فعالیت دوباره باجافزار BlackByte با ترفندها و تهدیدات جدید
فعالیت دوباره باجافزار BlackByte با ترفندها و تهدیدات جدید
به گزارش نیوزلن از ایلنا، سایت جدید نشت داده باجافزار BlackByte، نشانیهای بیتکوین و مونرو را که «مشتریان» میتوانند برای خرید یا حذف دادهها از آنها استفاده کنند، بهدرستی جاسازی نمیکند و این موجب عدم اجرای صحیح قابلیتهای جدید میشود.
به نظر میرسد که هدف از تکنیکهای جدید اخاذی این است که به قربانی اجازه داده شود تا برای حذف دادههای خود پول پرداخت کند و یا در صورت تمایل، سایر مهاجمان دادههای سرقتشده را خریداری کنند.
LockBit 3.0 نیز چنین تکنیکهای اخاذی را معرفی کرده است که بیشتر بهعنوان یک ترفند به نظر میرسد تا تکنیک اخاذی قابلاجرا.
باجافزار BlackByte سعی میکند بسیاری از پروسههای مربوط به محصولات امنیتی، سرور ایمیل و پایگاهدادهها را برای رمزگذاری موفق سیستمها، از کار بیندازد؛ برای مثال این باجافزار قبل از رمزگذاری فایلها،Microsoft Defender را در سیستمهای قربانیان غیرفعال میکند.
مهاجمان با سوءاستفاده از آسیبپذیریهای امنیتی به شبکهها نفوذ کرده و زنجیره حمله ProxyShell به سرورهای Microsoft Exchange را نیز در کارنامه دارند.
محققان در پاییز سال گذشته، به این نکته پی بردند که گروه باجافزاری BlackByte، کلید رمزگذاری را پس از کد کردن، به اطلاعیه باجگیری (Ransom Note) اضافه کرده و از کلید مشابه برای چندین قربانی استفاده میکنند؛ در پی شناسایی ضعف یادشده در این باجافزار، محققان رمزگشای BlackByte را منتشر کردند که به قربانیان این باجافزار اجازه میداد فایلهای خود را بهصورت رایگان بازیابی کنند؛ البته متأسفانه پس از انتشار گزارش این ضعف، مهاجمان نقص مذکور را برطرف کردند.
خبر فنی و تخصصی در باره از سرگیری فعالیت باج افزار BlackByte برای آگاهی و مطالعه راهبران امنیتی سازمانهای دارای زیرساخت حیاتی در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به آدرس https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2185/ منتشر شده است.