انتشار شده در تاریخ 1403/04/14 - 11:58

سواستفاده گروه جدید باج افزاری از تماس های تلفنی

محققان می گویند که یک گروه باج افزاری جدید به نام شیطان آتشفشان را کشف کرده اند که در دو هفته گذشته حداقل دو حمله موفقیت آمیز انجام داده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، تیم وست، تحلیلگر شرکت امنیت سایبری هالسیون (Halcyon) در اظهار نظری بیان کرد که اهداف این گروه، شرکت‌هایی در صنایع تولیدی و لجستیکی بودند.

به گفته محققان هالسیون، نکته جالب در مورد این گروه باج افزاری این است که هیچ وب سایت افشاگری عمومی ندارد، اما در عوض از تماس های تلفنی برای ارعاب و مذاکره با رهبری سازمان های قربانی استفاده می کند.

به گفته محققان، این تماس‌ها از شماره‌های ناشناس انجام می‌شوند و اغلب لحنی تهدیدآمیز دارند.

قبل از تماس، هکرها فایل‌های سیستم قربانیان را با باج‌افزار ناشناخته لوکالاکر (LukaLocker) رمزگذاری کردند و یک یادداشت باج به جای گذاشتند:

اگر این حادثه را نادیده بگیرید، ما مطمئن خواهیم شد که مشتریان و شرکای شما از همه چیز مطلع هستند و حملات ادامه خواهند یافت. برخی از داده‌ها به کلاهبردارانی فروخته می‌شود که به مشتریان و کارمندان شما حمله می‌کنند.

گروه شیطان آتشفشان یا وولکینو دیمن (Volcano Demon) با سوء استفاده از اعتبار اداری مشترک به دست آمده از شبکه، ایستگاه های کاری و سرورهای ویندوز را با موفقیت قفل کرد.

شرکت هالسیون اظهار کرد که این گروه از روش اخاذی مضاعف برای به حداکثر رساندن شانس دریافت پول استفاده می کند.

قبل از آلودگی لوکالاکر، آنها داده‌های قربانیان را به سرویس‌های فرمان و کنترل (C2) منتقل کرده و پس از آن رمزگذاری می‌کردند.

به گفته محققان، ردیابی این عامل تهدید چالش برانگیز بود.

مهاجمان قبل از بهره‌برداری، فایل‌های گزارش روی سیستم های مورد نظر را پاک کردند و همین موضوع ارزیابی جامع را تقریباً غیرممکن کرده است.

وست همچنین عنوان کرد که هکرها "با لهجه سنگین" صحبت می کردند، اما تشخیص منشأ آنها بدون ضبط‌هایی که تا به امروز در دسترس نیستند، بسیار دشوار است.

او در ادامه افزود:

آنها اغلب و در برخی موارد تقریباً روزانه تماس می گیرند.

هنوز مشخص نیست که این گروه به طور مستقل عمل می کند یا وابسته به یک گروه باج افزاری شناخته شده است.

وست اذعان کرد که در حال حاضر، هالسیون قادر به شناسایی چنین پیوندهایی نیست.

به گفته این شرکت، اپراتورهای باج افزار همچنان به تکامل خود ادامه می دهند و چندین عامل تهدید جدید اخیراً ظهور کرده و طیف متنوعی از صنایع را هدف قرار داده اند.

در ماه می 2024، محققان یک گروه تبهکار به نام آرکوس مدیا (Arcus Media) را کشف کردند که یک مدل باج‌افزار به‌عنوان یک سرویس را اجرا می‌کند و به دیگر عوامل تهدید اجازه می‌دهد از بدافزار خود استفاده کنند.

در ماه گذشته، هکرها قربانیان را در ایالات متحده، بریتانیا، هند و برزیل هدف قرار دادند.

گروه دیگری به نام اسپیس بیرز (Space Bears)، در اوایل ماه آوریل ظاهر شد و به سرعت به دلیل سایت نشت داده‌ها با موضوع شرکت و وابستگی‌های استراتژیک خود، از جمله با گروه باج‌افزار به‌عنوان سرویس فوبوس، شهرت یافت.

به گفته محققان، تحلیل فعالیت‌های این گروه‌ها نشان می‌دهد که آنها ممکن است سازمان‌دهی‌شده‌تر و با تأمین مالی بهتر از آنچه قبلاً پیش‌بینی می‌شد، وارد میدان شده باشند.