به گزارش کارگروه امنیت سایبربان؛ گروههای باجافزاری در حال تنظیم تاکتیکهای خود برای سرقت دادههای ذخیره شده در ابر و مسدود کردن دسترسی شرکتها به سیستمهای خود هستند.
مایکروسافت اخیراً در مورد کمپینی هشدار داد که شامل یک عامل تهدید است که از سال 2021 حملات باجافزاری را آغاز کرده است.
به گفته این شرکت فناوری، عامل تهدید توانسته به سرعت حجم زیادی از دادهها را استخراج کند، درحالیکه نسخههای پشتیبان را از بین میبرد و درخواست باج میکند. پاسخدهندگان به این حادثه گفتند:
«درحالیکه این عامل تهدید به دلیل هدف قرار دادن محیطهای ابری ترکیبی شناخته شده است، هدف اصلی آنها از استقرار باجافزار در محل به استفاده از تاکتیکهای باجافزار مبتنی بر ابر تغییر کرده است.»
به گفته محققان، اگرچه باندهای باجافزار به طور سنتی به استقرار بدافزار برای رمزگذاری فایلها متکی هستند، اما تاکتیکهای اخیر عامل تهدید نشان میدهد که آنها دیگر نیازی به انجام این کار در طول حملات ندارند.
این هکر که مایکروسافت از آن با نام «Storm-0501» یاد میکند، در ابتدا از باجافزار «Sabbath» در حملات به مناطق مدارس ایالات متحده در سال ۲۰۲۱ استفاده کرد و از آن زمان به استفاده از انواع باجافزار علیه بخش مراقبتهای بهداشتی ادامه داده است. اخیراً نیز در حملات سال ۲۰۲۴ از باجافزار «Embargo» استفاده کرده است.
با افزایش پذیرش سیستمهای ابری، این هکر روشهای خود را تغییر و اطلاعات حسابهایی را که امتیازات مدیریتی جهانی ارائه میدهند، هدف قرار داده است.
در کمپین اخیر که توسط مایکروسافت ردیابی شد، هکر توانست به یک شرکت بزرگ متشکل از چندین شرکت تابعه دسترسی پیدا کند که نامش ذکر نشده و سطوح مختلفی از پیچیدگی امنیتی داشت.
گروه هکری قبل از حرکت به سمت شبکه، بررسی کرد که کدام شرکتهای تابعه و دفاتر، ابزارهای امنیتی مایکروسافت را فعال نکردهاند تا از شناسایی شدن جلوگیری کند. پس از چندین حرکت، آنها توانستند حسابی را پیدا کنند که احراز هویت چند عاملی در آن فعال نبود و به آنها اجازه داد رمز عبور حساب را تنظیم مجدد کرده و روش احراز هویت چندعاملی (MFA) خود را ثبت کنند.
پس از دسترسی کامل به شبکه ابری شرکت، آنها یک در پشتی ایجاد کردند که به آنها امکان ورود به سیستم را تقریباً به عنوان هر کاربری میداد. آنها از ابزارهای متنوعی برای یافتن داراییهای حیاتی سازمان استفاده کردند و سپس به استخراج گنجینهای از دادههای حساس و از بین بردن اطلاعات پرداختند.
هکر همچنین وقت گذاشت تا نسخههای پشتیبان را حذف و سپس درخواست باج کند.
مایکروسافت گفت:
«پس از تکمیل مرحله استخراج، Storm-0501 حذف گسترده منابع «Azure» حاوی دادههای سازمان قربانی را آغاز کرد و مانع از انجام اقدامات اصلاحی و کاهشی توسط قربانی با بازیابی دادهها شد. در طول تلاشهای عامل تهدید برای حذف گسترده منابع ذخیرهسازی دادهها/نگهداری، آنها با خطا مواجه شدند و به دلیل حفاظتهای موجود در محیط، نتوانستند برخی منابع را حذف کنند.»
برای دادههایی که قابل حذف نبودند، هکر سعی کرد از رمزگذاری مبتنی بر ابر برای قفل کردن شرکت از دادههای خود استفاده کند. این تلاش شکست خورد زیرا شرکت توانست کلید باز کردن قفل دادهها را پس از حذف توسط عامل تهدید بازیابی کند.
مایکروسافت اعلام کرد که پس از انجام همه این کارها، هکر از طریق مایکروسافت تیمز با شرکت قربانی تماس گرفته و با استفاده از یکی از کاربران قبلاً هک شده، درخواست باج کرده است.
شرکتهای امنیتی متعددی هشدار دادهاند که هکرهای ماهری که در گذشته از باجافزار استفاده میکردند، به سمت هدف قرار دادن دادههای ذخیره شده توسط شرکتها در فضای ابری تغییر جهت دادهاند. در طول سال گذشته، چندین کمپین مشهور شامل دادههای سرقت شده از غولهای ذخیرهسازی مانند «Snowflake» و «Salesforce» وجود داشته است.
گوگل نیز ادعا کرد که کمپینی را کشف کرده که در آن هکرها از یک سرویس شخص ثالث برای سرقت دادههای Salesforce استفاده کردهاند که به نظر میرسد هدف اصلی آن سرقت اطلاعات ورود به سیستم است که میتواند به آنها اجازه دهد محیطهای قربانی و مشتری را بیشتر به خطر بیندازند و همچنین به محیطهای مشتری یا شریک قربانی حمله کنند.
