سایفرتریس از روش کار جنجالی‌ترین گروه مسئول حملات باج افزاری پرده برداشت

شرکت سایفرتریس در گزارشی نشان داد که گروه هکری دارک‌ساید با توسعه‌دهندگان باج‌افزار همکاری می‌کند و با وجود توقیف بخشی از باج پرداخت شده در جریان حمله به یک شرکت آمریکایی، بخش بزرگی از باج‌های دریافتی همچنان در آدرس تحت کنترل این گروه هکری باقی مانده است

بهنام حاجی قربانی
گزارش سایفرتریس از حملات هکری دارک‌ساید

حمله‌ی باج‌افزاری به شرکت آمریکایی کولونیال

گروه هکری روسی دارک‌ساید(DarkSide) در روز هفتم می به شرکت کولونیال(Colonial Pipeline) حمله کرده است. این شرکت مدیریت شبکه‌ی لوله‌کشی و تامین سوخت بخش بزرگی از ساحل شرقی آمریکا بر عهده دارد و یکی از تاسیسات حساس این کشور محسوب می‌شود. به عنوان بخشی از حملات باج‌افزاری، دارک‌ساید داده‌های کامپیوترهای متصل به شبکه‌ی شرکت کولونیال را رمزگذاری کرده و اطلاعات این شرکت را نیز سرقت کرده است.

مهاجمان پس از اجرای حملات تهدید کردند که در صورت عدم موافقت با پرداخت باج اطلاعات سرقت شده را برای عموم منتشر خواهند کرد و کولونیال نیز در روز هشتم می باج درخواستی هکر‌ها یعنی 75 بیت کوین که در آن زمان 4/2 میلیون دلار ارزش داشت را پرداخت کرده است.

کاخ سفید نیز پس از حمله‌ی مهاجمان به کامپیوترهای شرکت کولونیال، دستورالعملی را برای بهبود امنیت سایبری «در برابر کمپین‌های سایبری پیچیده‌ای که شرکت‌ها و حریم خصوصی مردم آمریکا را تهدید می‌کند» منتشر کرده است.

پلیس فدرال آمریکا موفق شده تا بخش بزرگی از باج پرداخت شده به هکر‌ها را مصادره کند. همانطور که در حکم توقیف پلیس اف.بی.آی به دسترسی مستقیم به کلید خصوصی کیف‌پول مهاجمان اشاره شده، بنظر می‌رسد که 63/69 بیت کوین بازیابی شده از طریق دسترسی مستقیم به کیف‌پول مهاجمان توقیف شده و از طریق صرافی‌ها(که رایج‌ترین روش بازیابی دارایی‌ها است) صورت نگرفته است. این موضوع موجب شده تا فعالان حوزه‌ی رمزارزها نگرانی خود را نسبت به امنیت شبکه‌ی بیت کوین نشان دهند که به‌خوبی برای مدت بیش از یک دهه در مقابل انواع حملات مقاومت کرده است.

با این وجود، گزارش اخیر شرکت سایفرتریس(Ciphertrace) نشان می‌دهد که با وجود توقیف بخشی از باج پرداختی به هکر‌های دارک ساید، همچنان بخش بزرگی از بیت کوین‌ها در آدرس تحت کنترل هکر‌ها قرار داد و در نتیجه فرضیه‌ی دسترسی پلیس فدرال آمریکا به شبکه‌ی بیت کوین کاملاً نادرست است.

حمله‌ی باج‌افزاری به شرکت توزیع مواد شیمیایی برنتاگ

چهار روز پس از حمله‌ی مهاجمان به شرکت کولونیال، شرکت توزیع مواد شیمیایی برنتاگ(Brenntag) هدف حملات باج‌افزاری مهاجمان قرار گرفت. این شرکت در روز یازدهم می 78/5 بیت کوین به ارزش تقریبی 4/4 میلیون دلار را به مهاجمان پرداخت کرد. در این حمله نیز گروه هکری دارک‌ساید به شبکه‌ی کامپیوتری این شرکت نفوذ کرده و اطلاعات را سرقت و فایل‌های موجود بر روی کامپیوترهای متصل به این شبکه را رمزگذاری کردند. با این وجود، اف.بی.آی و دیگر سازمان‌های مجری قانون در آمریکا برخلاف حمله‌ی قبلی مهاجمان تاکنون نتوانسته‌اند بیت کوین‌های پرداخت شده به هکر‌های شرکت برنتاگ را پرداخت کنند.

سازندگان باج‌افزار با گروه هکری دارک‌ساید همکاری می‌کنند

گروه هکری دارک ساید در حقیقت فعالیت «باج افزار به عنوان یک سرویس(RaaS)» را انجام می‌دهد. در این حالت توسعه‌دهندگان باج‌افزار با هکرهایی که مسئول ایجاد دسترسی به شبکه‌ی کامپیوتری قربانیان، رمزگذاری فایل‌ها و مذاکره با قربانیان هستند، همکاری می‌کنند. در نتیجه‌ی این مُدل همکاری، هکر‌هایی که دانش فنی ایجاد بدافزار را ندارند اما به‌خوبی قادر به نفوذ به شبکه‌های کامپیوتری قربانیان هستند، می‌توانند از باج‌افزار ایجاد شده استفاده کنند.

در نتیجه، باج دریافت شده بین مهاجمان و توسعه‌دهندگان باج‌افزار تقسیم می‌شود. تقسیم باج دریافتی از قربانیان معمولاً نشانه‌ای از این نوع همکاری در میان مجرمان فضای سایبری است. معمولاً 15-30 درصد از باج دریافتی به توسعه‌دهندگان باج‌افزار و 70-85 درصد نیز به مهاجمان(هکر‌هایی که عملیات را اجرا می‌کنند) اختصاص می‌یابد.

بازیابی دارایی‌های سرقت شده و ردیابی بیت کوین

وزارت دادگستری آمریکا در روز هفتم ژوئن 2021 میلادی اعلام کرد که 63/69 واحد بیت کوین از مجموع 75 بیت کوین پرداخت شده به مهاجمان شرکت کولونیال(Colonial Pipeline) که مدیریت شبکه‌ی لوله‌کشی و تامین سوخت بخش بزرگی از ساحل شرقی آمریکا بر عهده دارد را توقیف کرده‌اند.

اگرچه پلیس فدرال آمریکا(FBI) تقریباً 85 درصد از بیت کوین‌های پرداخت شده به هکر‌ها در این حمله‌ی سایبری را بازیابی کرده اما به دلیل سقوط بازار بیت کوین از نظر دلاری ارزش دارایی‌های بازیابی شده به نصف کاهش یافته است. 11/3 بیت کوین نیز در دیگر آدرس تحت کنترل مهاجمان باقی مانده است.

سایفر تریس با بررسی جریان دارایی‌ها و مُدل همکاری گروه دارک‌ساید نتیجه‌گیری کرد که احتمالاً بخش باقی مانده به توسعه‌دهندگان باج افزار و بخش توقیف شده به مهاجمان(کسانی که حملات را پیاده‌سازی کرده‌اند) تعلق دارد. بطور مرسوم، اوپراتورهای باج‌افزارها 15-30 درصد از باج را برداشته و مابقی را به کسانی ارائه می‌دهند که حملات را پیاده‌سازی می‌کنند.

شماتیک ردیابی بیت‌کوین‌های پرداختی به گروه هکری دارک‌ساید ناشی از حملات به شرکت‌های کولونیال و برنتاگ. با وجود توقیف 69/63 بیت کوین، 107/8 بیت کوین نیز در آدرس تحت کنترل هکر‌ها باقی مانده است.

گروه هکری دارک‌ساید باج دریافتی از حمله به شرکت کولونیال را با وجوه دریافتی ناشی از دیگر حملات این گروه همانند حمله به شرکت توزیع مواد شیمیایی برنتاگ ترکیب کرده‌اند. در نتیجه، 107/8 بیت کوین در کیف‌پول‌ متعلق به این گروه هنوز توقیف نشده است.

نظر شما نسبت به گزارش سایفرتریس در رابطه با روش کار گروه هکری دارک‌ساید که مسئولیت حملات باج‌افزاری بزرگ را بر عهده دارد چیست؟ آیا در آینده همکاری توسعه‌دهندگان باج‌افزار و گروه‌های هکری افزایش خواهد یافت و یا قانون‌گذاران با مشارکت یکدیگر حملات باج‌افزاری را متوقف خواهند کرد؟ نظر خود را به صورت کامنت با ما درمیان بگذارید.

برای امتیاز به این نوشته کلیک کنید!
[کل: 0 میانگین: 0]
نوشته های مشابه
خروج از نسخه موبایل