انتشار شده در تاریخ 1399/08/21 - 11:53

سوءاستفاده از داده‌های شرکت‌ها در حملات باج افزاری

هکرها پس از حملات باج افزاری به شرکت‌ها عملکرد دوگانه‌ از خود نشان داده و خلف وعده می‌کنند.

به گزارش کارگروه امنیت سایبربان؛ گروه‌های هکری از پاییز 2019 تاکنون اغلب پس از حمله باج افزاری به شرکت‌های هدف، در ابتدا داده‌های شرکت را سرقت و سپس رمزگذاری کردند و در صورت عدم پرداخت باج نیز اقدام به انتشار فایل‌های مسروقه نمودند.

بر اساس گزارش کارشناسان شرکت کوویر (Coveware) حملات باج افزاری همچنان روبه گسترش بوده و نیمی از حملات باج افزارها در سه‌ماهه سوم 2020 پیش از رمزگذاری با سرقت اطلاعات همراه بوده که دو برابر بیشتر از دوره مشابه در سال گذشته بوده است.

یکی از اولین سایت‌های نشت داده را اپراتورهای باج افزار میز (Maze) راه‌اندازی کردند و به دنبال آن‌ها اپراتورهای «Sodinokibi» ،«DopplePaymer» ،«Clop» ،«Sekhmet» ،«Nephilim» ،«Mespinoza» و «Netwalker» نیز اقدام به این کار کرده و از داده‌های مسروقه به‌عنوان اهرم فشار بهره بردند.

محققان کوویر براین باورند هکرها در بسیاری از مواقع به وعده‌های خود مبنی بر حذف اطلاعات مسروقه پس از دریافت باج عمل نمی‌کنند. به‌عنوان‌مثال، گروه‌های هکری‌ای که از باج افزار رویل یا سودینوکیبی استفاده می‌کنند، پس از چند هفته از زمان دریافت باج با قربانیان مجدداً ارتباط گرفته و با تهدید اقدام به دریافت باج می‌کنند.

بر طبق گزارش کوویر، اپراتورهای بدافزار Netwalker و Mespinoza اطلاعات مسروقه شرکت‌ها را حتی زمانی که قربانیان باج پرداخت کرده‌اند، منتشر کرده‌اند و داده‌ها را برخلاف قولشان، حذف نکرده‌اند.

اپراتورهای بدافزار میز داده‌های مسروقه را در سایت خود بارگذاری کرده‌اند، پیش از اینکه به قربانی در مورد حادثه و دریافت باج اطلاع‌رسانی کنند. اپراتورهای باج افزار Conti به قربانیان شواهد جعلی مبنی بر حذف داده‌ها ارسال کرده‌اند.

این شواهد جعلی که معمولاً به وکلای شرکت‌های قربانی ارسال می‌شوند، نشان می‌دهد هکرها قصد نداشته‌اند فایل‌های مسروقه را حذف کنند و مجدداً از آن‌ها استفاده کرده‌اند.

به اعتقاد کارشناسان کوویر، برخی از هکرها به یکسری قوانین پایبند هستند و برخی نیز خلف وعده کرده و به بهانه خیرخواهی از داده‌های کاربران مجدداً سوءاستفاده می‌کنند.

به‌عنوان نمونه، اپراتورهای سابق باج افزار میز با شرکت‌های قربانی مجدداً تماس گرفته و بابت فایل‌هایی که قرار بود حذف کنند، درخواست پول کرده‌اند. آن‌ها بارها حتی پس از دریافت باج عمداً یا به‌اشتباه داده‌های مسروقه را در سایت خود منتشر کرده‌اند. اگرچه درنهایت این اطلاعات را حذف کرده‌اند، اما صدها یا هزاران کاربر به آن‌ها دسترسی پیدا کرده‌اند.

برت کارلو (Brett Callow)، تحلیلگر شرکت امسی سافت معتقد است پرداخت باج برای جلوگیری از انتشار اطلاعات امری بیهوده به نظر می‌رسد و اینکه هکرها پس از دریافت باج اقدام به حذف اطلاعات می‌کنند یا خیر چندان مشخص نیست و فقط خود هکرها می‌دانند. به گفته وی، هکرها با بهره‌گیری از این اطلاعات می‌توانند در آینده کسب درآمد کرده و اقدام به فیشینگ هدفمند و سرقت اطلاعات شخصی نمایند.