انتشار شده در تاریخ 1404/03/04 - 11:35

تحت تعقیب قرار گرفتن هکرهای باج‌افزاری

نیروهای امنیتی اروپا و آمریکای شمالی این هفته در چارچوب عملیاتی با نام "پایان بازی"، زیرساخت‌های کلیدی مورد استفاده برای اجرای حملات باج‌افزاری را مختل کردند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، یوروپل اعلام کرد که ۳۰۰ سرور و ۶۵۰ دامنه در سراسر جهان از کار انداخته شده و حدود ۳.۵ میلیون دلار در جریان این عملیات‌ها توقیف شده است.

همچنین، برای نزدیک به ۲۰ نفر که مظنون به مشارکت در صنعت باج‌افزار هستند، حکم دستگیری صادر شده است.

در بخشی از این عملیات، دادستان‌های ایالات متحده ۱۶ نفر را که عضو یک سازمان مجرمانه سایبری متهم به توسعه بدافزار دانابات (DanaBot) بودند، تحت پیگرد قانونی قرار دادند.

وزارت دادگستری آمریکا اعلام کرد این بدافزار بیش از ۳۰۰ هزار رایانه را آلوده کرده و بستری برای حملات باج‌افزاری و کلاهبرداری‌هایی به ارزش دست‌کم ۵۰ میلیون دلار فراهم کرده است.

چندین شرکت فناوری و امنیت سایبری از جمله کراود استرایک (CrowdStrike)، آمازون، ایست (ESET)، گوگل، پروفت پوینت (ProofPoint)، زی اسکیلر (Zscaler)، پی‌پل و دیگران در عملیات "پایان بازی" مشارکت داشتند.

یوروپل تاکید کرد که در مرحله جدید این عملیات، تمرکز بر روی انواع جدید بدافزار و گروه‌هایی است که پس از سرکوب‌های سال گذشته دوباره فعال شده‌اند که آن سرکوب‌ها را "بزرگ‌ترین اقدام بین‌المللی تاریخ علیه بات‌نت‌ها" توصیف کردند.

این مرحله بر بدافزارهایی تمرکز دارد که دسترسی اولیه را فراهم می‌کنند؛ یعنی ابزارهایی که مجرمان سایبری پیش از آنکه حملات باج‌افزاری را آغاز کنند، از آن‌ها برای نفوذ اولیه به سیستم‌های سازمان‌ها استفاده می‌کنند.

در کنار نابودی زیرساخت‌های دانابات، نیروهای امنیتی اعلام کردند نسخه‌های جدیدی از بدافزارهای بامبل بی (Bumblebee)، لاکترودکتوس (Lactrodectus)، ککبات (Qakbot)، هایجک لودر (Hijackloader)، تریک بات (Trickbot) و وارم کوکی (Warmcookie) را نیز خنثی کرده‌اند.

یوروپل اظهار کرد:

این بدافزارها معمولاً به عنوان یک خدمت به دیگر مجرمان سایبری ارائه می‌شوند و زمینه‌ساز حملات باج‌افزاری در مقیاس وسیع هستند. همچنین، حکم بازداشت بین‌المللی برای ۲۰ فرد کلیدی صادر شده که گمان می‌رود خدمات دسترسی اولیه به اپراتورهای باج‌افزار ارائه می‌دادند.

برخی از این مظنونان به زودی در فهرست تحت تعقیب‌ترین افراد اتحادیه اروپا قرار خواهند گرفت.

دو نفر از هکرهای مظنون به دست داشتن در دانابات، به نام‌های الکساندر استپانوف ۳۹ ساله و آرتم الکساندرویچ کالینکین ۳۴ ساله، هر دو ساکن نووسیبیرسک روسیه، با فهرستی از اتهامات از جمله کلاهبرداری اینترنتی، سرقت هویت، آسیب‌رساندن به رایانه، شنود غیرقانونی و غیره روبرو هستند.

کالینکین در صورت محکومیت ممکن است تا ۷۲ سال زندان بگیرد، در حالی که استپانوف با حکم احتمالی ۵ سال زندان مواجه است.

در اسناد دادگاه آمده که توسعه‌دهندگان دانابات و بسیاری از همکاران آن در روسیه مستقر بودند، اما برخی از کاربران این بدافزار در کشورهایی مانند لهستان و تایلند قرار داشتند.

یکی از مقامات اف‌بی‌آی بیان کرد که از سال ۲۰۱۹ در حال تحقیق روی دانابات بوده است.

بدافزار دانابات نخستین بار در سال ۲۰۱۸ توسط شرکت امنیت سایبری پروف پوینت شناسایی شد.

این بدافزار از طریق ایمیل‌های فیشینگ با پیوست‌ها یا لینک‌های آلوده منتشر می‌شد.

پس از آلوده‌شدن دستگاه، سیستم قربانی بخشی از یک بات‌نت می‌شد که امکان کنترل از راه دور را برای مجرمان فراهم می‌کرد.

مدیران دانابات این دسترسی به بات‌نت را به مشتریان اجاره می‌دادند و حتی پشتیبانی نیز ارائه می‌کردند و معمولاً درآمد ماهانه آن‌ها بین ۳ تا ۴ هزار دلار بود.

دانابات همچنین توانایی سرقت داده، ربودن نشست‌های بانکی، دسترسی به تاریخچه مرورگر، ارسال اطلاعات ورود به حساب‌ها و غیره را داشت.

این بدافزار قدرتمند همچنین امکان ضبط فعالیت قربانیان، ثبت کلیدهای فشرده‌شده و موارد دیگر را برای کاربران خود فراهم می‌کرد.

وزارت دادگستری آمریکا عنوان کرد که شواهدی در دست دارد که نشان می‌دهد دانابات پیش‌زمینه‌ای برای اجرای حملات باج‌افزاری بوده است.

بر اساس اطلاعات وزارت دادگستری، مدیران دانابات نسخه‌ای تخصصی از این بات‌نت را نیز برای حمله به رایانه‌های مورد استفاده در نهادهای نظامی، دیپلماتیک و دولتی توسعه داده بودند.

به گفته دادستان‌ها، این نسخه برای هدف قرار دادن دیپلمات‌ها، نیروهای پلیس و اعضای ارتش در آمریکای شمالی و اروپا استفاده می‌شده است.

کنث دی‌چلیس، مقام وزارت دفاع آمریکا، در بیانیه‌ای اعلام کرد: