محققان سیمانتک می گویند که باج افزار BlackByte احتمالاً در دسته حملات بسیار پیشرفته قرار می گیرد، زیرا این گروه شروع به ساخت ابزارهای بدافزار خود کرده است.
به گفته محققان امنیت سایبری، یک گروه باج افزار جدید ممکن است به اوج جنایت سایبری رسیده باشد. محققان تیم شکار تهدید سیمانتک میگویند: «گروه باجافزار BlackByte با طراحی اجزای ویژه برای این باجافزار به نقطه عطفی در توسعه خود رسیده است. این تیم نمونه هایی از این باج افزار را به دست آوردند که نشان می داد در حملات بلک بایت از ابزار استخراج اطلاعات اختصاصی استفاده شده است. بلکبایت بر روی مدل RaaS (باجافزار بهعنوان سرویس) کار میکند و کدهای باجافزار را به هکرهای وابسته میفروشد. این ابزار استخراج اطلاعات که با نام Exbyte شناخته می شود، توانایی انتقال داده های جمع آوری شده به یک پلتفرم مبتنی بر ابر به نام «مگا» را دارد و شامل اجزایی است که برای فرار از ابزارهای تشخیص و تحلیل بدافزار طراحی شده اند.
به گفته دیک اوبراین، تحلیلگر اطلاعاتی ارشد تیم شکار تهدید سیمانتک، «این ابزار از نظر فنی پیچیدهتر از ابزارهای مشابهی است که در گذشته دیدهایم. این ابزار در Go نوشته شده است و از نظر تلاش های شدیدی که برای جلوگیری از سندباکس و تجزیه و تحلیل لازم است، قوی تر است. این ابزار همچنین یک پوشه آپلود جدید برای هر قربانی ایجاد می کند. به این ترتیب مهاجمان به راحتی می توانند داده های سرقت شده را شناسایی و مدیریت کنند.
استفاده از این ابزار اختصاصی داده کاوی حرکت مهمی تلقی می شود، اما محققان بر این باورند که راه اندازی Exbyte از اهمیت بیشتری برخوردار است. بلک بایت با انتشار قطعات خصوصی برای باج افزار خود به نوعی به یکی از بزرگترین گروه های عملیات باج افزار در جهان تبدیل شده است. از سوی دیگر، توانایی طراحی بدافزار ویژه ممکن است نشان دهنده عزم بلک بایت برای انجام حملات چشمگیر و تبدیل شدن به یک بازیگر جدی در زمینه حملات باج افزار باشد.
طبق گزارش تیم شکار تهدید سیمانتک: «اقدام این مهاجمان برای ساخت ابزارهای اختصاصی ممکن است نشاندهنده تلاش این گروه برای تبدیل شدن به یکی از مهمترین گروههای باجافزار باشد.» اوبراین معتقد است که چنین اقدامی زمان میبرد، زیرا تنها زمان لازم است. حدود 8 ماه از ورود BlackByte به حوزه حملات باج افزار می گذرد. البته فراموش نکنید که این گروه در راه است.
او میگوید: «برای اینکه این گروه به مقیاس Conti یا LockBit برسد، باید مهاجمان متصل زیادی را جذب کند. عوامل زیادی در تعیین این مقیاس نقش دارند. از جمله عملکرد بار، زمان مورد نیاز برای رمزگذاری فایل ها و کشف آنها، زیرساخت استفاده شده توسط باج افزار، مانند پانل های کنترل مهاجم، سایت های افشای داده ها و موارد دیگر.
باجافزار BlackByte برای اولین بار در سال 2021 در حملاتی که با استفاده از آسیبپذیریهای ProxyShell روی سرور مایکروسافت اکسچنج انجام میشد، مورد توجه قرار گرفت. محققان Sophos اخیراً کشف کردهاند که این گروه از یک درایور آسیبپذیر در ابزار اورکلاک برای غیرفعال کردن محصولات تشخیص تهدید و پاسخ استفاده میکنند.
ظهور یک گروه بزرگ جدید مانند BlackByte برای افرادی که امیدوار بودند این حملات را کاهش دهند، خبر خوبی نیست. طبق گزارشی که توسط یک فروشنده محصولات امنیتی منتشر شده است: “حجم حملات باج افزار کاهش یافته است و LockBit 3.0 اکنون حدود یک سوم از کل حملات را به خود اختصاص می دهد.”
با این حال، همان گزارش اشاره می کند که چندین خانواده بدافزار جدید نیز ظهور کرده اند که ممکن است کاهش فعالیت Conti و سایر گروه های مهم باج افزار را جبران کند.