باجافزار BlackCat چیست؟ چطور از داراییهای خود در برابر حملات باجافزار محافظت کنیم؟
یکی از چالشهای جدی دنیای رمزارزها، افزایش حملات باجافزار است. یکی از شناختهشدهترین گروههای باجافزاری در حوزه ارزهای دیجیتال، بلک کت (BlackCat) است که از طریق تکنیکهای پیچیده و روشهای جدید به دادههای شرکتها و کاربران دستاندازی میکند و با سوءاستفاده از ماهیت ناشناس و غیرمتمرکز رمزارزها از قربانیان خود با کریپتو باجخواهی میکند. با ظهور ارزهای دیجیتال، مجرمان سایبری برای باجخواهی به داراییهای دیجیتال روی آوردهاند تا ردیابی و بازگرداندن وجوه برای نهادها و مقامات نظارتی دشوارتر شود.
به گزارش چینالیسس (Chainalysis)، میزان و تعداد حملات باجافزاری در سال ۲۰۲۴ بهشدت افزایش یافته است؛ بهطوری که تا اواسط سال جاری، مبلغ پرداختهای باجافزاری به ۱.۹ میلیارد دلار رسیده و نسبت به سال گذشته ۸۰٪ بیشتر شده است. همچنین، میانگین مبلغ باجخواهی با ۳۰٪ افزایش به حدود ۶ میلیون دلار به ازای هر حمله رسیده است. این حملات تنها شرکتهای بزرگ را هدف قرار نمیدهند؛ بلکه سرمایهگذاران فردی را هم در دام خود گرفتار میکنند.
آگاهی بهترین راه درامان ماندن از حملات سایبری است. به همین دلیل پیشنهاد میکنم با این مطلب از میهن بلاکچین همراه باشید تا ببینیم باجافزار BlackCat چیست و از چه روشی برای حمله استفاده میکند. در ادامه، نمونههایی از حملات باجافزار بلک کت و راههای مقابله با این نوع حمله سایبری را بررسی میکنیم.
باجافزار BlackCat چیست؟
باج افزار بلککت (BlackCat) که با نامهای “Noberus” و “ALPHV” شناخته میشود، توسط گروهی از مجرمان سایبری روسیزبان ساخته شده است. گفتنی است باج افزار (Ransomware) یک نوع بدافزار است که فعالیتهای مخربی مانند محدود کردن دسترسی به سامانه یا رمزگذاری دادهها را انجام میدهد. سپس در ادامه این حمله، مهاجم در ازای رفع محدودیت یا رمزگشایی دادهها از قربانی باج میگیرد.
بلککت به عنوان یک گروه بسیار پیشرفته در حوزه باجافزار به عنوان سرویس (RaaS) شناخته میشود. باجافزار بهعنوان سرویس، مدلی در دنیای جرایم سایبری است که در آن توسعهدهندگان حرفهای باجافزار، ابزار و زیرساختهای لازم برای حمله را به دیگر هکرها میفروشند. معمولا در این مدل، توسعهدهندگان در ازای دریافت درصدی از باج، کدهای مخرب و پنلهای مدیریتی را در اختیار هکرها قرار میدهند و اجازه میدهند به قربانیان حمله کنند.
گروه باجافزاری BlackCat به دلیل حملات مخرب و گستردهاش، بهویژه در حوزه ارزهای دیجیتال، بارها در صدر اخبار قرار گرفته است. اولین فعالیت این گروه در نوامبر ۲۰۲۱ (آبان ۱۴۰۰) بود و از آن زمان تاکنون صدها سازمان در سراسر جهان، ازجمله ردیت (سال ۲۰۲۳) و شرکت Change Healthcare (سال ۲۰۲۴) را هدف قرار داده است.
گروه باج افزاری بلک کت در حملات خود رویکرد سازمانیافتهای دارد؛ ابتدا به سیستم نفوذ میکند، سپس دادهها رمزگذاری میشوند و در نهایت برای بازگرداندن دسترسی به قربانی، باجهای هنگفتی را در قالب ارزهای دیجیتال درخواست میکند. آنچه بلک کت را از سایر باجافزارها متمایز میکند، ساختار کدنویسی پیشرفته و قابل تنظیم بودن روشهای حمله آن است. این گروه معمولا حملات خود را با توجه به آسیبپذیریهای خاص هر هدف سفارشیسازی میکند و همین امر باعث میشود که حملات موفقتر باشند.
باج افزار بککت بهگونهای طراحی شده است که طیف گستردهای از سیستمعاملها از ویندوز تا لینوکس را پشتیبانی میکند. این باجافزار با زبان برنامهنویسی Rust نوشته شده است، زبانی که به ندرت در باجافزارها بهکار میرود؛ اما انعطافپذیری و سرعت بالایی در رمزگذاری دادهها دارد.
بلککت طی سالهای گذشته، فعالیتهای خودش را افزایش داده و در اکثر موارد از ضعفهای زیرساختی شرکتها و پلتفرمهای کریپتویی سوءاستفاده کرده است. حملات این گروه اغلب بر اساس مدل «باجگیری مضاعف» هستند؛ به این معنا که علاوهبر رمزگذاری دادهها، اطلاعات حساس نیز سرقت میشوند و سپس قربانی را تهدید میکنند که در صورت عدم پرداخت مبلغ اضافه، اطلاعات را افشا خواهند کرد. این تاکتیک فشار و کنترل بیشتری را بر قربانی وارد میکند.
چیزی که گروه باجافزاری بلککت را ترسناکتر میکند، مدل عملیاتی آنهاست. این گروه از یک مدل «افیلییت غیرمتمرکز» استفاده میکند؛ به این صورت که هکرهایی را از سراسر جهان به عنوان همکار جذب میکند تا با هماهنگی و هدایت وظایف مشخص برای اهداف خاص، حملاتی را به نمایندگی از گروه انجام دهند. بلک کت میداند که چطور آسیبپذیریها را پیدا کند و به نقاط حساس ضربه بزند.
جالب است بدانید که وزارت خارجه ایالات متحده آمریکا برای ارائه اطلاعاتی که منجر به شناسایی یا مکانیابی اعضای اصلی گروه بلک کت شود تا سقف ۱۰ میلیون دلار پاداش تعیین کرده است.
بررسی نحوه عملکرد باجافزار BlackCat
باجافزار بلک کت به دلیل عملکرد دقیق و حسابشدهاش یک تهدید جدی برای دنیای ارزهای دیجیتال و فعالان این حوزه بهشمار میآید. نحوه عملکرد باج افزار BlackCat به این صورت است:
- دسترسی اولیه: بلک کت معمولا از طریق ایمیلهای فیشینگ، اعتبارنامههای دزدیده شده یا بهرهبرداری از ضعفهای امنیتی اصلاحنشده به سیستمها نفوذ میکند.
- حفظ دسترسی: مهاجمان از طریق نصب دربهای پشتی (Back door)، دسترسی مداوم به شبکه را امکانپذیر میکنند تا بتوانند اطلاعات کاربران را جمعآوری کنند.
- رمزگذاری دادهها: بلک کت با استفاده از زبان برنامهنویسی Rust فایلهای مهم را رمزگذاری میکند تا بدون کلید رمزگشایی، غیرقابل استفاده شوند.
- باجگیری مضاعف: مهاجمان قبل از رمزگذاری، اطلاعات را سرقت و قربانی را تهدید میکنند که در صورت عدم پرداخت باج اضافه، دادههای حساس آنها را افشا میکنند.
- درخواست باج: معمولا باجها در قالب رمز ارزهایی مانند بیتکوین یا مونرو از قربانیان درخواست میشوند تا مهاجمان ناشناس بمانند.
- حملات قابل تنظیم: هکرهای وابسته به بلک کت میتوانند حملات را برای اهداف خاص، از جمله سیستمهای ویندوز یا لینوکس سفارشیسازی کنند. همچنین میتوانند با استفاده از تکنیکهای پیشرفته بلککت از شناسایی شدن جلوگیری کنند.
در این حملات، قربانیان ملزم به پرداخت باج در قالب ارزهای دیجیتال میشوند تا ردیابی و بازیابی وجوه برای نهادها و مقامات نظارتی غیرممکن شود. تاثیر بلککت بر فضای رمزارزها نشاندهنده ضرورت تامین امنیت داراییها و زیرساختهای دیجیتال در برابر تهدیدات سایبری است؛ حملاتی که روزبهروز پیشرفتهتر و قویتر میشوند.
مدل همکاری گروه باجافزار BlackCat
گروه بلک کت براساس مدل افیلییت (Affiliate) فعالیت میکند. درواقع، هکرهای مستقل به عنوان همکار با این گروه شریک میشوند و در ازای پرداخت درصدی از باجهای دریافتی از مدل باجافزار به عنوان سرویس و ابزارهای پیشرفته بلک کت استفاده میکنند. بلککت توانسته است با استفاده از این ساختار دامنه حملات خودش را گستردهتر کند. جزئیات این مدل به شرح زیر است:
- برنامه همکاری: مجرمان سایبری برای دسترسی به ابزارها و کدهای پیلود (مولفهای از حمله که باعث آسیبرساندن به قربانی میشود) باجافزار بلک کت ثبتنام میکنند.
- مدل تقسیم سود: هکرهای وابسته بخش عمدهای از باجها را دریافت میکنند و سهمی نیز به توسعهدهندگان اصلی بلک کت تعلق میگیرد.
- تاکتیک باجگیری مضاعف: هکرها علاوهبر رمزگذاری دادهها، اطلاعات حساس را سرقت میکنند. به این ترتیب، آنها میتوانند برای افشا نکردن این دادهها، باج مضاعف بگیرند.
- کدهای قابلتنظیم: بلک کت امکان سفارشیسازی باجافزار متناسب با اهداف خاص را برای هکرها فراهم کرده است تا حملات موفقتر باشند.
- پرداختهای رمز ارزی: هکرهای بلک کت باجها را به صورت ارز دیجیتال دریافت میکنند تا ناشناس بمانند و ردیابی آنها دشوارتر شود.
بلک کت با استفاده از این مدل همکاری به سرعت رشد کرده و موفق شده است به اهداف متنوع و با ارزش در بخشهای مختلف حمله کند.
بزرگترین حملات باجافزاری بلک کت
حملات باجافزاری بلک کت به سازمانهای بزرگ و مهم، پیامدهای عملیاتی و خسارات مالی قابلتوجهی را بهدنبال داشته است. چند مورد از این حملات که نشاندهنده گستردگی و شدت حملات بلک کت هستند، عبارتند از:
- Oil tanking و Mabanaft: در اوایل سال ۲۰۲۲، بلک کت با حمله به دو شرکت Mabanaft و OilTanking، سیستمهای ذخیرهسازی و توزیع سوخت آنها را متوقف کرد. در پی این حملات سایبری، زنجیره تأمین در آلمان مختل شد. مهاجمان برای بازگشایی سیستمهای رمزگذاریشده، باج قابلتوجهی را در قالب ارز دیجیتال بیت کوین و مونرو با مهلت ۵ الی ۷ روزه درخواست کردند. مبلغ دقیق این باجخواهی افشا نشده است.
- MGM Resorts و Caesars Entertainment: در سپتامبر ۲۰۲۳، بلک کت اقدام به یک حمله باجافزاری بزرگ به دو شرکت MGM Resorts و Caesars Entertainment کرد. سزار اینترتینمنت در ابتدا با تقاضای باج ۳۰ میلیون دلاری بیت کوین مواجه شد؛ اما موفق شد از طریق مذاکره این مبلغ را به ۱۵ میلیون دلار کاهش دهد. شرکت MGM Resorts از پرداخت باج امتناع کرد که منجر به تعطیلی عملیاتی چندهفتهای و ضرر ۱۰۰ میلیون دلاری آن در یک فصل مالی شد. این حمله توسط گروه هکری آمریکایی و انگلیسی به نام “Scattered Spider” وابسته به بلک کت انجام شد.
- Change Healthcare: در اوایل سال ۲۰۲۴، بلک کت به یکی از زیرمجموعههای شرکت خدمات درمانی و مراقبتهای بهداشتی آمریکایی حمله کرد. در این حمله دادههای حساس بیماران سرقت شد و شرکت را با اختلال عملیاتی مواجه کرد. طبق گزارشهای موجود، شرکت برای بازیابی سیستمهای خود ۲۲ میلیون دلار بیتکوین باج پرداخت کرده است. این اتفاق زنگ هشداری برای خطر فزاینده حملات باجافزاری در بخش بهداشت و درمان و موقعیت دشوار شرکتها در مواجهه با حملات سایبری است.
روشهای مقابله با حملات باجافزاری
درک علل اصلی و نحوه عملکرد باجافزار بلک کت، مهمترین گام برای محافظت در برابر آنها است. برای جلوگیری از تهدیدات این گروه باجافزاری، لازم است که اقدامات زیر را انجام دهید:
- پشتیبانگیری منظم از دادهها: پشتیبانگیری مکرر و رمزگذاریشده به صورت آفلاین میتواند یک راه نجات باشد. درصورتی که سیستم شما مورد حمله باجافزار قرار بگیرد، میتوانید از نسخه پشتیبان برای بازیابی اطلاعات استفاده کنید.
- ایجاد پروتکلهای امنیت سایبری قوی: مطمئن شوید که تیم امنیت سایبری سازمان، ارزیابی آسیبپذیریها را بهطور منظم انجام میدهد و پروتکلهای امنیتی مانند احراز هویت چندعاملی (2FA) و نظارت بر شبکه را اعمال میکند.
- آموزش کارکنان: آموزش کارکنان را در اولویت قرار دهید تا تمام پرسنل با بهترین شیوههای امنیتی آشنا شوند و از آنها در کانالها و پلتفرمهای کاری رعایت کنند.
- نصب نرمافزار آنتی ویروس: با نصب یک سیستم آنتیویروس قوی میتوانید قبل از رمزگذاری فایلها توسط یک بدافزار، آن را شناسایی و از فعالیتهای مخرب جلوگیری کنید.
- شناسایی لینکهای فیشینگ: از کلیک کردن روی ایمیلها و لینکهای فیشینگ که ممکن است حامل کدهای حمله (Payload) باجافزار باشند، اجتناب کنید.
- استفاده از سیستمهای مدیریت رمز عبور: با بهروزرسانی منظم رمز عبور، احتمال دسترسی مجرمان سایبری به حسابها را کاهش دهید.
- تقسیمبندی شبکه: از طریق ایزوله کردن بخشهایی از شبکه میتوانید دسترسی باجافزار را محدود کنید.
جمعبندی
باجافزار بلک کت (BlackCat)، یکی از خطرناکترین تهدیدات سایبری در فضای ارزهای دیجیتال است. این بدافزار در قالب مدل «باجافزار بهعنوان سرویس» و با استفاده از زبان برنامهنویسی Rust عمل میکند. بلککت، رویکرد سازمانیافتهای برای نفوذ به سیستمها دارد و باجهای هنگفتی را در قالب رمزارز از جمله بیت کوین و مونرو از قربانیان دریافت میکند. این گروه هکری برای گسترش دامنه حملات خود با استفاده از یک برنامه افیلییت، از هکرهای مستقل در سراسر جهان کمک میگیرد.
با وجود فشارهای بینالمللی، این گروه یک تهدید جدی برای فضای ارزهای دیجیتال بهشمار میرود. به همین دلیل، شرکتها و کاربران فعال در این حوزه باید با تدابیر امنیت قوی ازجمله ارزیابی منظم آسیبپذیریها، نصب آنتیویروسها، استفاده از پروتکلهای امنیت سایبری و سیستمهای مدیریت رمزعبور از داده و داراییهای خود در برابر حملات باجافزاری محافظت کنند. شما چه پیشنهاد دیگری برای در امان ماندن از حملات باجافزاری دارید؟ پیشنهادات خود را در بخش نظرات با ما به اشتراک بگذارید.