IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

DarkSide

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

ضبط سرورها و محدودیت حساب بیتکوین باج افزار DarkSide بعد از حمله به زیرساخت های سوخت ایالات متحده

 

باند بدافزار DarkSide در پشت حمله سایبری اخیر به Colonial Pipeline بوده است اما مشخص نیست که چه کسی در پشت پرده اختلال در زیرساخت های سایبری DarkSide بوده است.

گروه مجرمان سایبری باج افزار DarkSide که باعث بروز وقفه ای شش روزه در خط لوله Colonial Pipeline در هفته گذشته که منجر به کمبود سوخت و افزایش قیمت در سراسر ایالات متحده شده بودند، در حال پایان دادن به آن هستند.

این باند مجرمین اعلام کرد پس از آنکه سرورهای آنها ضبط شد و همچنین در پی درز اطلاعات حساب رمزارز این گروه توسط عاملان ناشناس، که برای پرداخت های خود از آن استفاده میکردند، عملیات خود را متوقف می کند.

در صورت دسترسی از طریق TORبه دارک وب و بررسی آدرس سایت DarkSide، اعلانی نمایش داده میشود که اعلام میکند این آدرس قابل یافتن نیست.

takian.ir bitcoin servers darkside ransomware gang seized 1

پیامی که توسط این گروه ارسال شده، بدین مضمون است: "چند ساعت پیش، ما دسترسی به بخش عمومی زیرساخت های خود را از دست دادیم".

در ادامه این پیام توضیح داده است که این خسارت بر وبلاگ قربانیان که اطلاعات سرقت شده از قربانیانی که از پرداخت باج خودداری کرده اند، منتشر می شود، تأثیر گذاشته است.

این حمله همچنین سرور پرداخت آنها و مواردی که ویژگی DoS آن را تأمین می کنند و برای تهییج کردن قربانیانی که از پرداخت باج ممانعت میکنند، مورد استفاده قرار میگرفته، از کار انداخته است.

این بروزرسانی همچنین ادعا میکند که سازمان دهندگان DarkSide در حال انتشار ابزارهای رمزگشایی برای تمام شرکت هایی هستند که تحت حمله باج افزاری قرار گرفته اند، اما هنوز هزینه ای پرداخت نکرده اند.

در این دستورالعمل ها آمده است: "پس از آن، شما آزاد خواهید بود هر کجا که خواستید با آنها ارتباط برقرار کنید".

takian.ir bitcoin servers darkside ransomware gang seized 2

همانطور که توسط برخی از متخصصان، به ویژه Intel471 اعلام شده است، برخی از اعضای اصلی DarkSide نیز با باند REvil گره خورده اند. جای تعجب نیست که برخی از متن های جزئیات پیام توسط DarkSide ظاهراً توسط یکی از رهبران پلتفرم سرویس باج افزار REvil نوشته شده است.

به گفته برایان کربس، نماینده REvil گفته است که برنامه آن ایجاد محدودیت های جدید در سازمان هایی است که شرکت های وابسته آنها می توانند هدف حملات باج افزاری واقع شوند؛ و از این پس حمله به "بخش اجتماعی" (که به عنوان موسسات بهداشتی و آموزشی تعریف شده است) و سازمانها در "بخش دولت" (ایالت) هر کشور ممنوع است. همکاران وابسته نیز قبل از آلوده کردن قربانیان ملزم به دریافت تأییدیه می شوند.

در زمان انتشار این مقاله، هنوز مشخص نبود که چه کسی وب سایت Darkside را مجبور به قطع ارتباط وب کرده و چه کسی پشت تخلیه حساب رمزنگاری شده آنها است.

گزارش تجزیه و تحلیل بدافزاری سازمان CISA آمریکا و بروزترین هشدارهای باج افزار DarkSide

سازمان CISA متعلق به ایالات متحده آمریکا، گزارش جدید تجزیه و تحلیل بدافزار (MAR) را درباره باج افزار DarkSide با نام ذیل منتشر کرده و هشدار AA21-131A را بروزرسانی کرده است: "باج افزار DarkSide: بهترین روش ها برای جلوگیری از ایجاد اختلال در تجارت از حملات باج افزاری" را که در تاریخ 11 ماه می سال2021 ارائه شده، منتشر گردیده است. این بروزرسانی شاخص های خطرات مرتبط با انواع باج افزار DarkSide که یک مجموعه لینک پویا را برای پاک کردن نسخه های Volume Shadow موجود در سیستم اجرا می کند، ارائه مینماید.

takian.ir cisa publishes malware analysis report and updates alert on darkside ransomware 1

در اصل DarkSide یک باج افزار سرویس یا RaaS است. توسعه دهندگان باج افزار بخشی از درآمد خود را از عاملان و مجرمان سایبری که آن باج افزار را مستقر می کنند، دریافت می کنند که معروف به "شرکت های وابسته" هستند. طبق گزارش متن باز، از آگوست سال 2020، عاملان DarkSide چندین سازمان بزرگ و با درآمد بالا را هدف قرار داده اند و در نتیجه آن اقدام به رمزگذاری و سرقت داده های حساس کرده اند. گروه DarkSide به طور علنی اظهار داشته است که آنها ترجیح می دهند سازمانهایی را هدف قرار دهند که دقیقا بلعکس بیمارستانها، مدارس، سازمانهای غیرانتفاعی و دولتها، توانایی پرداخت باج های زیاد و سنگین را دارند.

طبق این گزارش متن باز، قبلاً مشاهده شده است كه عاملان و مهاجمان DarkSide از طریق فیشینگ و سواستفاده از حساب ها و سیستم های از راه دور و زیرساخت های دسكتاپ مجازی (VDI) به دسترسی اولیه (Phishing [T1566] ، Exploit Public-Facing Application [T1190] »، خدمات از راه دور خارجی [T1133]) دست پیدا كرده اند. همچنین مشاهده شده است که مهاجمان DarkSide با استفاده از پروتکل Remote Desktop یا RDP برای حفظ پایداری اقدام کرده اند [TA0003].

بازیگران DarkSide پس از دستیابی به دسترسی ، باج افزار DarkSide را برای رمزگذاری و سرقت اطلاعات حساس (Data Encrypted for Impact [T1486]) به کار می گیرند. سپس بازیگران تهدید می کنند در صورت عدم پرداخت دیه ، داده ها را به صورت عمومی منتشر می کنند.

سازمان CISA به کاربران و ادمین ها توصیه کرده است که برای تقویت وضعیت امنیتی سیستم های سازمان خود، از بهترین روش هایی که در زیر اشاره شده است، استفاده کنند. هرگونه تغییر در پیکربندی قبل از اجرا توسط مالکان و ادمین های سیستم باید بررسی شود تا از تأثیرات ناخواسته جلوگیری شود.

• شناسه ها و موتورهای آنتی ویروس را به روز نگه دارید.
• پچ های سیستم عامل را به روز نگه دارید.
• سرویسهای اشتراک فایل و چاپگر را غیرفعال کنید. در صورت نیاز به این سرویس ها، از گذرواژه های قوی یا تأیید اعتبار Active Directory استفاده کنید.
• توانایی کاربران (مجوزها) در نصب و اجرای برنامه های نرم افزاری ناخواسته را محدود کنید. کاربران را به گروه ادمین های اصلی اضافه نکنید، مگر اینکه ضرورتی داشته باشد.
• سیاست رمز عبور قوی را اعمال کنید و رمز عبور به طور منظم و مداوم تغییر دهید.
• در هنگام باز کردن پیوست های درون ایمیل ها، حتی اگر انتظار می رود پیوست آن مشخص باشد و فرستنده نیز شناخته شده باشد، احتیاط لازم را اعمال کنید.
• فایروال شخصی را در سیستم های محیط کار مجموعه فعال کنید، آنها بصورت پیشفرض در حالتِ رد درخواست های اتصال ناخواسته پیکربندی نمایید.
• سرویس های غیرضروری را در سیستم های کاری مجموعه و سرورها غیرفعال کنید.
• پیوست های ایمیل مشکوک را اسکن کرده و حذف کنید. اطمینان حاصل کنید که پیوست اسکن شده، شکل اصلی آن فایل است (یعنی پسوند با سرفصل فایل مطابقت داشته باشد).
• عادات روتین وبگردی کاربران را نظارت کنید؛ دسترسی به سایتهای دارای محتوای نامطلوب را محدود کنید.
• هنگام استفاده از رسانه قابل حمل احتیاط کنید (به عنوان مثال، درایوهای USB فلش، درایوهای خارجی، CD و غیره).
• قبل از اجرا، تمام نرم افزارهای بارگیری شده از اینترنت را اسکن کنید.
• در مورد آخرین تهدیدات، اطلاعات و سطح آگاهی خود را به روز حفظ کرده و موارد کنترل دسترسی مناسب (ACL) را پیاده سازی کنید.

اطلاعات بیشتر در مورد پیشگیری و مدیریت حادثه های مخرب را می توان در نشریه ویژه استاندارد و فناوری ملی (NIST) 800-83، "راهنمای پیشگیری و رسیدگی به بدافزارها برای دسکتاپ و لپ تاپ" مطالعه نمود.