یک گروه هکر طرفدار روسیه، عملیات باجافزار به،وان سرویس (RaaS) خود را برای پیشبرد اه، خود راهاندازی کرده است.
محققان SentinelLabs خاطرنشان ،د که گروه هکری CyberVolk از ژوئن 2024 باجافزار مارک خود را تبلیغ میکند و مسئولیت چندین حمله باجافزار بین ژوئن تا اکتبر را بر عهده گرفته است.
گروه هکتیویست که در هند ایجاد شده است، ابزارها را نیز تبلیغ کرده و آنها را با سایر خانواده های باج افزار به اشتراک گذاشته است.
این تجزیه و تحلیل، محو شدن خطوط بین هککتیویسم، جرایم سایبری و فعالیت ،ت-ملت را برجسته میکند.
پژوهشگران خاطرنشان ،د که فعالیتهای این گروه همچنین نشان میدهد که عوامل تهدید چقدر به راحتی میتوانند به سازندگان باجافزار خطرناک دسترسی پیدا کنند و آنها را گسترش دهند و ردیابی این گروهها را دشوارتر میکند.
اکنون بخو،د: بازیگران تهدید از هک به ،وان سلاحی برای سود مالی استفاده می کنند
بهره برداری از مسائل ژئوپلیتیکی برای هدف قرار دادن ،ت ها
به گفته SentinelLabs، CyberVolk به شکل کنونی خود در می 2024 ظاهر شد و قبل از آن با نامهای مختلفی از جمله Gloriamist، Gloriamist India و Solntsevskaya Bratva شناخته میشد.
این گروه تمایلات طرفدار روسیه دارد و از مسائل ژئوپلیتیکی برای راه اندازی و توجیه حملات علیه نهادهای عمومی و ،تی مخالف منافع ،لین استفاده می کند.
این شرکت با استفاده از حملات DDoS و همچنین استفاده از ب،زارهای کالایی و استفاده مجدد از آنها برای بهبود عملیات خود، به یک بازیگر برجسته در ا،یستم جرایم سایبری تبدیل شده است. اینها شامل ب،زار، سرقت اطلاعات و هک وب می باشد.
CyberVolk ادعا می کند که با طیف وسیعی از گروه های هک و جرایم سایبری، از جمله Lapsus$ و Moroccan Dragons، اتحاد دارد.
CyberVolk باج افزار مارک دار را راه اندازی کرد
در ماه ژوئن، CyberVolk قابلیتهای برند RaaS خود را اعلام کرد. به گفته محققان، این باج افزار از کد باج افزار AzzaSec مشتق شده است. AzzaSec یک گروه هک طرفدار روسیه، ضد اسرائیل و ضد اوکراین است که در فوریه 2024 ظهور کرد.
کد منبع AzzaSec Ransom فاش شد و متعاقباً توسط چندین گروه همسو با مأموریت AzzaSec در ژوئن 2024 پذیرفته و اقتباس شد.
نسخه اصلاحشده باجافزار CyberVolk از بارهای ویژه ویندوز که به زبان C++ نوشته شدهاند، استفاده میکند. این برنامه برای خاتمه دادن به هر فرآیند در حال اجرا متعلق به کنسول مدیریت مایکروسافت (MMC) یا Task Manager طراحی شده است.
پس از اجرا، پیلودها نقشههای بیتی (فایلهای bmp.) را در پوشه %temp% رها میکنند و قبل از هر گونه رمزگذاری آنها را نمایش میدهند.
با توجه به پستهای موجود در حساب تلگرام CyberVolk، الگوریتمهای مورد استفاده برای رمزگذاری و تولید کلید بهترتیب از AES و SHA512 به الگوریتمهای ChaCha20-Poly1305 + AES + RSA + کوانتومی مقاوم شدهاند.
هنگامی که فایلهای قرب، رمزگذاری میشوند، یک صفحه پرداخت نمایش داده میشود که تایمر رمزگشایی و همچنین جزئیات پرداخت را نشان میدهد و پرداخت با ارزهای دیجیتال پذیرفته میشود.
محدودیت زم، در نمونههای CyberVolk که توسط SentinelOne آنالیز شده بود به پنج ساعت تنظیم شد.
اطلاعات تماس تلگرام نیز در صفحه پرداخت موجود است.
به گفته محققان، CyberVolk اخیراً از باج افزارهای باج افزار مارک خود در حملات علیه نهادها در ژاپن از جمله آژانس هواشناسی ژاپن (JMA) و مرکز سیستم اطلاعات جه، توکیو استفاده کرده است.
این حملات در کانال های مختلف مورد استفاده این گروه مانند تلگرام و دیسکورد “تقویت” یافتند.
ارتباط با سایر خانواده های باج افزار
محققان همچنین به ارتباط CyberVolk با سایر خانوادههای باجافزار اشاره ،د. این شامل تبلیغ برای سریال “Doubleface” است که از اوت تا سپتامبر 2024 پخش شد.
باجافزار Doubleface از همان پایه کد باجافزار AzzaSec که توسط CyberVolk استفاده میشود، مشتق شده است، و بارهای پرداختی به روشی مشابه با نمونههای باجافزار با برند CyberVolk عمل میکنند.
علاوه بر این، CyberVolk خانوادههای باجافزار HexaLocker و Parano را ارتقا داد.
در اوایل نوامبر، CyberVolk و چندین گروه وابسته به آن، از جمله Doubleface، در نتیجه ممنوعیت کلی گروههای هک، پس از تعهد پاول دوروف، موسس و مدیر عامل این پلتفرم، از تلگرام ناپدید شدند.
مورد CyberVolk ماهیت پویای وابستگی ها و اتحاد بین گروه های هکتیویسم را نشان می دهد. محققان خاطرنشان ،د که درگیریهای داخلی و تنشهای منظم بین آنها باعث افزایش نرخ رشد و تغییر میشود و ردیابی مداوم فعالیتهای م،عان سایبری را دشوار میکند.
منبع: https://www.infosecurity-magazine.com/news/russian-hacktivists-،nded/