انتشار شده در تاریخ 1404/03/20 - 12:12

هدف قرار گرفتن شرکت‌های روسی با استفاده از باج‌افزار لاک‌بیت

کارشناسان اعلام کردند که یک گروه هکری جدید به نام «DarkGaboon» از باج‌افزار لاک‌بیت برای هدف قرار دادن شرکت‌های روسی استفاده کردند.

به گزارش کارگروه حملات سایبری سایبربان؛ محققان عنوان کردند که یک گروه هکری با انگیزه مالی به نام «DarkGaboon»، شرکت‌های روسی را در مجموعه‌ای از حملات باج‌افزاری هدف قرار داده است.

این گروه اولین بار توسط شرکت امنیت سایبری روسی «Positive Technologies» در ماه ژانویه امسال شناسایی شد، اما محققان عملیات‌های آن را تا سال ۲۰۲۳ ردیابی کرده‌اند. از آن زمان، DarkGaboon سازمان‌های روسی را در بخش‌های مختلف، از جمله بانکداری، خرده‌فروشی، گردشگری و خدمات عمومی هدف قرار داده است.

Positive Technologies در سال ۲۰۲۱ به دلیل ادعای ارائه پشتیبانی فناوری اطلاعات به سازمان‌های اطلاعاتی غیرنظامی و نظامی روسیه توسط ایالات متحده تحریم شد.

این شرکت در گزارشی اعلام کرد که در آخرین کمپین خود در بهار سال جاری، DarkGaboon در حال استفاده از باج‌افزار «LockBit 3.0» علیه قربانیان در روسیه مشاهده شده است.

نسخه لاک‌بیت مورد استفاده این گروه در سال ۲۰۲۲ به طور عمومی فاش شد و اکنون توسط مجرمان سایبری متعددی به کار گرفته می‌شود. با این حال، بر خلاف شرکت‌های وابسته معمولی لاک‌بیت که تحت مدل باج‌افزار به عنوان سرویس فعالیت می‌کنند، به نظر می‌رسد DarkGaboon به طور مستقل عمل می‌کند. دارک‌گابون در عملیات خود به ایمیل‌های فیشینگ نوشته شده به زبان روسی متکی است. این پیام‌ها طوری طراحی شده‌اند که فوری به نظر برسند و معمولاً کارمندان بخش‌های مالی را هدف قرار می‌دهند. آن‌ها حاوی پیوست‌های مخربی هستند که در قالب اسناد مالی قانونی پنهان شده‌اند.

طبق این گزارش، اسناد فریب‌دهنده مورد استفاده دارک‌گابون براساس قالب‌هایی هستند که از منابع قانونی به زبان روسی دانلود شده‌اند. این فایل‌های فریبنده از سال ۲۰۲۳ نسبتاً بدون تغییر باقی مانده‌اند.

این گروه پس از ورود به شبکه قربانی، LockBit 3.0 را برای رمزگذاری فایل‌ها مستقر می‌کند و یک یادداشت باج‌خواهی به زبان روسی حاوی دو آدرس ایمیل تماس را به جا می‌گذارد. طبق گفته Positive Technologies، هیچ نشانه‌ای از استخراج داده‌ها در حوادث اخیر یافت نشده است.

همان آدرس‌های ایمیل ذکر شده در یادداشت‌های باج‌خواهی فعلی، قبلاً به حملات مبتنی بر لاک‌بیت به مؤسسات مالی روسیه بین مارس و آوریل ۲۰۲۳ مرتبط بوده‌اند.

این شرکت نتوانسته افراد پشت پرده دارک‌گابون را شناسایی کند، اما گفت که عاملان احتمالاً به زبان روسی مسلط هستند. محققان عنوان کردند که این گروه از ابزارهای متن‌باز مانند «Revenge RAT»، «XWorm» و باج‌افزار لاک‌بیت برای ادغام با فعالیت‌های گسترده‌تر جرایم سایبری استفاده و این امر انتساب آن را دشوارتر می‌کند.

نهادهای روسی پیش از این نیز هدف انواع باج‌افزار لاک‌بیت قرار گرفته‌اند. در ماه دسامبر گذشته، طبق گزارش‌ها، هکرها از آن در حمله‌ای به بزرگترین کارخانه فرآوری لبنیات در جنوب سیبری استفاده کردند.

رسانه‌های محلی گزارش دادند که این حمله سایبری اندکی پس از آن رخ داد که این شرکت کمک‌های بشردوستانه از جمله پهپادها را برای سربازان روسی که در اوکراین می‌جنگند، فراهم کرد. این حمله به هیچ عامل تهدید خاصی نسبت داده نشده است.