده‌ها و رمزهای عبور به‌صورت آفلاین نسخه پشتیبان تهیه کنید. اطمینان حاصل کنید که داده‌های نسخه پشتیبان بر روی سیستمی که نگهداری می‌شوند قابل تغییر یا حذف نیستند.

- در کوتاه‌ترین بازه‌های زمانی قابل‌قبول جهت تغییر رمزهای عبور اقدام کنید.

- بخش زمان‌بندی وظایف (Task Scheduler) را برای وظایف زمان‌بندی‌شده ناشناخته بازبینی کنید. به‌علاوه، وظایف زمان‌بندی‌شده را برای یافتن «اقدام» ناشناخته بازبینی کنید (به‌عنوان‌مثال: مراحل و گام‌هایی که هر وظیفه زمان‌بندی شده باید انجام دهد را مرور کنید).

- گزارش‌های ضدویروس را برای یافتن نشانه‌هایی که حاکی از خاموش شدن غیرمنتظره ضدویروس هستند، مرور کنید.

- شبکه را تقسیم‌بندی کنید.

- سطح دسترسی کاربران را محدود کنید به صورتی که جهت نصب نرم‌افزار به تأیید مدیر شبکه نیاز باشد.

- سطوح دسترسی اعمال شده بر روی پوشه‌های اشتراکی را به‌صورت سخت‌گیرانه مدیریت کنید.

- یک طرح بازیابی برای نگهداری و حفظ نسخ پشتیبان متعدد از داده‌ها و سرورهای حساس و حیاتی یا اختصاصی در یک مکان فیزیکی جدا، بخش‌بندی شده و ایمن (به‌عنوان‌مثال، دیسک‌های سخت، دستگاه‌های ذخیره‌سازی، بسترهای ابری) اجرا و تدوین کنید.

- به‌محض انتشار اصلاحیه‌ها و به‌روزرسانی سیستم‌عامل، نرم‌افزارها و ثابت‌افزارها، اقدام به نصب و اعمال آنها کنید.

- در صورت امکان از احراز هویت چند‌عاملی (Multifactor Authentication) استفاده کنید.

- پورت‌های دسترسی از راه دور / پودمان دسکتاپ از راه دور (Remote Desktop Protocol – به‌اختصار RDP) استفاده نشده را غیرفعال کنید یا حداقل درگاه پیش‌فرض آنها را تغییر دهید و گزارش‌های دسترسی از راه دور/RDP را بررسی کنید.

- حساب‌های کاربری دارای اختیارات مدیریتی را بازبینی کنید و مجوز دسترسی به حساب‌ها را با حداقل اختیارات قابل‌قبول، پیکربندی کنید.

- برای نصب ضدویروس قدرتمند و به‌روزرسانی منظم آن و به‌کارگیری نرم‌افزارهای ضد باج‌افزار بر روی همه سرورها اقدام کنید.

- برای استفاده از دیواره آتش (Firewall) در درگاه شبکه اقدام کنید.

- فقط از شبکه‌های امن استفاده کنید و از شبکه‌های Wi-Fi عمومی استفاده نکنید. نصب و استفاده از یک شبکه خصوصی مجازی (VPN) را در دستور کار قرار دهید.

- جهت هوشیاری بیشتر کاربران، افزودن یک اعلان (Banner) به ایمیل‌های دریافتی از خارج از سازمان خود را در اولویت قرار دهید.
پیوندها (Hyperlink) را در ایمیل‌های دریافتی غیرفعال کنید.

مشروح اطلاعیه FBI در خصوص این باج‌افزار به همراه علائم آلودگی (Indicators of Compromise – به‌اختصار IoC) در این نشانی قابل دریافت است.