گروه بلک‌کت چگونه حملات باج‌افزاری خود را انجام می‌دهد؟

گربه‌سیاه رمز ارزها

علیرضا کریمی گفت: حملات باج‌افزاری همچنان دنیای ارزهای دیجیتال را تهدید می‌کند و یکی از برجسته‌ترین گروه‌های فعال در این زمینه، گروه «بلک‌کت» است. حملات باج‌افزاری که ارزهای دیجیتال را هدف قرار می‌دهند، به‌شدت گسترش یافته‌اند. ارزهای دیجیتال به‌دلیل ناشناس‌ماندن و غیرمتمرکز بودن، برای مجرمان سایبری جذابیت دارند. این افراد به‌طور فزاینده‌ای از امکان ناشناس‌ماندن نسبی و انتقال آسان بین‌المللی آنها استقبال می‌کنند.

گربه‌سیاه رمز ارزها
202939

به گزارش جهت پرس؛ گروه‌های باج‌افزار، از جمله بلک‌کت، از این ویژگی‌ها بهره‌برداری و درخواست پرداخت باج را به صورت ارزهای دیجیتال مطرح می‌کنند، این امر، ردیابی و بازیابی دارایی‌های سرقت‌شده را برای مقامات دشوارتر می‌کند. در سال۲۰۲۴، افزایش چشم‌گیری در تعداد و شدت این حملات دیده شده است.

گزارش جنایی ‌سایبری یک پلتفرم تحلیل بلاک‌چین که به بررسی و ردیابی تراکنش‌های ارزهای دیجیتال کمک می‌کند به نام Chainalysis روند فزاینده این حملات را بررسی کرده است. براساس این گزارش تا میانه سال۲۰۲۴، ۱.۹میلیارد دلار پرداخت باج ثبت شده، که نسبت به سال گذشته ۸۰درصد افزایش داشته است. میانگین درخواست باج در سال۲۰۲۴، ۳۰ درصد افزایش داشته و به حدود ۶میلیون دلار به ازای هر حمله رسیده است.

آسیب‌های ناشی از درخواست‌های باج تنها محدود به شرکت‌های بزرگی همچون MGM Resorts یا UnitedHealth نمی‌شود؛ حتی سرمایه‌گذاران فردی نیز در این حملات هدف قرار گرفته‌اند. مجرمان سایبری از روش‌های پیچیده‌ای مانند «اخاذی دوگانه» استفاده می‌کنند؛ به این معنا که هکرها اطلاعات را رمزگذاری کرده و تهدید به افشای داده‌های حساس می‌کنند، مگر اینکه پرداختی اضافی انجام شود. چگونه صنعت ارز دیجیتال می‌تواند با این حملات پیچیده مقابله کند؟ با بررسی در حملات باج‌افزاری رمزنگاری‌شده بلک‌کت، می‌توان فهمید که این گروه چگونه فعالیت می‌کند و چه اقداماتی برای محافظت در برابر تهدیدات فزاینده بلاک‌چین می‌توان انجام داد.

حملات باج‌افزار بلک‌کت

باج‌افزار بلک‌کت که با نام‌های نوبروس یا ALPHV نیز شناخته می‌شود، نوعی بدافزار است که توسط گروهی از مجرمان سایبری روس‌زبان ایجاد شده است. این گروه باج‌افزار خود را به‌عنوان یک سرویس RaaS که گروه‌های سازنده باج‌افزار نرم افزار آن را به دیگران اجاره یا فروش می‌دهند در اختیار دیگران قرار می‌دهد و بارها به‌دلیل حملات ویرانگر خود در دنیای ارزهای دیجیتال توجه رسانه‌ها را جلب کرده است. بلک‌کت برای اولین‌بار در نوامبر۲۰۲۱ ظاهر شد و از آن زمان تاکنون صدها سازمان را در سراسر جهان از جمله Reddit در سال ۲۰۲۳ و Change Healthcare را در سال۲۰۲۴ هدف قرار داده است.

گروه بلک‌کت از یک روش عملیاتی مشخص پیروی می‌کند نفوذ به سیستم‌ها، رمزگذاری داده‌ها و درخواست مبالغ هنگفتی به‌صورت ارز دیجیتال برای بازگرداندن دسترسی، بخشی از این روش‌ها است. چیزی که بلک‌کت را از دیگر باج‌افزارها متمایز می‌کند، ساختار کدنویسی پیشرفته و روش‌های حمله سفارشی‌سازی‌شده آن است که اغلب با آسیب‌پذیری‌های هدفمندی همراه شده و باعث می‌شود که این باج‌افزار بسیار کارآمد باشد. هنگامی که این گروه شروع به کار کرد، بلک‌کت به‌گونه‌ای طراحی شده بود که از طیف وسیعی از سیستم‌های عامل، از ویندوز تا لینوکس پشتیبانی کند. این باج‌افزار از زبان برنامه‌نویسی خاص راست (Rust) استفاده می‌کند که به‌دلیل انعطاف‌پذیری و سرعت در رمزگذاری شناخته می‌شود.

تا سال۲۰۲۴، بلک‌کت حملات خود را به‌شدت افزایش داد و با استفاده از نقاط ضعف موجود در زیرساخت‌های شرکتی و پلتفرم‌های ارز دیجیتال، حملات خود را زیادتر کرد. این حملات اغلب از مدل «اخاذی دوگانه» پیروی می‌کنند؛ در این روش نه‌تنها داده‌ها رمزگذاری می‌شوند، بلکه اطلاعات حساس نیز به سرقت می‌رود و سپس گروه تهدید می‌کند که در صورت عدم پرداخت باج، این اطلاعات را افشا خواهد کرد. این تاکتیک به گروه بلک‌کت قدرت و نفوذ بسیار زیادی در برابر قربانیان خود می‌دهد. یکی از عوامل وحشت‌زا درباره گروه بلک‌کت، شیوه عملکرد آن است. این گروه از یک مدل همکاری غیرمتمرکز استفاده می‌کند؛ به‌گونه‌ای‌که هکرهایی را از سراسر جهان جذب می‌کنند و به آنها امکان هماهنگی و اجرای حملات را می‌دهند. هر هکر می‌تواند از ابزارها و بدافزارهای این گروه برای حملات خود از محتوای قابل تنظیم استفاده می‌کند. به بیان ساده، بلک‌کت در یافتن آسیب‌پذیری‌ها و ضربه زدن به نقاط حساس متخصص است. دامنه حملات این گروه به حدی گسترش یافت که وزارت امور خارجه ایالات متحده جایزه‌ای تا سقف ۱۰میلیون دلار به ازای اطلاعات مربوط به این گروه تعیین کرده است که به شناسایی یا یافتن رهبران کلیدی گروه پشت‌پرده حملات باج‌افزار بلک‌کت منجر شود.

نحوه عملکرد باج‌افزار بلک‌کت

باج‌افزار بلک‌کت به‌دلیل روش‌های دقیق و برنامه‌ریزی‌شده‌اش در زمینه جرائم سایبری شناخته‌ شده و به تهدیدی جدی در فضای دیجیتال تبدیل شده است. مراحل اصلی عملکرد این باج‌افزار عبارتند از:

۱- دسترسی اولیه: بلک‌کت معمولا از طریق ایمیل‌های فیشینگ، سرقت رمزها یا بهره‌برداری از آسیب‌پذیری‌های سیستمی که به‌روزرسانی‌نشده‌اند به سیستم‌ها نفوذ می‌کند. گروه‌های باج‌افزاری مانند بلک‌کت از تکنیک‌های مختلفی برای به‌دست آوردن دسترسی اولیه به سیستم‌ها و آغاز حملات استفاده می‌کنند. این دسترسی اولیه اساسا برای استقرار بدافزار، دزدیدن اطلاعات حساس و فعال‌سازی باج‌افزار در شبکه‌های هدف ضروری است. بلک‌کت معمولا از طریق ایمیل‌های فیشینگ، سرقت رمزها یا بهره‌برداری از آسیب‌پذیری‌های سیستمی که به‌روزرسانی ‌نشده‌اند به سیستم‌ها نفوذ می‌کند.

۲- ایجاد ماندگاری: مهاجمان در این مرحله درهای پشتی (back doors) ایجاد کرده و دسترسی خود را تثبیت می‌کنند تا بتوانند در سیستم باقی بمانند و به رمز‌های بیشتری دست یابند تا حرکت‌های جانبی دیگری در شبکه انجام دهند. مهاجم می‌تواند نرم‌افزار یا اسکریپت‌هایی نصب کند که به آنها امکان دسترسی از راه دور به سیستم را می‌دهد. این درهای پشتی می‌توانند به‌طور پنهانی در سیستم باقی بمانند و مهاجمان قادر به استفاده از آنها برای ورود مجدد به سیستم باشند.

۳- رمزگذاری داده‌ها: بلک‌کت فایل‌های مهم را با استفاده از زبان برنامه‌نویسی راست، رمزگذاری می‌کند و بدون کلید رمزگشایی این فایل‌ها غیرقابل استفاده می‌شوند. استفاده بلک‌کت از زبان برنامه‌نویسی «راست» این امکان را فراهم کرده است که بتواند هم سیستم‌های ویندوز و هم لینوکس را هدف قرار دهد و نسبت به دیگر باج‌افزارها انعطاف‌پذیری بیشتری داشته باشد.

۴- اخاذی دوگانه: مهاجمان قبل از رمزگذاری، داده‌ها را سرقت می‌کنند و سپس تهدید می‌کنند که در صورت عدم پرداخت باج، این اطلاعات را افشا خواهند کرد.

۵- درخواست باج: از قربانیان درخواست می‌شود تا باج را به‌صورت ارزهای دیجیتال مانند بیت‌کوین یا مونرو پرداخت کنند که به این ترتیب، ناشناس‌ماندن مهاجمان تضمین می‌شود.

۶- حملات سفارشی‌سازی‌شده: بلک‌کت به همکاران خود امکان می‌دهد که بدافزارها را برای قربانیان خاصی تنظیم کنند که اغلب شامل اهداف ویندوز و لینوکس می‌شود و از تکنیک‌های پیشرفته برای جلوگیری از شناسایی استفاده می‌کند.

مدل همکاری بلک‌کت

همکاران بلک‌کت هکرهای مستقلی هستند که با این گروه همکاری کرده و از مدل خدمات باج‌افزار به‌عنوان سرویس (RaaS) و ابزارهای پیچیده آن استفاده می‌کنند. عملیات بلک‌کت بر پایه مدل همکاری بنا شده که در آن افراد مختلف به گسترش دامنه حملات این گروه کمک می‌کنند. در اینجا به برخی از ویژگی‌های این مدل می‌پردازیم:

۱- برنامه همکاری: مجرمان سایبری می‌توانند با ثبت‌نام در برنامه همکاری بلک‌کت، به ابزارهای حمله و انتشار بدافزار دسترسی پیدا کنند.

۲- مدل تقسیم سود: همکاران بخش قابل‌توجهی از باج جمع‌آوری‌شده را دریافت می‌کنند؛ درحالی‌که سهمی نیز به توسعه‌دهندگان بلک‌کت می‌رسد.

۳- تاکتیک اخاذی دوگانه: همکاران اغلب از روش اخاذی دوگانه بهره می‌برند. به این ترتیب که ابتدا داده‌ها را رمزگذاری و سپس قربانی را تهدید به افشای اطلاعات می‌کنند، مگر اینکه باج پرداخت شود. در ابتدا، مهاجمان به شبکه یا سیستم‌های هدف نفوذ کرده و داده‌های حساس را رمزگذاری می‌کنند. پس از رمزگذاری، دسترسی به این داده‌ها برای کاربر یا سازمان غیرممکن می‌شود و از قربانی خواسته می‌شود تا مبلغی را بپردازد تا داده‌ها بازگشایی شوند.

۴- بدافزارهای قابل سفارشی‌سازی: بلک‌کت به همکاران خود این امکان را می‌دهد که بدافزار را برای اهداف خاص سفارشی‌سازی کنند که این کار دفاع در برابر حملات را دشوارتر می‌کند.

۵- پرداخت‌های ارز دیجیتال: همکاران باج را به‌صورت ارزهای دیجیتال طلب می‌کنند که این امر ناشناس‌ماندن آنها را تضمین و ردیابی تراکنش‌ها را بسیار دشوار می‌کند.

این مدل همکاری به بلک‌کت اجازه می‌دهد تا به سرعت گسترش یابد و اهداف با ارزش بالا را در بخش‌های مختلف مورد حمله قرار دهد.

حملات بلک‌کت به موسسات

گروه بلک‌کت موفق شده است تا سازمان‌های شناخته‌شده‌ای را هدف قرار دهد که این موضوع باعث ایجاد تاثیرات عملیاتی و مالی بزرگی شده است. برخی از موارد برجسته از حملات بلک‌کت به شرکت‌های نفتی بوده است. برای مثال حمله بلک‌کت به گروه‌های OilTanking و Mabanaft در سال ۲۰۲۲ انجام شد. این دو از شرکت‌های مهم در صنعت ذخیره‌سازی و توزیع سوخت هستند. این شرکت‌ها مسوول ذخیره‌سازی و تامین سوخت برای صنایع مختلف و به‌ویژه برای بخش حمل‌ونقل و تولید انرژی در آلمان محسوب می‌شوند. بلک‌کت در اوایل سال۲۰۲۲ این گروه‌ها را هدف قرار داد. این حمله باعث از کار افتادن سیستم‌های ذخیره‌سازی و توزیع سوخت آنها شد و زنجیره تامین سوخت در آلمان را مختل کرد.

هکرها برای آزادسازی سیستم‌های رمزگذاری‌شده درخواست باج قابل‌توجهی کردند؛ اما جزئیات دقیق مبلغ منتشر نشد. حمله بلک‌کت به دو هتل بزرگ MGM Resorts و Caesars Entertainment در سال۲۰۲۳ رخ داد. این شرکت‌ها نه تنها در زمینه هتل‌داری بلکه در سایر بخش‌های گردشگری و سرگرمی نیز نقش مهمی دارند. در سپتامبر۲۰۲۳، بلک‌کت به MGM Resorts International و Caesars Entertainment حمله کرد. در این حمله، Caesars با درخواست اولیه ۳۰میلیون دلاری مواجه شد که موفق شد آن را به ۱۵میلیون دلار کاهش دهد. MGM Resorts با نپرداختن باج، با توقف‌های عملیاتی چند هفته‌ای روبه‌رو شد که در نهایت باعث خسارت مالی ۱۰۰میلیون دلاری در آن فصل شد.

نمونه دیگری از حملات مشهور بلک‌کت حمله این گروه به Change Healthcare بود که یکی از بزرگ‌ترین ارائه‌دهندگان خدمات نرم‌افزاری به سیستم‌های بهداشتی و بسیاری از مراکز درمانی، بیمارستان‌ها و ارائه‌دهندگان خدمات بهداشتی کمک می‌کند تا داده‌های پزشکی و اطلاعات بیماران را مدیریت کنند. در اوایل سال۲۰۲۴، بلک‌کت به Change Healthcare، زیرمجموعه گروه UnitedHealth، حمله کرد و داده‌های حساس بیماران را به سرقت برد و عملیات آنها را مختل کرد. این شرکت برای بازیابی سیستم‌های خود، مبلغ ۲۲میلیون دلار باج در قالب بیت‌کوین پرداخت کرد. این رویداد خطر فزاینده حملات باج‌افزاری در بخش بهداشت و درمان را برجسته کرد.

حفاظت در برابر باج‌افزار بلک‌کت

آگاهی از علل اصلی و شیوه‌های عملکرد باج‌افزار اولین گام در جهت محافظت در برابر آنها است. برای مقابله با باج‌افزار بلک‌کت، اقدامات حفاظتی و پیشگیرانه ضروری است.

۱- پشتیبان‌گیری منظم از داده‌ها: پشتیبان‌گیری‌های مداوم و رمزگذاری‌شده که به‌صورت آفلاین نگهداری شوند، در صورت رمزگذاری‌شدن فایل‌ها می‌تواند نجات‌بخش باشد. اگر سیستم آلوده به باج‌افزار شود، پشتیبان‌های آفلاین می‌توانند به سرعت داده‌ها را بازیابی و از توقف عملیات جلوگیری کنند. با نگهداری پشتیبان‌ها به‌صورت آفلاین (غیرمتصل به شبکه)، امکان دسترسی یا رمزگذاری آنها توسط باج‌افزار کاهش می‌یابد. رمزگذاری پشتیبان‌ها باعث می‌شود که حتی اگر یک حمله سایبری به سیستم رخ دهد، هکرها نتوانند به پشتیبان‌ها دسترسی پیدا کنند و از آنها سوءاستفاده کنند. با داشتن نسخه‌های پشتیبان به‌روز و امن، می‌توان به راحتی سیستم را به وضعیت قبل از حمله بازگرداند و از پرداخت باج خودداری کرد. در نتیجه، پشتیبان‌گیری منظم، رمزگذاری‌شده و آفلاین یک لایه امنیتی حیاتی است که می‌تواند از داده‌های حیاتی محافظت کند و آسیب ناشی از حملات باج‌افزاری را به حداقل برساند.

۲- ایجاد پروتکل‌های امنیت سایبری قوی: اطمینان از اینکه تیم امنیت سایبری سازمان به‌طور منظم ارزیابی‌های امنیتی انجام داده و پروتکل‌هایی مانند احراز هویت چندعاملی و نظارت بر شبکه را اعمال می‌کند. احراز هویت چندعاملی به معنای استفاده از چندین لایه امنیتی برای تایید هویت کاربران است. این لایه‌ها معمولا شامل کلمه عبور، کد ارسال‌شده به دستگاه‌های مختلف (مثل پیامک یا ایمیل) و بیومتریک‌ها (مثل اثر انگشت یا شناسایی چهره) هستند.

نظارت دائمی و تحلیل داده‌های ترافیک شبکه برای شناسایی فعالیت‌های مشکوک یا نوشته‌های غیرمعمول بسیار ضروری است. این فرآیند به شناسایی حملات در مراحل اولیه کمک می‌کند، قبل از اینکه تهدیدات گسترش یابند. ابزارهایی مانند سیستم‌های شناسایی نفوذ (IDS) و سیستم‌های پیشگیری از نفوذ (IPS) می‌توانند به شناسایی و مسدود کردن تهدیدات کمک کنند.

۳- آموزش کارکنان: آموزش کارمندان برای آگاهی و رعایت بهترین شیوه‌های امنیتی در کانال‌ها و پلتفرم‌های کاری رسمی. بسیاری از حملات سایبری مانند فیشینگ و مهندسی اجتماعی به‌دلیل اشتباهات انسانی رخ می‌دهند. بنابراین آموزش کارکنان در زمینه بهترین شیوه‌های امنیتی می‌تواند نقش حیاتی در پیشگیری از این تهدیدات داشته باشد. کارکنان باید از پروتکل‌های امنیتی داخلی مانند نحوه نگهداری و ارسال داده‌های حساس، استفاده از VPN و اجتناب از اتصال به شبکه‌های  Wi-Fi  عمومی آگاه باشند. کارکنان باید آگاه باشند که استفاده از پلتفرم‌های کاری رسمی (مانند ایمیل شرکتی، سیستم‌های مدیریت پروژه و ارتباطات داخلی) باید محدود به امور کاری باشد و از استفاده از این پلتفرم‌ها برای فعالیت‌های شخصی یا باز کردن لینک‌های مشکوک خودداری کنند.

۴- نصب نرم‌افزارهای آنتی‌ویروس: سیستم آنتی‌ویروس قوی می‌تواند قبل از رمزگذاری فایل‌ها بدافزار را شناسایی و متوقف کند. برخی آنتی‌ویروس‌ها می‌توانند حتی بدافزارهایی که تازه ظاهر شده‌اند را با استفاده از تشخیص رفتار (Behavioral Detection) و هوش مصنوعی شناسایی کنند.

۵- حساسیت به تلاش‌های فیشینگ: آگاهی و دقت در شناسایی و اجتناب از ایمیل‌های «فیشینگ»که ممکن است حامل بارهای باج‌افزاری باشند. حملات فیشینگ حملات سایبری هستند که در آن هکرها از طریق ایمیل، پیامک یا سایت‌های جعلی سعی می‌کنند اطلاعات حساس کاربران مانند نام کاربری، رمز عبور، اطلاعات بانکی یا شماره کارت اعتباری را فریبکارانه سرقت کنند.

۶- استفاده از سیستم‌های مدیریت رمز عبور: الزام به به‌روزرسانی منظم رمزهای عبور می‌تواند مانع از دسترسی مجرمان سایبری به حساب‌ها شود. این سیستم‌ها به کاربران کمک می‌کنند که رمزهای عبور پیچیده و منحصر به فرد برای هر حساب کاربری ایجاد و ذخیره کنند، بدون اینکه مجبور به یادآوری آنها باشند.

۷- بخش‌بندی شبکه: ایزوله‌کردن بخش‌های مختلف شبکه می‌تواند دامنه انتشار باج‌افزار را محدود کند. یکی از تکنیک‌های امنیتی مهم است که در آن شبکه به بخش‌های مختلف و ایزوله تقسیم می‌شود. این کار باعث می‌شود که اگر یک بخش از شبکه به‌وسیله باج‌افزار یا حمله سایبری دیگری آلوده شود، نفوذ به دیگر بخش‌ها محدود شود و دامنه انتشار باج‌افزار کاهش یابد. با ایزوله کردن بخش‌ها، حتی اگر یک بخش آلوده شود، تهدید به سایر بخش‌ها منتقل نمی‌شود. می‌توان دسترسی به بخش‌های حساس را محدود کرد تا فقط کاربران مجاز بتوانند به آنها دسترسی پیدا کنند. بخش‌بندی به مدیران شبکه این امکان را می‌دهد که ترافیک را بهتر نظارت کنند و فعالیت‌های مشکوک را سریع‌تر شناسایی کنند. با محدود کردن دسترسی‌ها و ارتباطات، احتمال حملات موفق کاهش می‌یابد.

با وجود اقدامات قانونی از سوی نهادهای بین‌المللی، بلک‌کت همچنان در سال ۲۰۲۴ یک تهدید قابل توجه به‌شمار می‌رود و مدت‌هاست که تحت تعقیب موسسات مختلف قرار دارد.