باج‌افزار BlackCat چیست؟ چطور از دارایی‌های خود در برابر حملات باج‌افزار محافظت کنیم؟

یکی از چالش‌های جدی دنیای رمزارزها، افزایش حملات باج‌افزار است. یکی از شناخته‌شده‌ترین گروه‌های باج‌افزاری در حوزه ارزهای دیجیتال، بلک کت (BlackCat) است که از طریق تکنیک‌های پیچیده و روش‌های جدید به داده‌های شرکت‌ها و کاربران دست‌اندازی می‌کند و با سوء‌استفاده از ماهیت ناشناس و غیرمتمرکز رمزارزها از قربانیان خود با کریپتو باج‌خواهی می‌کند. با ظهور ارزهای دیجیتال، مجرمان سایبری برای باج‌خواهی به دارایی‌های دیجیتال روی آورده‌اند تا ردیابی و بازگرداندن وجوه برای نهادها و مقامات نظارتی دشوارتر شود.

به گزارش چینالیسس (Chainalysis)، میزان و تعداد حملات باج‌افزاری در سال ۲۰۲۴ به‌شدت افزایش یافته است؛ به‌طوری که تا اواسط سال جاری، مبلغ پرداخت‌های باج‌افزاری به ۱.۹ میلیارد دلار رسیده و نسبت به سال گذشته ۸۰٪ بیشتر شده است. همچنین، میانگین مبلغ باج‌خواهی با ۳۰٪ افزایش به حدود ۶ میلیون دلار به ازای هر حمله رسیده است. این حملات تنها شرکت‌های بزرگ را هدف قرار نمی‌دهند؛ بلکه سرمایه‌گذاران فردی را هم در دام خود گرفتار می‌کنند.

آگاهی بهترین راه درامان ماندن از حملات سایبری است. به همین دلیل پیشنهاد می‌کنم با این مطلب از میهن بلاکچین همراه باشید تا ببینیم باج‌افزار BlackCat چیست و از چه روشی برای حمله استفاده می‌کند. در ادامه، نمونه‌هایی از حملات باج‌افزار بلک کت و راه‌های مقابله با این نوع حمله سایبری را بررسی می‌کنیم.

باج‌افزار BlackCat چیست؟

باج افزار بلک‌کت (BlackCat) که با نام‌های “Noberus” و “ALPHV” شناخته می‌شود، توسط گروهی از مجرمان سایبری روسی‌زبان ساخته شده است. گفتنی است باج افزار (Ransomware) یک نوع بدافزار است که فعالیت‌های مخربی مانند محدود کردن دسترسی به سامانه یا رمزگذاری داده‌ها را انجام می‌دهد. سپس در ادامه این حمله، مهاجم در ازای رفع محدودیت یا رمزگشایی داده‌ها از قربانی باج می‌گیرد.

بلک‌کت به عنوان یک گروه بسیار پیشرفته در حوزه باج‌افزار به عنوان سرویس (RaaS) شناخته می‌شود. باج‌افزار به‌عنوان سرویس، مدلی در دنیای جرایم سایبری است که در آن توسعه‌دهندگان حرفه‌ای باج‌افزار، ابزار و زیرساخت‌های لازم برای حمله را به دیگر هکرها می‌‌فروشند. معمولا در این مدل، توسعه‌دهندگان در ازای دریافت درصدی از باج، کدهای مخرب و پنل‌های مدیریتی را در اختیار هکرها قرار می‌دهند و اجازه می‌دهند به قربانیان حمله کنند.

گروه باج‌افزاری BlackCat به دلیل حملات مخرب و گسترده‌اش، به‌ویژه در حوزه ارزهای دیجیتال، بارها در صدر اخبار قرار گرفته است. اولین فعالیت این گروه در نوامبر ۲۰۲۱ (آبان ۱۴۰۰) بود و از آن زمان تاکنون صدها سازمان در سراسر جهان، ازجمله ردیت (سال ۲۰۲۳) و شرکت Change Healthcare (سال ۲۰۲۴) را هدف قرار داده است.

گروه باج افزاری بلک کت در حملات خود رویکرد سازمان‌یافته‌ای دارد؛ ابتدا به سیستم نفوذ می‌کند، سپس داده‌ها رمزگذاری می‌شوند و در نهایت برای بازگرداندن دسترسی به قربانی، باج‌های هنگفتی را در قالب ارزهای دیجیتال درخواست می‌کند. آنچه بلک کت را از سایر باج‌افزارها متمایز می‌کند، ساختار کدنویسی پیشرفته و قابل تنظیم بودن روش‌های حمله آن است. این گروه معمولا حملات خود را با توجه به آسیب‌پذیری‌های خاص هر هدف سفارشی‌سازی می‌کند و همین امر باعث می‌شود که حملات موفق‌تر باشند.

باج افزار بک‌کت به‌گونه‌ای طراحی شده است که طیف گسترده‌ای از سیستم‌عامل‌ها از ویندوز تا لینوکس را پشتیبانی می‌کند. این باج‌افزار با زبان برنامه‌نویسی Rust نوشته شده است، زبانی که به ندرت در باج‌افزارها به‌کار می‌رود؛ ‌اما انعطاف‌پذیری و سرعت بالایی در رمزگذاری داده‌ها دارد.

بلک‌کت طی سال‌های گذشته، فعالیت‌های خودش را افزایش داده و در اکثر موارد از ضعف‌های زیرساختی شرکت‌ها و پلتفرم‌های کریپتویی سوء‌استفاده کرده است. حملات این گروه اغلب بر اساس مدل «باج‌گیری مضاعف» هستند؛ به این معنا که علاوه‌بر رمزگذاری داده‌ها، اطلاعات حساس نیز سرقت می‌شوند و سپس قربانی را تهدید می‌کنند که در صورت عدم پرداخت مبلغ اضافه، اطلاعات را افشا خواهند کرد. این تاکتیک فشار و کنترل بیشتری را بر قربانی وارد می‌کند.

چیزی که گروه باج‌افزاری بلک‌کت را ترسناک‌تر می‌کند، مدل عملیاتی آن‌هاست. این گروه از یک مدل «افیلییت غیرمتمرکز» استفاده می‌کند؛ به این صورت که هکرهایی را از سراسر جهان به عنوان همکار جذب می‌کند تا با هماهنگی و هدایت وظایف مشخص برای اهداف خاص، حملاتی را به نمایندگی از گروه انجام دهند. بلک کت می‌داند که چطور آسیب‌پذیری‌ها را پیدا کند و به نقاط حساس ضربه بزند.

جالب است بدانید که وزارت خارجه ایالات متحده آمریکا برای ارائه اطلاعاتی که منجر به شناسایی یا مکان‌یابی اعضای اصلی گروه بلک کت شود تا سقف ۱۰ میلیون دلار پاداش تعیین کرده است.

بررسی نحوه عملکرد باج‌افزار BlackCat

باج‌افزار بلک کت به دلیل عملکرد دقیق و حساب‌شده‌‌اش یک تهدید جدی برای دنیای ارزهای دیجیتال و فعالان این حوزه به‌شمار می‌آید. نحوه عملکرد باج افزار BlackCat به این صورت است:

• دسترسی اولیه: بلک کت معمولا از طریق ایمیل‌های فیشینگ، اعتبارنامه‌های دزدیده شده یا بهره‌برداری از ضعف‌های امنیتی اصلاح‌نشده به سیستم‌ها نفوذ می‌کند.
• حفظ دسترسی: مهاجمان از طریق نصب درب‌های پشتی (Back door)، دسترسی مداوم به شبکه را امکان‌پذیر می‌کنند تا بتوانند اطلاعات کاربران را جمع‌آوری کنند.
• رمزگذاری داده‌ها: بلک کت با استفاده از زبان برنامه‌نویسی Rust فایل‌های مهم را رمزگذاری می‌کند تا بدون کلید رمزگشایی، غیرقابل استفاده شوند.
• باج‌گیری مضاعف: مهاجمان قبل از رمزگذاری، اطلاعات را سرقت و قربانی را تهدید می‌کنند که در صورت عدم پرداخت باج اضافه، داده‌های حساس آن‌ها را افشا می‌کنند.
• درخواست باج: معمولا باج‌ها در قالب رمز ارزهایی مانند بیت‌کوین یا مونرو از قربانیان درخواست می‌شوند تا مهاجمان ناشناس بمانند.
• حملات قابل تنظیم: هکرهای وابسته به بلک کت می‌توانند حملات را برای اهداف خاص، از جمله سیستم‌های ویندوز یا لینوکس سفارشی‌سازی کنند. همچنین می‌توانند با استفاده از تکنیک‌های پیشرفته‌ بلک‌کت از شناسایی شدن جلوگیری کنند.

در این حملات، قربانیان ملزم به پرداخت باج در قالب ارزهای دیجیتال می‌شوند تا ردیابی و بازیابی وجوه برای نهادها و مقامات نظارتی غیرممکن شود. تاثیر بلک‌کت بر فضای رمزارزها نشان‌دهنده ضرورت تامین امنیت دارایی‌ها و زیرساخت‌های دیجیتال در برابر تهدیدات سایبری است؛ حملاتی که روز‌به‌روز پیشرفته‌تر و قوی‌تر می‌شوند.

مدل همکاری گروه باج‌افزار BlackCat

گروه بلک کت براساس مدل افیلییت (Affiliate) فعالیت می‌کند. درواقع، هکرهای مستقل به عنوان همکار با این گروه شریک می‌شوند و در ازای پرداخت درصدی از باج‌های دریافتی از مدل باج‌افزار به عنوان سرویس و ابزارهای پیشرفته بلک کت استفاده می‌کنند. بلک‌کت توانسته است با استفاده از این ساختار دامنه حملات خودش را گسترده‌‌تر کند. جزئیات این مدل به شرح زیر است:

• برنامه همکاری: مجرمان سایبری برای دسترسی به ابزارها و کدهای پی‌لود (مولفه‌ای از حمله که باعث آسیب‌رساندن به قربانی می‌شود) باج‌افزار بلک کت ثبت‌نام می‌کنند.
• مدل تقسیم سود: هکرهای وابسته بخش عمده‌ای از باج‌ها را دریافت می‌کنند و سهمی نیز به توسعه‌دهندگان اصلی بلک کت تعلق می‌گیرد.
• تاکتیک باج‌گیری مضاعف: هکرها علاوه‌بر رمزگذاری داده‌ها، اطلاعات حساس را سرقت می‌کنند. به این ترتیب، آن‌ها می‌توانند برای افشا نکردن این داده‌ها، باج مضاعف بگیرند.
• کدهای قابل‌تنظیم: بلک کت امکان سفارشی‌سازی باج‌افزار متناسب با اهداف خاص را برای هکرها فراهم کرده است تا حملات موفق‌تر باشند.
• پرداخت‌های رمز ارزی: هکرهای بلک کت باج‌ها را به صورت ارز دیجیتال دریافت می‌کنند تا ناشناس بمانند و ردیابی آن‌ها دشوارتر شود.

بلک کت با استفاده از این مدل همکاری به سرعت رشد کرده و موفق شده است به اهداف متنوع و با ارزش در بخش‌های مختلف حمله کند.

بزرگ‌ترین حملات باج‌افزاری بلک کت

حملات باج‌افزاری بلک کت به سازمان‌های بزرگ و مهم، پیامدهای عملیاتی و خسارات مالی قابل‌توجهی را به‌دنبال داشته است. چند مورد از این حملات که نشان‌دهنده گستردگی و شدت حملات بلک کت هستند، عبارتند از:

• Oil tanking و Mabanaft: در اوایل سال ۲۰۲۲، بلک کت با حمله به دو شرکت Mabanaft و OilTanking، سیستم‌های ذخیره‌سازی و توزیع سوخت آن‌ها را متوقف کرد. در پی این حملات سایبری، زنجیره تأمین در آلمان مختل شد. مهاجمان برای بازگشایی سیستم‌های رمزگذاری‌شده، باج قابل‌توجهی را در قالب ارز دیجیتال بیت کوین و مونرو با مهلت ۵ الی ۷ روزه درخواست کردند. مبلغ دقیق این باج‌خواهی افشا نشده است.
• MGM Resorts و Caesars Entertainment: در سپتامبر ۲۰۲۳، بلک کت اقدام به یک حمله باج‌افزاری بزرگ به دو شرکت MGM Resorts و Caesars Entertainment کرد. سزار اینترتینمنت در ابتدا با تقاضای باج ۳۰ میلیون دلاری بیت کوین مواجه شد؛ اما موفق شد از طریق مذاکره این مبلغ را به ۱۵ میلیون دلار کاهش دهد. شرکت MGM Resorts از پرداخت باج امتناع کرد که منجر به تعطیلی‌ عملیاتی چندهفته‌ای و ضرر ۱۰۰ میلیون دلاری آن در یک فصل مالی شد. این حمله توسط گروه هکری آمریکایی و انگلیسی به نام “Scattered Spider” وابسته به بلک کت انجام شد.
• Change Healthcare: در اوایل سال ۲۰۲۴، بلک کت به یکی از زیرمجموعه‌های شرکت خدمات درمانی و مراقبت‌های بهداشتی آمریکایی حمله کرد. در این حمله داده‌های حساس بیماران سرقت شد و شرکت را با اختلال عملیاتی مواجه کرد. طبق گزارش‌های موجود، شرکت برای بازیابی سیستم‌های خود ۲۲ میلیون دلار بیت‌کوین باج پرداخت کرده است. این اتفاق زنگ هشداری برای خطر فزاینده حملات باج‌افزاری در بخش بهداشت و درمان و موقعیت دشوار شرکت‌ها در مواجهه با حملات سایبری است.

روش‌های مقابله با حملات باج‌افزاری

درک علل اصلی و نحوه عملکرد باج‌افزار بلک کت، مهم‌ترین گام برای محافظت در برابر آن‌ها است. برای جلوگیری از تهدیدات این گروه باج‌افزاری، لازم است که اقدامات زیر را انجام دهید:

• پشتیبان‌گیری منظم از داده‌ها: پشتیبان‌گیری‌ مکرر و رمزگذاری‌شده به صورت آفلاین می‌تواند یک راه نجات باشد. درصورتی که سیستم شما مورد حمله باج‌افزار قرار بگیرد، می‌توانید از نسخه پشتیبان برای بازیابی اطلاعات استفاده کنید.
• ایجاد پروتکل‌های امنیت سایبری قوی: مطمئن شوید که تیم امنیت سایبری سازمان، ارزیابی آسیب‌پذیری‌ها را به‌طور منظم انجام می‌دهد و پروتکل‌های امنیتی مانند احراز هویت چندعاملی (2FA) و نظارت بر شبکه را اعمال می‌کند.
• آموزش کارکنان: آموزش کارکنان را در اولویت قرار دهید تا تمام پرسنل با بهترین شیوه‌های امنیتی آشنا شوند و از آن‌ها در کانال‌ها و پلتفرم‌های کاری رعایت کنند.
• نصب نرم‌افزار آنتی‌ ویروس: با نصب یک سیستم آنتی‌ویروس قوی می‌توانید قبل از رمزگذاری فایل‌ها توسط یک بد‌افزار، آن را شناسایی و از فعالیت‌های مخرب جلوگیری کنید.
• شناسایی لینک‌های فیشینگ: از کلیک کردن روی ایمیل‌ها و لینک‌های فیشینگ که ممکن است حامل کدهای حمله (Payload) باج‌افزار باشند، اجتناب کنید.
• استفاده از سیستم‌های مدیریت رمز عبور: با به‌روزرسانی‌ منظم رمز عبور، احتمال دسترسی مجرمان سایبری به حساب‌ها را کاهش دهید.
• تقسیم‌بندی شبکه: از طریق ایزوله کردن بخش‌هایی از شبکه می‌توانید دسترسی باج‌افزار را محدود کنید.

جمع‌بندی

باج‌افزار بلک کت (BlackCat)، یکی از خطرناک‌ترین تهدیدات سایبری در فضای ارزهای دیجیتال است. این بدافزار در قالب مدل «باج‌افزار به‌عنوان سرویس» و با استفاده از زبان برنامه‌نویسی Rust عمل می‌کند. بلک‌کت، رویکرد سازمان‌یافته‌‌ای برای نفوذ به سیستم‌ها دارد و باج‌های هنگفتی را در قالب رمزارز از جمله بیت کوین و مونرو از قربانیان دریافت می‌کند. این گروه هکری برای گسترش دامنه حملات خود با استفاده از یک برنامه افیلییت، از هکرهای مستقل در سراسر جهان کمک می‌گیرد.

با وجود فشارهای بین‌المللی، این گروه یک تهدید جدی برای فضای ارزهای دیجیتال به‌شمار می‌رود. به همین دلیل، شرکت‌ها و کاربران فعال در این حوزه باید با تدابیر امنیت قوی ازجمله ارزیابی منظم آسیب‌پذیری‌ها، نصب آنتی‌ویروس‌ها، استفاده از پروتکل‌های امنیت سایبری و سیستم‌های مدیریت رمزعبور از داده و دارایی‌های خود در برابر حملات باج‌افزاری محافظت کنند. شما چه پیشنهاد دیگری برای در امان ماندن از حملات باج‌افزاری دارید؟ پیشنهادات خود را در بخش نظرات با ما به اشتراک بگذارید.

 ‌