حمله با باج‌افزار جدید برای حمایت از منافع روسیه

به گزارش کارگروه بین‌الملل سایبربان؛ محققان ادعا کردند که یک گروهی هکری را مشاهده کرده‌اند که احتمالاً ریشه در هند دارد و باج‌افزاری را علیه نهادهای دولتی و عمومی در کشورهای مخالف منافع روسیه مستقر می‌کند.

ظاهراً این گروه هکری، موسوم به «CyberVolk»، حداقل از مارس 2024 فعال بوده و از مسائل ژئوپلیتیک فعلی برای توجیه حملات خود سوءاستفاده می‌کند. اخیراً، این گروه مسئولیت به خطر انداختن شبکه‌های تأسیسات زیرساختی حیاتی و مؤسسات علمی در ژاپن، فرانسه و بریتانیا را بر عهده گرفت.

CyberVolk ابتدا با نام «Gloriamist India» فعالیت می‌کرد و سپس نام خود را تغییر داد. گزارش‌های قبلی یک عامل تهدید را با نام مستعار «Hacker-K»، به عنوان گروه هکری هندی‌الاصل و رهبر CyberVolk شناسایی کرده بود. هنوز مشخص نیست که این گروه در حال حاضر در کجا مستقر است یا سایر اعضای آن چه کسانی هستند.

طبق گزارش شرکت امنیت سایبری سنتینل‌وان (SentinelOne)، CyberVolk قبلاً ادعا کرده بود که با سایر گروه‌های هکری طرفدار روسیه، از جمله NoName057(16) متحد شده است. این گروه تنها یکی از بسیاری عوامل تهدید با انگیزه سیاسی است که پس از آغاز جنگ روسیه و اوکراین در سال 2024 در کانون توجه قرار گرفته است.

به گفته محققان سنتینل‌وان، آنچه CyberVolk را متمایز می‌کند این است که علاوه بر انجام حملات منع سرویس توزیع شده (DDoS)، محبوب‌ترین روش در میان گروه‌های هکری، باج‌افزار و بدافزار سرقت اطلاعات را مستقر می‌کند.

کارشناسان ادعا کردند که CyberVolk تلاش می‌کند تا انواع مختلفی از اطلاعات قربانی را از جمله داده‌های مرورگر و کیف پول ارزهای دیجیتال از سیستم‌های هدف جمع‌آوری کند. سپس داده‌های دزدیده شده از طریق برنامه پیام‌رسان دیسکورد (Discord) استخراج می‌شوند.

بنابر ادعای محققان، باج‌افزار مهم این گروه از بدافزاری مشتق شده که در ابتدا توسط یک گروه هکری طرفدار روسیه، ضد رژیم صهیونیستی و اوکراین به نام «AzzaSec» توسعه یافته بود که کد منبع باج‌افزار آن در ماه ژوئن امسال فاش و متعاقباً توسط سایر عوامل تهدید پذیرفته شد.

CyberVolk در یک یادداشت باج‌گیری که روی صفحه‌نمایش رایانه قربانیان نمایش داده می‌شود، خود را گروهی از هکرهای نخبه و کارشناسان امنیت سایبری روسیه توصیف می‌کند که ترس را در دل اهداف خود ایجاد می‌کنند.

باج‌افزار CyberVolk از پرداخت‌های ارزهای دیجیتال پشتیبانی می‌کند و مبلغ باج آن 1000 دلار تعیین شده است. به قربانیان دستور داده می‌شود که ظرف مدت 5 ساعت پس از اطلاع از هک، هزینه را پرداخت کنند.

علاوه بر AzzaSec، گروه هکری خانواده‌های باج‌افزار دیگری مانند «HexaLocker» و «Parano» را نیز تبلیغ کرده است. به گفته محققان سنتینل‌وان، استفاده مجدد از این ابزارها و ابزارهای معتبرتر مانند لاک‌بیت (LockBit) و «Chaos» نشان می‌دهد که وابستگی‌ها و اتحاد بین گروه‌های هکری چقدر می‌تواند پویا باشد.

محققان معتقدند که اگرچه CyberVolk عمدتاً از عوامل تهدید با مهارت کمتر تشکیل شده است، اما یاد گرفته که به سرعت ابزارهای موجود را مطابق با نیازهای خود تطبیق دهد و مبارزه و ردیابی گروه را دشوارتر کند.

کارشناسان خاطرنشان کردند :

«تعداد خانواده‌های باج‌افزاری مرتبط با CyberVolk، توانایی این گروه را برای چرخش سریع، مبتنی بر ابزارهای موجود برای مطابقت با نیازهایشان و پیشبرد اهدافشان، برجسته می‌کند.»