انتشار شده در تاریخ 1402/12/20 - 23:55

افشای روش‌های گروه هکری بلک‌کت توسط شرکت اسرائیلی

شرکت امنیت سایبری اسرائیلی سیگنیا روش‌های گروه هکری بلک‌کت را فاش کرد.

به گزارش کارگروه بین‌الملل سایبربان؛ شرکت امنیت سایبری اسرائیلی سیگنیا (Sygnia)، جزئیات جدیدی را درباره گروهی از هکرها به نام بلک کت فاش کرد. این گروه برای اولین بار در نوامبر 2021 فعال و بر حمله به سازمان‌های چندبخشی و بین‌المللی برجسته متمرکز شد. سیگنیا این فعالیت مشکوک را در شبکه بلک‌کت (BlackCat) بررسی کرد که در نهایت به عنوان یک حمله اخاذی مالی شامل شناسایی یک نشت اطلاعات گسترده شد.

تیم سیگنیا به رهبری اورن بیدرمن (Oren Biederman)، متخصص ارشد تشخیص و پاسخ به حوادث سایبری، شرح مفصل و گام به گام تمام اقدامات انجام شده توسط گروه بلک‌کت در هنگام حمله به مشتری را ارائه می دهد. محققان همچنین توصیه‌هایی را برای سازمان‌ها و شرکت‌ها در مورد چگونگی دفاع از خود در برابر حملات مشابه ارائه دادند. این براساس فعالیت دفاعی انجام شده برای مشتری سیگنیا است که توسط بلک‌کت در سال 2023 مورد حمله قرار گرفت.

مانند سایر گروه‌های هکری، بلک‌کت از مدل تجاری باج‌افزار به عنوان سرویس (Ransomware-as-a-Service) استفاده می‌کند که به شرکای خود اجازه می‌دهد تا از ابزارها و زیرساخت‌های خود برای حملات اخاذی استفاده کنند.

تحقیقات اولیه سیگنیا نشانه‌هایی از حمله احتمالی باج‌افزاری را نشان داد که می‌تواند منجر به رمزگذاری تمام اطلاعات شرکت شود. در نهایت، با اقدامات فوری انجام شده توسط تیم فناوری اطلاعات مشتری، که عمدتاً تمام ترافیک ورودی و خروجی به و از دارایی‌های شبکه مرکزی را مسدود می‌کرد، حمله سایبری متوقف شد.

به گفته کارشناسان، از آنجایی که هکرها نتوانستند حمله را به طور کامل اجرا یا هر گونه شواهدی را در شبکه پاک کنند، تحقیقات گسترده سیگنیا به یافته‌های منحصربه‌فردی در مورد حالت‌ها، تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTP) بلک‌کت منجر شد. در این مورد، سازمان آسیب دیده دسترسی به اینترنت را از داخل شبکه درون سازمانی، اما نه از محیط ابری سازمان، مسدود کرد. از آنجایی که این 2 محیط از طریق یک مسیر سریع «Azure» به هم متصل شده بودند، گروه حمله با دور زدن فایروال شرکت، دسترسی به شبکه قربانی را حفظ کرد.

بیدرمن فعالیت‌های اخیر سیگنیا را به اشتراک گذاشت و ادعا کرد :

«ما روند حمله به شرکت‌های بزرگ با حمله به اشخاص ثالث با امنیت کمتر قوی را شناسایی کرده‌ایم. این روند نشان می‌دهد که چقدر برای شرکت‌ها مهم است که به دقت از اتصالات شبکه با تأمین کنندگان خود نقشه‌برداری و ارائه دهندگان دسترسی را محدود کنند.»

کارشناسان معتقدند که سازمان‌ها باید یک برنامه از پیش تعریف شده برای کاهش حملات باج‌افزاری داشته باشند. در این مورد، تهدید قادر به رمزگذاری شبکه نبود، زیرا قربانی مایل بود بلافاصله دسترسی به اینترنت را به عنوان یک اقدام کاهشی مسدود کند. شکی نیست که مسدود کردن اتصال به اینترنت شبکه‌های بزرگ یک کار چالش‌برانگیز برای مدیران شبکه است که در عین حال باید تداوم کسب و کار شرکت را حفظ کنند، اما تلاش مداوم در این مسیر ممکن است تفاوت را ایجاد کند.