گروه باج افزاری Babuk که در آغاز سال 2021 کشف شده است، چندین بخش از جمله مراقبت های بهداشت و درمان، تولید و تدارکات را هدف قرار داده است. این شرکت اخیراً بسیار فعال بوده و از قربانیان خود هزاران دلار باج مطالبه کرده است.

 

چرا بابوک یک تهدید رو به رشد است؟

مجرمان پشت پرده این باج افزار، تکنیک اخاذی مضاعف را اجرا می کنند، که در آن اپراتورها پس از سرقت اطلاعات، فایل ها را قفل می کنند. مطالبات پرداختی برای باج این باند بدافزاری از 60،000 تا 85،000 دلار متغیر است.

به گزارش سای‌ور، تنها در طی یک ماه، این باند به چندین سازمان از جمله هیوستون راکتز، فروشگاه تلفن همراه اسپانیا، اداره پلیس متروپولیتن و تلتون بیوتک حمله کرده است.

در این ماه، سازمان های ورزشی، ارتباطی و دولتی دیگر را نیز هدف قرار داده است. پیش از این، اهداف شناخته شده شامل نهادهای تولیدی نیز میبودند.

این باند اخیراً ویژگی های جدیدی را به مرحله اجرا درآورده است تا اطمینان حاصل کند دستگاه های قربانی می توانند قبل از استقرار باج افزار رمزگذاری شوند. علاوه بر این، این گروه وب سایتی را برای درز اطلاعات و فشار به قربانیان برای پرداخت باج و مطالبات مالی از آنها ایجاد کرده است.

 

انتقال دهندگان آلودگی

گروه Babuk از چندین وکتور برای گسترش و انتقال آلودگی استفاده می کند؛ از جمله آنها میتوان به فیشینگ ایمیل اشاره کرد که در آن، گروه ایمیل اولیه ای را که به یک بدافزار متفاوت مانند Trickbot یا Emotet لینک شده است، ارسال می کند و به شکل یک لودر عمل می کند.

باند باج افزار بابوک به سوءاستفاده از آسیب پذیری های افشا شده که پچ نشده و بروزرسانی نشده اند، شناخته میشود. این باج افزار بخصوص برای بهره برداری از نرم افزارهای دسترسی از راه دور، سخت افزارهای شبکه، سرورهای وب و فایروال ها نیز شناخته شده است.

این گروه با استفاده از حساب های معتبر در معرض خطر، در شبکه هدف قربانی رسوخ میکند. این کار معمولاً از طریق دسترسی RDP با محافظت ضعیف و با گواهینامه های معتبری که از طریق فروشندگان اطلاعات بدست می آورد، انجام می شود.

 

دیجیتال شدوز گزارش میدهد که IAB ها یا همان Initial Access Brokers روند رو به رشدی را در فضای جرائم به خود اختصاص داده اند. به جای نفوذ عمیق در یک سازمان، با نفوذ به شرکت های بسیار زیاد، به صورت واسطه ای یا Man-in-the-middle عمل کرده و با اجرای این تهدیدات، اقدام به فروش دسترسی به بالاترین پیشنهاد ممکن و اغلب به گروه های باج افزاری، میکنند. این روش کار بخصوص در زمان گسترش پاندمی کرونا و با توجه به روند فزاینده استفاده کارکنان از روش های دسترسی از راه دور، در حال گسترش است. مجرمان سایبری با استفاده از اسکن آسیب پذیری هایی که امکان دسترسی از راه دور مانند V.P.N ها را میدهند، اقدام به بهره برداری، سواستفاده و فروش آنها میکنند.

دیجیتال شدوز از سال 2016 این گروه از مجرمان را مورد مطالعه قرار داده است؛ با این حال در سال گذشته افزایش چشمگیر و محسوسی را در فعالیت آنها مشاهده شده است. بسیاری از مارکت های جرائم سایبری برای وارد کردن چنین محتوا و تبلیغاتی، اقدام به ساماندهی مجدد این ساختار کرده اند و در حال حاضر حدود 500 تصویر از این دست موارد توسط دیجیتال شدوز از فروم ها و انجمن های معروف عکسبرداری شده است. اکثر فروشندگان اطلاعات بازخورد خوبی از مجرمین دریافت میکنند که نشانگر ادعای واقعی آنهاست.

میانگین قیمت فروش برای دسترسی ها بسته به درآمد آن سازمان، نوع دسترسی فروخته شده، تعداد کارکنان و پرسنل و تعداد دستگاه های قابل دسترسی به حدود 7 هزار و صد دلار میرسد. RDP یا پروتکل دسترسی از راه دور، مهاجم را قادر میسازد تا سیستم قربانی را در اختیار بگیرد که این روش با 17% از کل جرایم سایبری، رایج ترین نوع ذکر شده است که همچنین بالاترین قیمت متوسط با ارزش 9800 دلار را دارد. RDP به یک نگرانی برای مبازره با باج افزارها تبدیل شده است تا حدی که سخنگوی سازمان امنیت فدرال آمریکا اعلام کرده است که: "RDP هنوز 70-80 درصد پایه اولیه سواستفاده عاملین باج افزارها میباشد". همچنین از دیگر سو، اعتقاد بر این است که این روش عامل یکی از موارد نفوذ اخیر به مرکز تصفیه آب فلوریدا که مهاجمان سعی در کنترل از راه دور سطح مواد شیمیایی موجود برای مصرف عمومی داشتند، نیز بوده است.

یکی از موارد ارزشمند در این زمینه نیز دامنه مدیریتی است که 16% از این لیست را با متوسط قیمت 8187 دلار به خود اختصاص داده است. موارد دسترسی به V.P.N بدلیل افزایش روند کار از راه دور نیز رونق یافته است و به شما این امکان را میدهد که با متوسط قیمت 2871 دلار به شبکه یک سازمان و شرکت دسترسی داشته باشید که 15% لیست را به خود اختصاص داده است. همچنین Citrix با 7 درصد، کنترل پنل با 6 درصد، سیستم های مدیریت محتوا با 5 درصد و دسترسی به Shell با 5 درصد، بیشترین زمینه این جرایم را جهت بهره برداری به خود اختصاص داده اند.

ریک هالند (CISO در شرکت دیجیتال شدوز) اظهار داشته است که: "افزایش چشمگیر دورکاری با سواستفاده تجاری باج افزارها پیوند خورده است که به طبع شرایط مطلوبی را در اختیار IAB ها قرار داده است. این عاملین با توجه به افزایش تقاضا و تخصص ویژه کارشان، درآمدزایی میکنند. آنها بر روی یکی از جنبه های زمینه جرایم سایببری متمرکز شده اند و به شبکه شما دسترسی پیدا کرده و این کار را به بهترین شکل ممکن انجام میدهند. آنها سپس این ابزار سرکوب و نفوذ را به دست دیگر مجرمین سپرده و به سمت هدف بعدی خود میروند. به دلیل توانایی بالای آنها در به خطر انداختن سازمان ها و نهادهای کوچک و بزرگ، عملکرد IAB ها در جرایم سایبری زیرزمینی بسیار برجسته بوده و افزایش داشته است".

بنا بر گفته دیجیتال شدوز، این فرصت و مجال برای شرکت های محافظت کننده از این حملات وجود دارد تا بتوانند به خصوص با شناسایی لیست IAB ها که بر عملکرد سازمان ها و نهاد تاثیر میگذارند، حملات احتمالی را خنثی کنند.

شرکت تاکیان به منظور جلوگیری از بروز حملات مبتنی بر RDP پیشنهاد میدهد که در قدم اول حتما از NGFW ها یا همان فایروال های نسل بعدی استفاده نمایند زیرا این نوع از فایروال ها بدلیل داشتن قابلیت Port Enforcement و Application Awareness، امکان کنترل محتوای پکت ها را فارغ از شماره پورت دارند و در مرحله دوم بجای استفاده از V.P.N های عمومی، از ارتباطات V.P.N اختصاصی مثل L3 Secure V.P.N یا L7 SSL V.P.N استفاده نمایند زیرا این نوع از دسترسی ها امکان وابستگی به توکن های سخت افزاری را فراهم کرده و همچنین سازوکارهای بسیار امن و غیر رایجی را در عین راحتی فراهم میاورند، علاوه بر اینکه امکان اعمال الزامات امنیتی فراوانی در آنها لحاظ شده است. برای مشاوره بیشتر در این زمینه میتوانید با ما در تماس باشید.

تهدیدات احتمالی استفاده از سیستم های دارای نسخه منسوخ و به روز رسانی نشده ویندوز 7، پسوردهای ضعیف و نا امن و نرم افزار به اشتراک گذاری محیط رایانه ای TeamViewer در اوایل سال 2020 مشغول فعالیت بوده اند. به گزارش سایبرسکیوریتی مگزین، دفتر تحقیقات فدرال آمریکا بار دیگر به نهادهای فدرال و سازمان های خصوصی هشدار داد که شبکه داخلی خود را برای هر گونه فعالیت مشکوک و مخرب مورد بررسی و نظارت قرار دهند. این هشدار بر مبنای حمله سایبری اخیر به شبکه مجموعه تصفیه پساب اولدزمار صادر شد که در پی آن حمله، مهاجم ها به نرم افزار کنترل میزان مواد شیمیایی که جهت استفاده در آب خروجی آن مجموعه برای ورود به شهر استفاده میشدند، دسترسی پیدا کرده بودند.

نهادهای همچون سایبرسکیوریتی و آژانس امنیت زیرساخت آمریکا (CISA)، آژانس حفاظت از محیط زیست (EPA) و مراکز تحلیل و اشتراک گذاری اطلاعات چند ایالتی (MS-ISAC) اذعان کردند که مجرمان اینترنتی از سیستم های با نسخ قدیمی ویندوز 7، نرم افزار TeamViewer و رمزهای عبور حساب ضعیف اپراتورهای این کارخانه برای نفوذ به شبکه استفاده کرده اند.

تهدیدهای ابزار کنترل از راه دور:

دفتر تحقیقات فدرال اذعان داشته است که معمولا نرم افزارهای اشتراک گذاری محیط رایانه ای مانند TeamViewer را به عنوان هدف خود جهت انجام مهندسی اجتماعی و حملات فیشینگ به کاربران بی اطلاع بهره میبرند.

اف بی آی بیان داشته است که "ورای کاربردهای قانونی نرم افزارهای کنترل از راه دور، زمانی که ملاحظات امنیتی مناسب اتخاذ و دنبال نشوند، این قبیل نرم افزارها میتوانند به عنوان راهی برای انتقال و یا جابجایی فایلها به رایانه های افراد مورد تهاجم واقع شده، مانند تروجان های کنترل از راه دور (RATs) به کار گرفته شوند. هرچند که استفاده قانونی TeamViewer در قیاس با RATs، فعالیت های غیرطبیعی را برای کاربر نهایی و مدیران سیستم کمتر مشکوک میکند."

برای استفاده امن از نرم افزار TeamViewer، این نهاد توصیه های امنیتی ای ارائه کرده است که ذیل اشاره شده اند:

1. از صدور اجازه دسترسی های بدون نظارت مانند Start TeamViewer with Windows و Grant easy access خودداری نمائید.
2. تنظیمات شروع و راه اندازی نرم افزار TeamViewer را در حالت غیر اتوماتیک قرار دهید که به موجب آن، برنامه و سرویس های فعال در پیش زمینه وابسته به آن نیز در زمان بستن برنامه، غیرفعال باشند.
3. رمزهای عبور تصادفی را در راستای تولید رمزهای عبور تلفیقی حرف-عدد ده کاراکتری تنظیم نمایید.
4. هنگام تنظیم کنترل دسترسی برای مخاطب میزبان، از تنظیمات سفارشی برای دستیابی به سطح دسترسی مخاطب از راه دور استفاده کنید.
5. از لیست Block and Allow استفاده کنید تا به کاربر امکان کنترل سایر کاربران سازمانی TeamViewer که ممکن است از آن سیستم استفاده کنند را فراهم کند. این لیست همچنین میتواند مسدود سازی کاربرانی که مشکوک به دسترسی غیرمجاز هستند را اجرا کند.

مشکلات سیستم عامل ویندوز 7:

کمپانی مایکروسافت از تاریخ 14 ژانویه 2020، ارائه بروزرسانی امنیتی و پشتیبانی فنی از سیستم عامل ویندوز 7 را متوقف کرد. اف بی آی هشدار داده است که مجموعه های استفاده کننده از این سیستم عامل به دلیل کافی نبودن وعدم دریافت بروزرسانی های امنیتی که باعث دشوار بودن دفاع سیستم عامل در برابر حملات مداوم مجرمان سایبری میشود، در معرض هک شدن قرار دارند. اف بی آی همچنین افزوده است که "مجرمان سایبری همچنان به یافتن راه رخنه به سیستم عامل های قدیمی ویندوز و استفاده از پروتکل های کنترل از راه دور رایانه (RDP) به عنوان اهرمی برای نفوذ، اهتمام میورزند."

پاکسازی سایبری:

در راستای ملاحظات پاکسازی و بهبود امنیت سایبری در مقابل ریسک های احتمالی، توصیه میشود که موارد ذیل مورد مد نظر کاربران و نهادها قرار گیرند:

1. سیستم عامل خود را به آخرین نسخه بروزرسانی شده ارتقا (مانند ویندوز 10) ارتقا دهید.
2. از شناسایی چند مرحله ای استفاده نمایید.
3. برای محافظت از اعتبارنامه های RDP یا پروتکل های دسترسی از راه دور رایانه ای، از پسوردهای پیچیده و قوی استفاده کنید.
4. از تنظیم صحیح، بروز بودن و ایمن بودن آنتی ویروس، آنتی اسپم و فایروال سیستم خود اطمینان حاصل نمایید.
5. پیکربندی شبکه را کنترل کرده و سیستم های رایانه ای را که امکان بروزرسانی آنها فراهم نیست، از مابقی تجهیزات جدا کنید.
6. گزارش های همه پروتکل های اتصال از راه دور را بررسی و ممیزی نمایید.
7. به کاربران آموزش دهید تا اقدامات در راستای حملات مهندسی اجتماعی را شناسایی و گزارش کنند.

8 . دسترسی کاربران دارای فعالیت های غیرمعمول و غیرعادی را شناسایی و به حالت تعلیق درآورید.

مقامات همچنان به کاربران، مسئولین امنیت سایبری و نهادها توصیه مینمایند که اقدامات مشکوک مجرمانه را به مجموعه های مربوطه گزارش دهند.