پیدایش باج افزار جدیدی از باند Black Basta
Black Basta یک باند باج افزار جدید است که از اعضای سابق Conti و REvil تشکیل شد. این گروه از آوریل 2022 تعداد 50 کسب و کار از کشورهای انگلیسی زبان را هدف قرار داده است.
به گزارش پایگاه خبری بانکداری الکترونیک ، اوایل این ماه، گزارشی منتشر شد مبنی بر اینکه تیم باج افزار سابق Conti از هم جداشده و بسیاری از اعضای این تیم به تیم های دیگر پیوستهاند یا تیم های حمله جدیدی ایجاد کردهاند، این اتفاق اعضای سابق گروه را خطرناکتر از همیشه کرده است.
یک تیم باج افزار جدید به نام Black Basta در گروه باج افزارها ایجادشده است، این باج افزار در آوریل 2022 تشکیلشده و گمان میرود از اعضای سابق Conti و REvil تشکیلشده است. بااینحال، اعضای فعلی Conti در مورد مشارکت با گروه جدید مخالفت میکنند و میگویند که گروه Black Basta طبق انجمن هک Conti صرفاً تعدادی بچه هستند.
یافتههایی که امروز توسط شرکت XDR Cybereason منتشر شد، جزئیات فعالیتهای این باند جدید را به همراه روشهایی که هم شرکتها و هم افراد میتوانند در برابر فعالیتهای این گروه تازه تشکیلشده در امان بمانند، نشان میدهد.
Black Basta در حال ظهور بهعنوان یک گروه باج افزار
برای شروع، این گروه هکری در مدت کوتاهی که به وجود آمده است 50 سازمان را در ایالاتمتحده، بریتانیا، استرالیا، نیوزیلند و کانادا قربانی کرده است. Cybereason معتقد است اعضای سابق برخی از گروههای هکری برجسته، باند جدید را به دلیل ماهیت حملات و اهداف انتخابی تشکیل دادهاند.
لیور دیو، مدیرعامل و یکی از بنیانگذاران Cybereason گفت: ازآنجاییکه Black Basta نسبتاً جدید است، اطلاعات زیادی در مورد این گروه در دست نیست. به دلیل صعود سریع و دقت حملاتشان، Black Basta احتمالاً توسط اعضای سابق باندهای منحل شده Conti و REvil دو باند باج افزار سودآور در سال 2021 اداره میشود. به گفته Cybereason، باج افزاری که توسط Black Basta استفاده میشود، باج افزار جدیدی است که از تکنیکهای اخاذی مضاعف استفاده میکند. این باند پروندههای یک سازمان قربانی را میدزدد و سپس تهدید میکند که در صورت برآورده نشدن درخواستهای باج، پروندههای سرقت شده را منتشر میکند. طبق گفته Cybereason، این گروه ظاهراً میلیونها دلار از قربانیان خودخواسته بودند تا اطلاعات سرقت شده را منتشر نکنند.
این حمله بهخودیخود از طریق مشارکت با بدافزار QBot انجام میشود و فرآیند باج افزار را برای گروههایی مانند Black Basta ساده میکند و امکان شناسایی آسانتر را در حین جمعآوری دادهها روی هدف فراهم میکند. هنگامیکه مقدار مناسبی از نظارت توسط Black Basta انجام شد، باند کنترلکننده دامنه را هدف قرار میدهد و با استفاده از PsExec به سمت جانبی حرکت میکند.
سپس دشمن Windows Defender و هر نرمافزار آنتیویروس دیگری را غیرفعال میکند. هنگامیکه نرمافزار دفاعی غیرفعال میشود، Black Basta باج افزار را با استفاده از یک فرمان کدگذاری شده PowerShell که از ابزار مدیریت ویندوز استفاده میکند تا باج افزار را به آدرسهای IP مشخصشده توسط گروه منتقل و مستقر کند.
چگونه سازمانها میتوانند از خود در برابر این باج افزار محافظت کنند؟
مثل همیشه، استفاده از معماری اعتماد صفر میتواند به جلوگیری از تأثیر این نوع حملات بر سازمان کمک کند. کسبوکارها و کارمندان آنها میتوانند با اعتماد نکردن به هیچ فایل یا پیوندی تا زمانی که بهاندازه کافی قانونی بودن آن تأیید نشده باشد، از هدر رفت زمان و دردسر زیادی جلوگیری کنند. علاوه بر این، اطمینان از بهروز بودن همه وصلههای سیستم میتواند به این فرآیند کمک کند. مشخصشده است که گروههای باج افزار از آسیبپذیریهای تعدادی از نرمافزارهای قدیمی مانند بهرهبرداری Windows Print Spooler که در می ۲۰۲۲ مشاهده شد، استفاده میکنند. درنهایت، همیشه مطمئن شوید که همه نرمافزارهای آنتیویروس نیز بهروز هستند.