هکتیویست های طرفدار روسیه عملیات باج افزار مارک دار را راه اندازی می کنند

هکتیویست های طرفدار روسیه عملیات باج افزار مارک دار را راه اندازی می کنند

یک گروه هکر طرفدار روسیه، عملیات باج‌افزار به‌،وان سرویس (RaaS) خود را برای پیشبرد اه، خود راه‌اندازی کرده است.

محققان SentinelLabs خاطرنشان ،د که گروه هکری CyberVolk از ژوئن 2024 باج‌افزار مارک خود را تبلیغ می‌کند و مسئولیت چندین حمله باج‌افزار بین ژوئن تا اکتبر را بر عهده گرفته است.

گروه هکتیویست که در هند ایجاد شده است، ابزارها را نیز تبلیغ کرده و آنها را با سایر خانواده های باج افزار به اشتراک گذاشته است.

این تجزیه و تحلیل، محو شدن خطوط بین هککتیویسم، جرایم سایبری و فعالیت ،ت-ملت را برجسته می‌کند.

پژوهشگران خاطرنشان ،د که فعالیت‌های این گروه همچنین نشان می‌دهد که عوامل تهدید چقدر به راحتی می‌توانند به سازندگان باج‌افزار خطرناک دسترسی پیدا کنند و آن‌ها را گسترش دهند و ردیابی این گروه‌ها را دشوارتر می‌کند.

اکنون بخو،د: بازیگران تهدید از هک به ،وان سلاحی برای سود مالی استفاده می کنند

بهره برداری از مسائل ژئوپلیتیکی برای هدف قرار دادن ،ت ها

به گفته SentinelLabs، CyberVolk به شکل کنونی خود در می 2024 ظاهر شد و قبل از آن با نام‌های مختلفی از جمله Gloriamist، Gloriamist India و Solntsevskaya Bratva شناخته می‌شد.

این گروه تمایلات طرفدار روسیه دارد و از مسائل ژئوپلیتیکی برای راه اندازی و توجیه حملات علیه نهادهای عمومی و ،تی مخالف منافع ،لین استفاده می کند.

این شرکت با استفاده از حملات DDoS و همچنین استفاده از ب،زارهای کالایی و استفاده مجدد از آنها برای بهبود عملیات خود، به یک بازیگر برجسته در ا،یستم جرایم سایبری تبدیل شده است. اینها شامل ب،زار، سرقت اطلاعات و هک وب می باشد.

CyberVolk ادعا می کند که با طیف وسیعی از گروه های هک و جرایم سایبری، از جمله Lapsus$ و Moroccan Dragons، اتحاد دارد.

CyberVolk باج افزار مارک دار را راه اندازی کرد

در ماه ژوئن، CyberVolk قابلیت‌های برند RaaS خود را اعلام کرد. به گفته محققان، این باج افزار از کد باج افزار AzzaSec مشتق شده است. AzzaSec یک گروه هک طرفدار روسیه، ضد اسرائیل و ضد اوکراین است که در فوریه 2024 ظهور کرد.

کد منبع AzzaSec Ransom فاش شد و متعاقباً توسط چندین گروه همسو با مأموریت AzzaSec در ژوئن 2024 پذیرفته و اقتباس شد.

تبلیغات باج افزار CyberVolk. منبع: Sentinel Labs
تبلیغات باج افزار CyberVolk. منبع: Sentinel Labs

نسخه اصلاح‌شده باج‌افزار CyberVolk از بارهای ویژه ویندوز که به زبان C++ نوشته شده‌اند، استفاده می‌کند. این برنامه برای خاتمه دادن به هر فرآیند در حال اجرا متعلق به کنسول مدیریت مایکروسافت (MMC) یا Task Manager طراحی شده است.

پس از اجرا، پیلودها نقشه‌های بیتی (فایل‌های bmp.) را در پوشه %temp% رها می‌کنند و قبل از هر گونه رمزگذاری آن‌ها را نمایش می‌دهند.

با توجه به پست‌های موجود در حساب تلگرام CyberVolk، الگوریتم‌های مورد استفاده برای رمزگذاری و تولید کلید به‌ترتیب از AES و SHA512 به الگوریتم‌های ChaCha20-Poly1305 + AES + RSA + کوانتومی مقاوم شده‌اند.

هنگامی که فایل‌های قرب، رمزگذاری می‌شوند، یک صفحه پرداخت نمایش داده می‌شود که تایمر رمزگشایی و همچنین جزئیات پرداخت را نشان می‌دهد و پرداخت با ارزهای دیجیتال پذیرفته می‌شود.

محدودیت زم، در نمونه‌های CyberVolk که توسط SentinelOne آنالیز شده بود به پنج ساعت تنظیم شد.

اطلاعات تماس تلگرام نیز در صفحه پرداخت موجود است.

تصویر زمینه CyberVolk با تایمر شمارش مع،. منبع: Sentinel Labs
تصویر زمینه CyberVolk با تایمر شمارش مع،. منبع: Sentinel Labs

به گفته محققان، CyberVolk اخیراً از باج افزارهای باج افزار مارک خود در حملات علیه نهادها در ژاپن از جمله آژانس هواشناسی ژاپن (JMA) و مرکز سیستم اطلاعات جه، توکیو استفاده کرده است.

این حملات در کانال های مختلف مورد استفاده این گروه مانند تلگرام و دیسکورد “تقویت” یافتند.

ارتباط با سایر خانواده های باج افزار

محققان همچنین به ارتباط CyberVolk با سایر خانواده‌های باج‌افزار اشاره ،د. این شامل تبلیغ برای سریال “Doubleface” است که از اوت تا سپتامبر 2024 پخش شد.

باج‌افزار Doubleface از همان پایه کد باج‌افزار AzzaSec که توسط CyberVolk استفاده می‌شود، مشتق شده است، و بارهای پرداختی به روشی مشابه با نمونه‌های باج‌افزار با برند CyberVolk عمل می‌کنند.

علاوه بر این، CyberVolk خانواده‌های باج‌افزار HexaLocker و Parano را ارتقا داد.

در اوایل نوامبر، CyberVolk و چندین گروه وابسته به آن، از جمله Doubleface، در نتیجه ممنوعیت کلی گروه‌های هک، پس از تعهد پاول دوروف، موسس و مدیر عامل این پلتفرم، از تلگرام ناپدید شدند.

مورد CyberVolk ماهیت پویای وابستگی ها و اتحاد بین گروه های هکتیویسم را نشان می دهد. محققان خاطرنشان ،د که درگیری‌های داخلی و تنش‌های منظم بین آنها باعث افزایش نرخ رشد و تغییر می‌شود و ردیابی مداوم فعالیت‌های م،عان سایبری را دشوار می‌کند.

منبع: https://www.infosecurity-magazine.com/news/russian-hacktivists-،nded/