حملهی باجافزاری به شرکت آمریکایی کولونیال
گروه هکری روسی دارکساید(DarkSide) در روز هفتم می به شرکت کولونیال(Colonial Pipeline) حمله کرده است. این شرکت مدیریت شبکهی لولهکشی و تامین سوخت بخش بزرگی از ساحل شرقی آمریکا بر عهده دارد و یکی از تاسیسات حساس این کشور محسوب میشود. به عنوان بخشی از حملات باجافزاری، دارکساید دادههای کامپیوترهای متصل به شبکهی شرکت کولونیال را رمزگذاری کرده و اطلاعات این شرکت را نیز سرقت کرده است.
مهاجمان پس از اجرای حملات تهدید کردند که در صورت عدم موافقت با پرداخت باج اطلاعات سرقت شده را برای عموم منتشر خواهند کرد و کولونیال نیز در روز هشتم می باج درخواستی هکرها یعنی 75 بیت کوین که در آن زمان 4/2 میلیون دلار ارزش داشت را پرداخت کرده است.
کاخ سفید نیز پس از حملهی مهاجمان به کامپیوترهای شرکت کولونیال، دستورالعملی را برای بهبود امنیت سایبری «در برابر کمپینهای سایبری پیچیدهای که شرکتها و حریم خصوصی مردم آمریکا را تهدید میکند» منتشر کرده است.
پلیس فدرال آمریکا موفق شده تا بخش بزرگی از باج پرداخت شده به هکرها را مصادره کند. همانطور که در حکم توقیف پلیس اف.بی.آی به دسترسی مستقیم به کلید خصوصی کیفپول مهاجمان اشاره شده، بنظر میرسد که 63/69 بیت کوین بازیابی شده از طریق دسترسی مستقیم به کیفپول مهاجمان توقیف شده و از طریق صرافیها(که رایجترین روش بازیابی داراییها است) صورت نگرفته است. این موضوع موجب شده تا فعالان حوزهی رمزارزها نگرانی خود را نسبت به امنیت شبکهی بیت کوین نشان دهند که بهخوبی برای مدت بیش از یک دهه در مقابل انواع حملات مقاومت کرده است.
با این وجود، گزارش اخیر شرکت سایفرتریس(Ciphertrace) نشان میدهد که با وجود توقیف بخشی از باج پرداختی به هکرهای دارک ساید، همچنان بخش بزرگی از بیت کوینها در آدرس تحت کنترل هکرها قرار داد و در نتیجه فرضیهی دسترسی پلیس فدرال آمریکا به شبکهی بیت کوین کاملاً نادرست است.
حملهی باجافزاری به شرکت توزیع مواد شیمیایی برنتاگ
چهار روز پس از حملهی مهاجمان به شرکت کولونیال، شرکت توزیع مواد شیمیایی برنتاگ(Brenntag) هدف حملات باجافزاری مهاجمان قرار گرفت. این شرکت در روز یازدهم می 78/5 بیت کوین به ارزش تقریبی 4/4 میلیون دلار را به مهاجمان پرداخت کرد. در این حمله نیز گروه هکری دارکساید به شبکهی کامپیوتری این شرکت نفوذ کرده و اطلاعات را سرقت و فایلهای موجود بر روی کامپیوترهای متصل به این شبکه را رمزگذاری کردند. با این وجود، اف.بی.آی و دیگر سازمانهای مجری قانون در آمریکا برخلاف حملهی قبلی مهاجمان تاکنون نتوانستهاند بیت کوینهای پرداخت شده به هکرهای شرکت برنتاگ را پرداخت کنند.
سازندگان باجافزار با گروه هکری دارکساید همکاری میکنند
گروه هکری دارک ساید در حقیقت فعالیت «باج افزار به عنوان یک سرویس(RaaS)» را انجام میدهد. در این حالت توسعهدهندگان باجافزار با هکرهایی که مسئول ایجاد دسترسی به شبکهی کامپیوتری قربانیان، رمزگذاری فایلها و مذاکره با قربانیان هستند، همکاری میکنند. در نتیجهی این مُدل همکاری، هکرهایی که دانش فنی ایجاد بدافزار را ندارند اما بهخوبی قادر به نفوذ به شبکههای کامپیوتری قربانیان هستند، میتوانند از باجافزار ایجاد شده استفاده کنند.
در نتیجه، باج دریافت شده بین مهاجمان و توسعهدهندگان باجافزار تقسیم میشود. تقسیم باج دریافتی از قربانیان معمولاً نشانهای از این نوع همکاری در میان مجرمان فضای سایبری است. معمولاً 15-30 درصد از باج دریافتی به توسعهدهندگان باجافزار و 70-85 درصد نیز به مهاجمان(هکرهایی که عملیات را اجرا میکنند) اختصاص مییابد.
بازیابی داراییهای سرقت شده و ردیابی بیت کوین
وزارت دادگستری آمریکا در روز هفتم ژوئن 2021 میلادی اعلام کرد که 63/69 واحد بیت کوین از مجموع 75 بیت کوین پرداخت شده به مهاجمان شرکت کولونیال(Colonial Pipeline) که مدیریت شبکهی لولهکشی و تامین سوخت بخش بزرگی از ساحل شرقی آمریکا بر عهده دارد را توقیف کردهاند.
اگرچه پلیس فدرال آمریکا(FBI) تقریباً 85 درصد از بیت کوینهای پرداخت شده به هکرها در این حملهی سایبری را بازیابی کرده اما به دلیل سقوط بازار بیت کوین از نظر دلاری ارزش داراییهای بازیابی شده به نصف کاهش یافته است. 11/3 بیت کوین نیز در دیگر آدرس تحت کنترل مهاجمان باقی مانده است.
سایفر تریس با بررسی جریان داراییها و مُدل همکاری گروه دارکساید نتیجهگیری کرد که احتمالاً بخش باقی مانده به توسعهدهندگان باج افزار و بخش توقیف شده به مهاجمان(کسانی که حملات را پیادهسازی کردهاند) تعلق دارد. بطور مرسوم، اوپراتورهای باجافزارها 15-30 درصد از باج را برداشته و مابقی را به کسانی ارائه میدهند که حملات را پیادهسازی میکنند.
گروه هکری دارکساید باج دریافتی از حمله به شرکت کولونیال را با وجوه دریافتی ناشی از دیگر حملات این گروه همانند حمله به شرکت توزیع مواد شیمیایی برنتاگ ترکیب کردهاند. در نتیجه، 107/8 بیت کوین در کیفپول متعلق به این گروه هنوز توقیف نشده است.
نظر شما نسبت به گزارش سایفرتریس در رابطه با روش کار گروه هکری دارکساید که مسئولیت حملات باجافزاری بزرگ را بر عهده دارد چیست؟ آیا در آینده همکاری توسعهدهندگان باجافزار و گروههای هکری افزایش خواهد یافت و یا قانونگذاران با مشارکت یکدیگر حملات باجافزاری را متوقف خواهند کرد؟ نظر خود را به صورت کامنت با ما درمیان بگذارید.