حمله سایبری به فروشگاه زنجیره‌ای پوشاک کانادایی

به گزارش کارگروه حملات سایبری سایبربان؛ هری روزِن (Harry Rosen)، خرده‌فروش پوشاک مردانه کانادایی اذعان کرد که ماه گذشته مورد حمله سایبری قرار گرفته است.

این حمله پس از آن صورت گرفت که گروه بیان‌لیان (BianLian) این شرکت را به عنوان قربانی در سایت خود فهرست کرد. صفحه، فهرست داده‌های سرور فایل، پروژه‌ها، بازاریابی، منابع انسانی و روابط عمومی را منتشر کرد که نشان می‌دهد اینها فایل‌هایی هستند که کپی شده‌اند و به طور بالقوه منتشر خواهند شد.

به گفته برِت کالو (Brett Callow)، تحلیلگر تهدیدات مستقر در بریتیش کلمبیا با «Emsisoft»، بیان‌لیان یک فایل یک گیگابایتی را به عنوان اثبات حمله خود منتشر کرد و این فایل فهرستی از مشتریان « Gold+»، اطلاعات فروش و انواع مختلف اسناد دیگر هری روزِن است.

لَری روزن (Larry Rosen) مدیرعامل شرکت، در پاسخ به پرسشی از وبگاه خبری «IT World Canada» گفت :

«ما تأیید می‌کنیم که هری روزِن قربانی یک حمله سایبری شده بود که در 9 اکتبر امسال مورد توجه ما قرار گرفت. شبکه ما اکنون امن است و ما در ارتباط منظم با مشتریان و کارمندان خود در مورد این حادثه بوده‌ایم. ما همچنین این موضوع را به پلیس و رگولاتور حریم خصوصی فدرال و رگولاتورهای حریم خصوصی در آلبرتا و کِبِک گزارش کرده‌ایم.»

روزِن در خصوص باج‌افزاری بودن حمله و تأثیر آن بر شرکت، اظهار نظری نکرد.

کالو عنوان کرد که نوع باج‌افزار بیان‌لیان ابتدا در ماه اوت سال جاری شناسایی شد. وی افزود که اطلاعات کمی در مورد این عامل تهدید وجود دارد؛ مثلاً اینکه در صورت باج‌افزاری بودن، چه ارتباطی با سایر عملیات‌های جرایم سایبری دارد. قربانیان این گروه هکری مانند بسیاری از گروه‌ها در بخش‌های مختلف از جمله رسانه‌ها و مراقبت‌های بهداشتی هستند.

طبق تحقیقات بلک‌بِری (BlackBerry)، باج‌افزار بیان‌لیان که برای سیستم‌های ویندوز به زبان «Go» نوشته شده، با رمزگذاری فایل‌ها با سرعت استثنایی، به مجرمان سایبری کمک می‌کند؛ بلک‌بِری معتقد است که این گروه شرکت‌ها را به جای کشورهای خاص هدف قرار می‌دهد. تا زمان انتشار گزارش، قربانیان فهرست شده در سایت باند در ایالات متحده، استرالیا و بریتانیا بودند.

در نمونه باج‌افزاری مورد توجه بلک‌بِری، نویسنده تمام عملکردهای باج‌افزار را در یک بسته مشترک قرار می‌دهد. پس از اجرای فایل، برنامه در دستگاه میزبان همه نام‌های درایو ممکن را جستجو می‌کند. هنگامی که همه درایوها با بدافزار پر شدند، تهدید فرآیند باج‌گیری خود را آغاز می‌کند. این باج‌افزار، فایل‌ها را با استفاده از بسته استاندارد رمزنگاری کتابخانه‌ای در Go رمزگذاری می‌کند. این بسته‌ها کتابخانه‌های منبع باز هستند که برای ارائه عملکرد رمزنگاری مانند «CryptoAPI» پایه ارائه شده در محیط‌های ویندوز استفاده می‌شوند.

باج‌افزار، هر درایوی در سیستم از جمله درایوهای نصب شده را هدف قرار می‌دهد و هر چیزی را که فایل اجرایی، درایور یا فایل متنی نباشد، رمزگذاری می‌کند. این استثناها برای جلوگیری از رمزگذاری یادداشت باج یا هر چیزی که ممکن است باعث اختلال در عملکرد سیستم شود، انجام می‌شود.

بلک‌بِری خاطرنشان کرد که تحقیقات شرکت دیگری نشان می‌دهد که دسترسی اولیه گروه تهدید بیان‌لیان احتمالاً از طریق زنجیره آسیب‌پذیری «Windows ProxyShell» یا یک آسیب‌پذیری میان‌افزار «VPN SonicWall» به دست آمده است. از آنجا، عامل تهدید به سمتی حرکت می‌کند تا اهداف مورد نظر را پیدا کند، امتیازات آنها را افزایش دهد و باج‌افزار بیان‌لیان را مستقر کند. سپس، با استفاده از کپی‌های حذف شده «WinSCP» و «7-Zip» برای آرشیو و انتقال فایل‌های انتخابی، داده‌ها استخراج و به عامل تهدید ارسال می‌شوند. علاوه بر این، اپراتورهای تهدید ممکن است درهای پشتی را روی سیستم‌ها نصب و دسترسی به سیستم آلوده را حفظ کنند.

هری روزِن، که در سال 1954 تأسیس شد، یک زنجیره لباس مردانه لوکس با 5 فروشگاه در تورنتو و همچنین فروشگاه‌هایی در بریتیش کلمبیا، آلبرتا، کِبِک و مانیتوبا است.

طبق آمار تجارت دیجیتال، این شرکت در سال 2020 حدود 300 میلیون دلار فروش داشته است.