ایران‌هک را در شبکه‌های اجتماعی دنبال کنید

گروه سایبری ایران هک

142
142 امتیاز

امنیت, باج افزار, جرایم سایبری

هشدار درباره باج‌گیری و ارعاب شدید گروه Scattered Lapsus ShinyHunters و چرایی نپرداختن باج

142نمایش

لطفاً به گروه پراکنده‌ی Scattered Lapsus ShinyHunters غذا ندهید.

یک باند بسیار فعال باج‌گیری داده که خود را Scattered Lapsus ShinyHunters (SLSH) می‌نامد، هنگام تلاش برای اخاذی از شرکت‌های قربانی، شیوه‌ای کاملاً متمایز دارد: آزار، تهدید و حتی swatting مدیران اجرایی و خانواده‌های آن‌ها، هم‌زمان با اطلاع‌رسانی به خبرنگاران و نهادهای نظارتی درباره گستره نفوذ. گزارش شده که برخی قربانیان در حال پرداخت پول هستند؛ شاید به همان اندازه برای مهار داده‌های سرقت‌شده که برای متوقف کردن حملات شخصیِ رو به تشدید. اما یک کارشناس ارشد SLSH هشدار می‌دهد که هرگونه تعامل فراتر از پاسخ «ما پرداخت نمی‌کنیم» فقط باعث تشویق به آزار بیشتر می‌شود و با توجه به سابقه متزلزل و غیرقابل‌اعتماد این گروه، تنها حرکت برنده، نپرداختن است.

برخلاف گروه‌های باج‌افزاری وابسته‌ی سنتی و بسیار منظمِ مستقر در روسیه، SLSH یک گروه اخاذی انگلیسی‌زبان، بی‌نظم و تا حدی سیال است که ظاهراً علاقه‌ای به ساختن سابقه‌ای از رفتار قابل‌پیش‌بینی ندارد؛ سابقه‌ای که قربانیان بتوانند به آن اعتماد کنند و مطمئن باشند در صورت پرداخت، مجرمان به قولشان عمل می‌کنند.

این تحلیل از سوی آلیسون نیکسون، مدیر تحقیقات شرکت امنیتی مستقر در نیویورک Unit 221B ارائه شده است. نیکسون مدت‌هاست این گروه و اعضای آن را زیر نظر دارد؛ اعضایی که بین کانال‌های مختلف تلگرام برای اخاذی و آزار قربانیان جابه‌جا می‌شوند. او می‌گوید SLSH از چند جهت مهم با گروه‌های سنتی باج‌گیری داده تفاوت دارد و همین تفاوت‌ها دلیلی است برای اینکه به هیچ‌یک از وعده‌های آن‌ها، از جمله نابود کردن داده‌های سرقت‌شده، اعتماد نشود.

مانند SLSH، بسیاری از گروه‌های باج‌افزاری روسیِ سنتی نیز برای وادار کردن قربانی به پرداخت، از تاکتیک‌های فشار بالا استفاده کرده‌اند؛ از جمله انتشار وبلاگ‌های شرمسارسازی در دارک‌وب همراه با نمونه داده‌های سرقتی و شمارش معکوس، یا اطلاع دادن به خبرنگاران و اعضای هیئت‌مدیره شرکت قربانی. اما نیکسون می‌گوید اخاذی SLSH خیلی سریع از این مرحله فراتر می‌رود: تهدید به خشونت فیزیکی علیه مدیران و خانواده‌هایشان، حملات DDoS به وب‌سایت قربانی، و کمپین‌های مکرر ایمیل‌فلادینگ.

SLSH به نفوذ به شرکت‌ها از طریق فیشینگ تلفنی کارکنان شناخته می‌شود و سپس از دسترسی به‌دست‌آمده برای سرقت داده‌های حساس داخلی استفاده می‌کند. در یک پست وبلاگی ۳۰ ژانویه، شرکت تحلیل امنیتی گوگل یعنی Mandiant اعلام کرد که جدیدترین حملات اخاذی SLSH ناشی از رخدادهایی بین اوایل تا اواسط ژانویه ۲۰۲۶ بوده است؛ زمانی که اعضای SLSH خود را به‌جای کارکنان IT جا زده و با کارکنان سازمان‌های هدف تماس می‌گرفتند و ادعا می‌کردند شرکت در حال به‌روزرسانی تنظیمات MFA است.

در این پست آمده است: «عامل تهدید، کارکنان را به وب‌سایت‌های جعلیِ برداشت اعتبارنامه با برند قربانی هدایت می‌کرد تا اعتبارنامه‌های SSO و کدهای MFA آن‌ها را جمع‌آوری کند و سپس دستگاه خودش را برای MFA ثبت می‌کرد.»

قربانیان اغلب نخستین بار زمانی از نفوذ مطلع می‌شوند که نام برندشان در یک گروه عمومی و موقتیِ جدید در تلگرام که SLSH برای تهدید، اخاذی و آزار استفاده می‌کند، مطرح می‌شود. به گفته نیکسون، آزار هماهنگ‌شده در کانال‌های تلگرام SLSH بخشی از یک استراتژی حساب‌شده برای درهم‌شکستن سازمان قربانی از طریق تولید تحقیر و فشار روانی است تا آن‌ها را به پرداخت سوق دهد.

نیکسون گفت چندین مدیر اجراییِ سازمان‌های هدف، هدف حملات «swatting» قرار گرفته‌اند؛ یعنی SLSH با ارسال تهدیدهای ساختگی بمب‌گذاری یا گروگان‌گیری در آدرس هدف، سعی می‌کند واکنش مسلحانه پلیس را در خانه یا محل کار آن‌ها برانگیزد.

نیکسون به برایان کربز گفت: «بخش بزرگی از کاری که با قربانیان می‌کنند، جنبه روانی دارد؛ مثل آزار فرزندان مدیران اجرایی و تهدید هیئت‌مدیره شرکت. و هم‌زمان با دریافت درخواست‌های اخاذی، قربانیان با تماس رسانه‌ها هم مواجه می‌شوند که می‌گویند: “نظری دارید درباره چیزهای بدی که قرار است درباره‌تان بنویسیم؟”» این گفتگو با خبرنگار امنیتی Brian Krebs انجام شده است.

در یک پست وبلاگی که امروز منتشر شد، Unit 221B استدلال می‌کند که هیچ‌کس نباید با SLSH وارد مذاکره شود، زیرا این گروه بارها نشان داده حاضر است بر پایه وعده‌هایی اخاذی کند که هیچ قصدی برای عمل به آن‌ها ندارد. نیکسون اشاره می‌کند که تمام اعضای شناخته‌شده SLSH از «The Com» می‌آیند؛ اصطلاحی برای مجموعه‌ای از جوامع دیسکورد و تلگرامِ متمرکز بر جرایم سایبری که به‌مثابه یک شبکه اجتماعی توزیع‌شده برای همکاری سریع عمل می‌کند.

به گفته نیکسون، گروه‌های اخاذیِ برخاسته از Com معمولاً دچار درگیری‌های داخلی و حاشیه‌سازی بین اعضا می‌شوند؛ نتیجه‌اش دروغ، خیانت، تخریب اعتبار، خنجر از پشت زدن و خرابکاری علیه یکدیگر است.

او می‌نویسد: «با این سطح از ناکارآمدیِ مداوم که اغلب با سوءمصرف مواد تشدید می‌شود، این عوامل تهدید معمولاً نمی‌توانند با تمرکز بر هدف اصلی یعنی تکمیل یک عملیات باج‌گیری موفق و استراتژیک عمل کنند. آن‌ها مدام با فوران‌های رفتاری کنترل خود را از دست می‌دهند؛ چیزی که استراتژی و امنیت عملیاتی‌شان را به خطر می‌اندازد و توانشان برای ساختن یک شبکه مجرمانه حرفه‌ای، مقیاس‌پذیر و پیچیده را به‌شدت محدود می‌کند؛ برخلاف سازمان‌های مجرمانه باسابقه‌تر و حرفه‌ای‌تری که صرفاً روی باج‌افزار تمرکز دارند.»

نفوذهای گروه‌های باج‌افزاری جاافتاده معمولاً حول بدافزار رمزگذاری/رمزگشایی می‌چرخد که عمدتاً روی سیستم آلوده باقی می‌ماند. در مقابل، نیکسون می‌گوید اخاذیِ یک گروه Com اغلب ساختاری مشابه طرح‌های sextortion خشونت‌آمیز علیه افراد زیر سن قانونی دارد؛ جایی که اعضای Com اطلاعات مخرب را می‌دزدند، تهدید به افشای آن می‌کنند و «قول» می‌دهند در صورت تمکین قربانی آن را حذف کنند، بدون هیچ تضمین یا اثبات فنی.

به گفته نیکسون، یکی از اجزای کلیدی تلاش‌های SLSH برای قانع کردن قربانیان به پرداخت، دست‌کاری رسانه‌ها برای بزرگ‌نمایی تهدید این گروه است. این رویکرد نیز از دفترچه راهنمای حملات sextortion وام گرفته شده و قربانی را درگیر و نگران پیامدهای عدم‌تمکین نگه می‌دارد.

او می‌گوید: «در روزهایی که SLSH دستاورد مجرمانه قابل‌توجهی برای اعلام نداشت، روی اعلام تهدیدهای مرگ و آزار تمرکز می‌کرد تا توجه نیروهای اجرای قانون، خبرنگاران و متخصصان صنعت جرایم سایبری را روی این گروه نگه دارد.»

نیکسون از تهدید شدن توسط SLSH بی‌خبر نیست. طی چند ماه گذشته، کانال‌های تلگرام این گروه مملو از تهدید به خشونت فیزیکی علیه او، علیه نویسنده این مطلب، و علیه دیگر پژوهشگران امنیتی بوده است. او می‌گوید این تهدیدها راه دیگری برای جلب توجه رسانه‌ای و ایجاد ظاهری از اعتبار هستند، اما به‌عنوان شاخص‌های نفوذ هم مفیدند؛ چون اعضای SLSH حتی در ارتباطاتشان با قربانیان نیز نام پژوهشگران امنیتی را مطرح کرده و بدنام می‌کنند.

در هشدار Unit 221B آمده است: «به رفتارهای زیر در ارتباطات آن‌ها با شما یا بیانیه‌های عمومی‌شان توجه کنید: اشاره‌های مکرر توهین‌آمیز به آلیسون نیکسون (یا “A.N”)، Unit 221B، یا خبرنگاران حوزه امنیت سایبری، به‌ویژه برایان کربز، یا هر کارمند یا شرکت امنیت سایبری دیگر. هرگونه تهدید به قتل، تروریسم، یا خشونت علیه کارکنان داخلی، کارکنان امنیت سایبری، بازرسان و خبرنگاران.»

Unit 221B می‌گوید اگرچه کمپین فشار در جریان یک تلاش اخاذی می‌تواند برای کارکنان، مدیران اجرایی و خانواده‌هایشان آسیب‌زا باشد، اما ورود به مذاکرات طولانی با SLSH انگیزه این گروه را برای افزایش سطح آسیب و ریسک بالا می‌برد؛ ریسکی که می‌تواند شامل امنیت فیزیکی کارکنان و خانواده‌هایشان شود.

نیکسون گفت: «داده‌های نقض‌شده هرگز به حالت قبل برنمی‌گردند، اما می‌توانیم تضمین کنیم که آزار متوقف می‌شود. بنابراین تصمیم به پرداخت باید از مسئله آزار جدا باشد. ما معتقدیم وقتی این مسائل را جدا می‌کنید، به‌طور عینی خواهید دید که بهترین اقدام برای حفاظت از منافع شما، هم در کوتاه‌مدت و هم در بلندمدت، امتناع از پرداخت است.»

, , , , , , , , , , , , , , , , , ,

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

142
142 امتیاز

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

واکنش شما به این مطلب چیست ؟

جالب جالب
2
جالب
خنده‌دار خنده‌دار
1
خنده‌دار
انزجار انزجار
6
انزجار
عجیب عجیب
5
عجیب
ناراحت ناراحت
4
ناراحت
بد بد
3
بد
باحال باحال
2
باحال
خوب خوب
1
خوب
ترسناک ترسناک
6
ترسناک

ورود به اسایت

Captcha!
Forgot password?

رمز را فراموش کردم

Back to
ورود به اسایت