به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، افبیآی در بهروزرسانی یک هشدار امنیتی که در سال ۲۰۲۳ صادر کرده بود، اعلام کرد که در ابتدا این گروه را مسئول ۳۰۰ حمله در سال اول فعالیتش میدانستند.
اکنون، همراه با آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) و آژانس امنیت سایبری استرالیا، اعلام شده که تا ماه می ۲۰۲۵، حدود ۹۰۰ نهاد قربانی این گروه شدهاند.
در این هشدار بهروزرسانیشده، تاکتیکهای جدید و شناسههایی که افبیآی از طریق تحقیقات متعدد به دست آورده، گنجانده شده است.
در این گزارش آمده است:
هر قربانی یک ایمیل منحصربهفرد با دامنههای @gmx.de یا @web[.]de برای ارتباط دریافت میکند. بخشی از قربانیان از طریق تماس تلفنی تهدید میشوند که دادههای سرقتشدهشان منتشر خواهد شد، مگر اینکه باج پرداخت کنند.
افبیآی افزود که برخی از این تماسها با واحدهای خدمات مشتری یا میزهای پشتیبانی برقرار میشود.
مقامات امنیتی اعلام کردند که دلالان اولیه دسترسی، که با اپراتورهای باجافزار پلی (Play) در ارتباط هستند، همچنان در حال سوءاستفاده از آسیبپذیریهای متعددی هستند؛ از جمله آسیبپذیری CVE-2024-57727 در نرمافزار سیمپل هلپ (SimpleHelp) که برای نظارت و مدیریت از راه دور استفاده میشود.
این نرمافزار توسط بسیاری از قربانیان مستقر در ایالات متحده مورد استفاده قرار میگیرد و آسیبپذیری CVE-2024-57727 در ماه ژانویه نگرانیهایی را برانگیخت، زمانی که پژوهشگران دریافتند بیش از ۳۴۰۰ نمونه از ابزار سیمپل هلپ در اینترنت، در دسترس قرار دارند.
در این هشدار آمده که اپراتورهای پلی برای هر حمله، باجافزار را بهطور جداگانه بازترکیب میکنند، که این کار شناسایی آن توسط نرمافزارهای ضدویروس و ضدبدافزار را دشوار میسازد.
پیشتر، این نهادها اعلام کرده بودند که پلی به طیف گستردهای از کسبوکارها و زیرساختهای حیاتی در آمریکای شمالی، جنوبی و اروپا حمله کرده است.
افبیآی افزود که پلی یکی از فعالترین گروههای باجافزاری در سال ۲۰۲۴ بوده است.
پلی در ابتدا با حملات پرسروصدای خود باعث خشم عمومی شد، از جمله حمله به شهرهایی مانند اوکلند و لوول در ماساچوست و همچنین دالاس کانتی، که باعث شد این شهرها برای روزها درگیر بازیابی دستگاههای رمزگذاریشده و دادههای سرقتشدهی شهروندان باشند.
دولت سوئیس نیز هشدار داد که این گروه در حمله به یکی از ارائهدهندگان خدمات فناوری اطلاعات آن کشور، دادههایی را سرقت کرده است.
وقتی گروه پلی در میانه سال ۲۰۲۲ برای نخستین بار ظاهر شد، نهادهای دولتی در آمریکای لاتین را هدف قرار داد، اما خیلی زود تمرکز خود را به سمت نهادهای آمریکایی تغییر داد؛ از جمله حمله به شرکت تولیدکننده نیمهرسانا میکروچیپ تکنولوژی (Microchip Technology) و یک دولت محلی در ایالت ایندیانا در سال گذشته.
در ماه اکتبر، واحد 42 (Unit42) شرکت پالو آلتو نتوورکس (Palo Alto Networks) هشدار داد که هکرهای وابسته به اداره شناسایی کل کره شمالی (Reconnaissance General Bureau) به نظر میرسد تا حدی با اپراتورهای باجافزار پلی همکاری داشتهاند.
تحقیقات آنها نشان داد که هکرهای کره شمالی ابتدا به سیستمهای یک سازمان نفوذ کردهاند، سپس همان حساب کاربری آسیبدیده، برای اجرای باجافزار پلی توسط هکر دیگری استفاده شده است.
