گروه بلککت چگونه حملات باجافزاری خود را انجام میدهد؟
گربهسیاه رمز ارزها
گروههای باجافزار، از جمله بلککت، از این ویژگیها بهرهبرداری و درخواست پرداخت باج را به صورت ارزهای دیجیتال مطرح میکنند، این امر، ردیابی و بازیابی داراییهای سرقتشده را برای مقامات دشوارتر میکند. در سال۲۰۲۴، افزایش چشمگیری در تعداد و شدت این حملات دیده شده است.
گزارش جنایی سایبری یک پلتفرم تحلیل بلاکچین که به بررسی و ردیابی تراکنشهای ارزهای دیجیتال کمک میکند به نام Chainalysis روند فزاینده این حملات را بررسی کرده است. براساس این گزارش تا میانه سال۲۰۲۴، ۱.۹میلیارد دلار پرداخت باج ثبت شده، که نسبت به سال گذشته ۸۰درصد افزایش داشته است. میانگین درخواست باج در سال۲۰۲۴، ۳۰ درصد افزایش داشته و به حدود ۶میلیون دلار به ازای هر حمله رسیده است.
آسیبهای ناشی از درخواستهای باج تنها محدود به شرکتهای بزرگی همچون MGM Resorts یا UnitedHealth نمیشود؛ حتی سرمایهگذاران فردی نیز در این حملات هدف قرار گرفتهاند. مجرمان سایبری از روشهای پیچیدهای مانند «اخاذی دوگانه» استفاده میکنند؛ به این معنا که هکرها اطلاعات را رمزگذاری کرده و تهدید به افشای دادههای حساس میکنند، مگر اینکه پرداختی اضافی انجام شود. چگونه صنعت ارز دیجیتال میتواند با این حملات پیچیده مقابله کند؟ با بررسی در حملات باجافزاری رمزنگاریشده بلککت، میتوان فهمید که این گروه چگونه فعالیت میکند و چه اقداماتی برای محافظت در برابر تهدیدات فزاینده بلاکچین میتوان انجام داد.
حملات باجافزار بلککت
باجافزار بلککت که با نامهای نوبروس یا ALPHV نیز شناخته میشود، نوعی بدافزار است که توسط گروهی از مجرمان سایبری روسزبان ایجاد شده است. این گروه باجافزار خود را بهعنوان یک سرویس RaaS که گروههای سازنده باجافزار نرم افزار آن را به دیگران اجاره یا فروش میدهند در اختیار دیگران قرار میدهد و بارها بهدلیل حملات ویرانگر خود در دنیای ارزهای دیجیتال توجه رسانهها را جلب کرده است. بلککت برای اولینبار در نوامبر۲۰۲۱ ظاهر شد و از آن زمان تاکنون صدها سازمان را در سراسر جهان از جمله Reddit در سال ۲۰۲۳ و Change Healthcare را در سال۲۰۲۴ هدف قرار داده است.
گروه بلککت از یک روش عملیاتی مشخص پیروی میکند نفوذ به سیستمها، رمزگذاری دادهها و درخواست مبالغ هنگفتی بهصورت ارز دیجیتال برای بازگرداندن دسترسی، بخشی از این روشها است. چیزی که بلککت را از دیگر باجافزارها متمایز میکند، ساختار کدنویسی پیشرفته و روشهای حمله سفارشیسازیشده آن است که اغلب با آسیبپذیریهای هدفمندی همراه شده و باعث میشود که این باجافزار بسیار کارآمد باشد. هنگامی که این گروه شروع به کار کرد، بلککت بهگونهای طراحی شده بود که از طیف وسیعی از سیستمهای عامل، از ویندوز تا لینوکس پشتیبانی کند. این باجافزار از زبان برنامهنویسی خاص راست (Rust) استفاده میکند که بهدلیل انعطافپذیری و سرعت در رمزگذاری شناخته میشود.
تا سال۲۰۲۴، بلککت حملات خود را بهشدت افزایش داد و با استفاده از نقاط ضعف موجود در زیرساختهای شرکتی و پلتفرمهای ارز دیجیتال، حملات خود را زیادتر کرد. این حملات اغلب از مدل «اخاذی دوگانه» پیروی میکنند؛ در این روش نهتنها دادهها رمزگذاری میشوند، بلکه اطلاعات حساس نیز به سرقت میرود و سپس گروه تهدید میکند که در صورت عدم پرداخت باج، این اطلاعات را افشا خواهد کرد. این تاکتیک به گروه بلککت قدرت و نفوذ بسیار زیادی در برابر قربانیان خود میدهد. یکی از عوامل وحشتزا درباره گروه بلککت، شیوه عملکرد آن است. این گروه از یک مدل همکاری غیرمتمرکز استفاده میکند؛ بهگونهایکه هکرهایی را از سراسر جهان جذب میکنند و به آنها امکان هماهنگی و اجرای حملات را میدهند. هر هکر میتواند از ابزارها و بدافزارهای این گروه برای حملات خود از محتوای قابل تنظیم استفاده میکند. به بیان ساده، بلککت در یافتن آسیبپذیریها و ضربه زدن به نقاط حساس متخصص است. دامنه حملات این گروه به حدی گسترش یافت که وزارت امور خارجه ایالات متحده جایزهای تا سقف ۱۰میلیون دلار به ازای اطلاعات مربوط به این گروه تعیین کرده است که به شناسایی یا یافتن رهبران کلیدی گروه پشتپرده حملات باجافزار بلککت منجر شود.
نحوه عملکرد باجافزار بلککت
باجافزار بلککت بهدلیل روشهای دقیق و برنامهریزیشدهاش در زمینه جرائم سایبری شناخته شده و به تهدیدی جدی در فضای دیجیتال تبدیل شده است. مراحل اصلی عملکرد این باجافزار عبارتند از:
۱- دسترسی اولیه: بلککت معمولا از طریق ایمیلهای فیشینگ، سرقت رمزها یا بهرهبرداری از آسیبپذیریهای سیستمی که بهروزرسانینشدهاند به سیستمها نفوذ میکند. گروههای باجافزاری مانند بلککت از تکنیکهای مختلفی برای بهدست آوردن دسترسی اولیه به سیستمها و آغاز حملات استفاده میکنند. این دسترسی اولیه اساسا برای استقرار بدافزار، دزدیدن اطلاعات حساس و فعالسازی باجافزار در شبکههای هدف ضروری است. بلککت معمولا از طریق ایمیلهای فیشینگ، سرقت رمزها یا بهرهبرداری از آسیبپذیریهای سیستمی که بهروزرسانی نشدهاند به سیستمها نفوذ میکند.
۲- ایجاد ماندگاری: مهاجمان در این مرحله درهای پشتی (back doors) ایجاد کرده و دسترسی خود را تثبیت میکنند تا بتوانند در سیستم باقی بمانند و به رمزهای بیشتری دست یابند تا حرکتهای جانبی دیگری در شبکه انجام دهند. مهاجم میتواند نرمافزار یا اسکریپتهایی نصب کند که به آنها امکان دسترسی از راه دور به سیستم را میدهد. این درهای پشتی میتوانند بهطور پنهانی در سیستم باقی بمانند و مهاجمان قادر به استفاده از آنها برای ورود مجدد به سیستم باشند.
۳- رمزگذاری دادهها: بلککت فایلهای مهم را با استفاده از زبان برنامهنویسی راست، رمزگذاری میکند و بدون کلید رمزگشایی این فایلها غیرقابل استفاده میشوند. استفاده بلککت از زبان برنامهنویسی «راست» این امکان را فراهم کرده است که بتواند هم سیستمهای ویندوز و هم لینوکس را هدف قرار دهد و نسبت به دیگر باجافزارها انعطافپذیری بیشتری داشته باشد.
۴- اخاذی دوگانه: مهاجمان قبل از رمزگذاری، دادهها را سرقت میکنند و سپس تهدید میکنند که در صورت عدم پرداخت باج، این اطلاعات را افشا خواهند کرد.
۵- درخواست باج: از قربانیان درخواست میشود تا باج را بهصورت ارزهای دیجیتال مانند بیتکوین یا مونرو پرداخت کنند که به این ترتیب، ناشناسماندن مهاجمان تضمین میشود.
۶- حملات سفارشیسازیشده: بلککت به همکاران خود امکان میدهد که بدافزارها را برای قربانیان خاصی تنظیم کنند که اغلب شامل اهداف ویندوز و لینوکس میشود و از تکنیکهای پیشرفته برای جلوگیری از شناسایی استفاده میکند.
مدل همکاری بلککت
همکاران بلککت هکرهای مستقلی هستند که با این گروه همکاری کرده و از مدل خدمات باجافزار بهعنوان سرویس (RaaS) و ابزارهای پیچیده آن استفاده میکنند. عملیات بلککت بر پایه مدل همکاری بنا شده که در آن افراد مختلف به گسترش دامنه حملات این گروه کمک میکنند. در اینجا به برخی از ویژگیهای این مدل میپردازیم:
۱- برنامه همکاری: مجرمان سایبری میتوانند با ثبتنام در برنامه همکاری بلککت، به ابزارهای حمله و انتشار بدافزار دسترسی پیدا کنند.
۲- مدل تقسیم سود: همکاران بخش قابلتوجهی از باج جمعآوریشده را دریافت میکنند؛ درحالیکه سهمی نیز به توسعهدهندگان بلککت میرسد.
۳- تاکتیک اخاذی دوگانه: همکاران اغلب از روش اخاذی دوگانه بهره میبرند. به این ترتیب که ابتدا دادهها را رمزگذاری و سپس قربانی را تهدید به افشای اطلاعات میکنند، مگر اینکه باج پرداخت شود. در ابتدا، مهاجمان به شبکه یا سیستمهای هدف نفوذ کرده و دادههای حساس را رمزگذاری میکنند. پس از رمزگذاری، دسترسی به این دادهها برای کاربر یا سازمان غیرممکن میشود و از قربانی خواسته میشود تا مبلغی را بپردازد تا دادهها بازگشایی شوند.
۴- بدافزارهای قابل سفارشیسازی: بلککت به همکاران خود این امکان را میدهد که بدافزار را برای اهداف خاص سفارشیسازی کنند که این کار دفاع در برابر حملات را دشوارتر میکند.
۵- پرداختهای ارز دیجیتال: همکاران باج را بهصورت ارزهای دیجیتال طلب میکنند که این امر ناشناسماندن آنها را تضمین و ردیابی تراکنشها را بسیار دشوار میکند.
این مدل همکاری به بلککت اجازه میدهد تا به سرعت گسترش یابد و اهداف با ارزش بالا را در بخشهای مختلف مورد حمله قرار دهد.
حملات بلککت به موسسات
گروه بلککت موفق شده است تا سازمانهای شناختهشدهای را هدف قرار دهد که این موضوع باعث ایجاد تاثیرات عملیاتی و مالی بزرگی شده است. برخی از موارد برجسته از حملات بلککت به شرکتهای نفتی بوده است. برای مثال حمله بلککت به گروههای OilTanking و Mabanaft در سال ۲۰۲۲ انجام شد. این دو از شرکتهای مهم در صنعت ذخیرهسازی و توزیع سوخت هستند. این شرکتها مسوول ذخیرهسازی و تامین سوخت برای صنایع مختلف و بهویژه برای بخش حملونقل و تولید انرژی در آلمان محسوب میشوند. بلککت در اوایل سال۲۰۲۲ این گروهها را هدف قرار داد. این حمله باعث از کار افتادن سیستمهای ذخیرهسازی و توزیع سوخت آنها شد و زنجیره تامین سوخت در آلمان را مختل کرد.
هکرها برای آزادسازی سیستمهای رمزگذاریشده درخواست باج قابلتوجهی کردند؛ اما جزئیات دقیق مبلغ منتشر نشد. حمله بلککت به دو هتل بزرگ MGM Resorts و Caesars Entertainment در سال۲۰۲۳ رخ داد. این شرکتها نه تنها در زمینه هتلداری بلکه در سایر بخشهای گردشگری و سرگرمی نیز نقش مهمی دارند. در سپتامبر۲۰۲۳، بلککت به MGM Resorts International و Caesars Entertainment حمله کرد. در این حمله، Caesars با درخواست اولیه ۳۰میلیون دلاری مواجه شد که موفق شد آن را به ۱۵میلیون دلار کاهش دهد. MGM Resorts با نپرداختن باج، با توقفهای عملیاتی چند هفتهای روبهرو شد که در نهایت باعث خسارت مالی ۱۰۰میلیون دلاری در آن فصل شد.
نمونه دیگری از حملات مشهور بلککت حمله این گروه به Change Healthcare بود که یکی از بزرگترین ارائهدهندگان خدمات نرمافزاری به سیستمهای بهداشتی و بسیاری از مراکز درمانی، بیمارستانها و ارائهدهندگان خدمات بهداشتی کمک میکند تا دادههای پزشکی و اطلاعات بیماران را مدیریت کنند. در اوایل سال۲۰۲۴، بلککت به Change Healthcare، زیرمجموعه گروه UnitedHealth، حمله کرد و دادههای حساس بیماران را به سرقت برد و عملیات آنها را مختل کرد. این شرکت برای بازیابی سیستمهای خود، مبلغ ۲۲میلیون دلار باج در قالب بیتکوین پرداخت کرد. این رویداد خطر فزاینده حملات باجافزاری در بخش بهداشت و درمان را برجسته کرد.
حفاظت در برابر باجافزار بلککت
آگاهی از علل اصلی و شیوههای عملکرد باجافزار اولین گام در جهت محافظت در برابر آنها است. برای مقابله با باجافزار بلککت، اقدامات حفاظتی و پیشگیرانه ضروری است.
۱- پشتیبانگیری منظم از دادهها: پشتیبانگیریهای مداوم و رمزگذاریشده که بهصورت آفلاین نگهداری شوند، در صورت رمزگذاریشدن فایلها میتواند نجاتبخش باشد. اگر سیستم آلوده به باجافزار شود، پشتیبانهای آفلاین میتوانند به سرعت دادهها را بازیابی و از توقف عملیات جلوگیری کنند. با نگهداری پشتیبانها بهصورت آفلاین (غیرمتصل به شبکه)، امکان دسترسی یا رمزگذاری آنها توسط باجافزار کاهش مییابد. رمزگذاری پشتیبانها باعث میشود که حتی اگر یک حمله سایبری به سیستم رخ دهد، هکرها نتوانند به پشتیبانها دسترسی پیدا کنند و از آنها سوءاستفاده کنند. با داشتن نسخههای پشتیبان بهروز و امن، میتوان به راحتی سیستم را به وضعیت قبل از حمله بازگرداند و از پرداخت باج خودداری کرد. در نتیجه، پشتیبانگیری منظم، رمزگذاریشده و آفلاین یک لایه امنیتی حیاتی است که میتواند از دادههای حیاتی محافظت کند و آسیب ناشی از حملات باجافزاری را به حداقل برساند.
۲- ایجاد پروتکلهای امنیت سایبری قوی: اطمینان از اینکه تیم امنیت سایبری سازمان بهطور منظم ارزیابیهای امنیتی انجام داده و پروتکلهایی مانند احراز هویت چندعاملی و نظارت بر شبکه را اعمال میکند. احراز هویت چندعاملی به معنای استفاده از چندین لایه امنیتی برای تایید هویت کاربران است. این لایهها معمولا شامل کلمه عبور، کد ارسالشده به دستگاههای مختلف (مثل پیامک یا ایمیل) و بیومتریکها (مثل اثر انگشت یا شناسایی چهره) هستند.
نظارت دائمی و تحلیل دادههای ترافیک شبکه برای شناسایی فعالیتهای مشکوک یا نوشتههای غیرمعمول بسیار ضروری است. این فرآیند به شناسایی حملات در مراحل اولیه کمک میکند، قبل از اینکه تهدیدات گسترش یابند. ابزارهایی مانند سیستمهای شناسایی نفوذ (IDS) و سیستمهای پیشگیری از نفوذ (IPS) میتوانند به شناسایی و مسدود کردن تهدیدات کمک کنند.
۳- آموزش کارکنان: آموزش کارمندان برای آگاهی و رعایت بهترین شیوههای امنیتی در کانالها و پلتفرمهای کاری رسمی. بسیاری از حملات سایبری مانند فیشینگ و مهندسی اجتماعی بهدلیل اشتباهات انسانی رخ میدهند. بنابراین آموزش کارکنان در زمینه بهترین شیوههای امنیتی میتواند نقش حیاتی در پیشگیری از این تهدیدات داشته باشد. کارکنان باید از پروتکلهای امنیتی داخلی مانند نحوه نگهداری و ارسال دادههای حساس، استفاده از VPN و اجتناب از اتصال به شبکههای Wi-Fi عمومی آگاه باشند. کارکنان باید آگاه باشند که استفاده از پلتفرمهای کاری رسمی (مانند ایمیل شرکتی، سیستمهای مدیریت پروژه و ارتباطات داخلی) باید محدود به امور کاری باشد و از استفاده از این پلتفرمها برای فعالیتهای شخصی یا باز کردن لینکهای مشکوک خودداری کنند.
۴- نصب نرمافزارهای آنتیویروس: سیستم آنتیویروس قوی میتواند قبل از رمزگذاری فایلها بدافزار را شناسایی و متوقف کند. برخی آنتیویروسها میتوانند حتی بدافزارهایی که تازه ظاهر شدهاند را با استفاده از تشخیص رفتار (Behavioral Detection) و هوش مصنوعی شناسایی کنند.
۵- حساسیت به تلاشهای فیشینگ: آگاهی و دقت در شناسایی و اجتناب از ایمیلهای «فیشینگ»که ممکن است حامل بارهای باجافزاری باشند. حملات فیشینگ حملات سایبری هستند که در آن هکرها از طریق ایمیل، پیامک یا سایتهای جعلی سعی میکنند اطلاعات حساس کاربران مانند نام کاربری، رمز عبور، اطلاعات بانکی یا شماره کارت اعتباری را فریبکارانه سرقت کنند.
۶- استفاده از سیستمهای مدیریت رمز عبور: الزام به بهروزرسانی منظم رمزهای عبور میتواند مانع از دسترسی مجرمان سایبری به حسابها شود. این سیستمها به کاربران کمک میکنند که رمزهای عبور پیچیده و منحصر به فرد برای هر حساب کاربری ایجاد و ذخیره کنند، بدون اینکه مجبور به یادآوری آنها باشند.
۷- بخشبندی شبکه: ایزولهکردن بخشهای مختلف شبکه میتواند دامنه انتشار باجافزار را محدود کند. یکی از تکنیکهای امنیتی مهم است که در آن شبکه به بخشهای مختلف و ایزوله تقسیم میشود. این کار باعث میشود که اگر یک بخش از شبکه بهوسیله باجافزار یا حمله سایبری دیگری آلوده شود، نفوذ به دیگر بخشها محدود شود و دامنه انتشار باجافزار کاهش یابد. با ایزوله کردن بخشها، حتی اگر یک بخش آلوده شود، تهدید به سایر بخشها منتقل نمیشود. میتوان دسترسی به بخشهای حساس را محدود کرد تا فقط کاربران مجاز بتوانند به آنها دسترسی پیدا کنند. بخشبندی به مدیران شبکه این امکان را میدهد که ترافیک را بهتر نظارت کنند و فعالیتهای مشکوک را سریعتر شناسایی کنند. با محدود کردن دسترسیها و ارتباطات، احتمال حملات موفق کاهش مییابد.
با وجود اقدامات قانونی از سوی نهادهای بینالمللی، بلککت همچنان در سال ۲۰۲۴ یک تهدید قابل توجه بهشمار میرود و مدتهاست که تحت تعقیب موسسات مختلف قرار دارد.