تهدید قربانیان به افشای اطلاعات آن ها بصورت آشکار، یکی از اهداف اصلی حملات باج افزاری است. آشکار شدن این حملات برای عموم و افشای اطلاعات خصوصی، منجر به از دست رفتن اعتبار قربانیان و ایجاد مشکلات قضایی برای آن ها می شود و به این ترتیب، احتمال موفقیت در باج گیری از طرف عاملان باج افزار افزایش می یابد.
با این حال حملات باج افزارها معمولا مورد توجه افراد قرار نمی گیرد. انبوه اخبار مربوط به دیگر حملات سایبری، موجب شده تا این حملات به سرعت فراموش شوند.
اکنون عاملان باج افزار از شبکه های اجتماعی برای جلب توجه مخاطبان بیشتر استفاده می کنند و قربانیان را تحت فشار می گذارند.
وبسایت های افشاسازی در دارک وب، برای تبلیغ حملات باج افزار مناسب نیستند.
اخاذی دوگانه برای حملات باج افزاری به شیوه ای رایج تبدیل شده است. حملات باج افزاری شامل رمزگذاری فایل ها و دزدیدن اطلاعات خصوصی یک شرکت و تهدید به منتشر کردن این اطلاعات می شود. سپس هکرها می توانند یکبار برای منتشر نکردن اطلاعات و بار دیگر برای رمزگشایی اطلاعات از قربانی اخاذی کنند.
درصورت خودداری قربانی از پرداخت باج، معمولا عاملان باج افزار اطلاعات ربوده شده را در سایت های شبکه Tor در دارک وب منتشر می کنند. این اطلاعات در دارک وب توسط دیگر مجرمان سایبری و پژوهشگران امنیتی دیده می شود. این روش برای منتشر کردن اطلاعات ربوده شده مناسب است اما مخاطبان محدودی دارد و برای تبلیغ حملات مناسب نیست.
اکنون هکرها در راستای جذب مخاطب بیشتر برای اخبار مربوط به حملات باج افزاری، به شبکه های اجتماعی روی آورده اند.
ربات های توییتر، شایعه های نادرستی درباره حمله باج افزار Grief به انجمن NRA ساخته اند!
در اکتبر سال 2021 با استفاده از باج افزار Grief، به انجمن ملی سلاح آمریکا (NRA) حمله شد. این حمله به گروه جرایم سایبری روسی Evil Corp نسبت داده شد. عاملان این حمله 13 فایل سرقت شده در این حمله را همراه با دقایقی از جلسات، درخواست های مالی و موارد دیگر انتشار دادند.
این حمله مشابه سایر حملات باج افزاری بود تا اینکه پس از مدت کوتاهی از انتشار اطلاعات سرقت شده، صدها اکانت در توییتر، توییت هایی درباره ی این حمله منتشر کردند.
انتشار این اخبار مشخصا طبیعی نبود. این اکانت ها همه در ماه های آگوست و سپتامبر 2021 ساخته شده بودند و فاقد دنبال کننده و عکس پروفایل بودند و یا با عکس پروفایل هایی برداشته شده از سایت های روسی مانند Tralolo یا Shuri-Muri بودند. این اکانت ها محتوای مرتبط با حملات مربوط به Grief را منتشر می کردند.
این حملات اتفاقی نبود، بلکه سازماندهی شده و با هدف تبدیل حمله به انجمن NRA به سرتیتر خبرها بود تا به این ترتیب این انجمن را برای پرداخت باج تحت فشار بگذارند. به نظر می رسید که باج افزار Grief با یک کمپین توییتری مرتبط بود اما مشخص نیست که آن ها خود مسئول پست های توییتری بودند یا با شخص ثالثی در این زمینه همکاری می کردند.
عاملان باج افزار Ragnar Locker از تبلیغات فیسبوک برای تبلیغ حملات استفاده کردند!
کمپین توییتری Grief اولین استفاده عاملان باج افزار از شبکه های اجتماعی برای تهدید قربانیان نبود.
در اوایل نوامبر 2020، شبکه شرکت ایتالیایی تولید کننده نوشیدنی Campari Group پس از آلوده شدن به باج افزار قطع شد. پس از چند روز، این کمپانی در بیانیه ای گفت: در این شرایط، نمی تواند ربوده شدن برخی از اطلاعات شخصی و کاری را رد کنند.
در تاریخ 9 نوامبر 2020، تبلیغاتی به منظور تحت فشار گذاشتن این شرکت برای باج گیری در فیسبوک به نمایش گذاشته شد. این تبلیغات، بیانگر این بودند که بیانیه شرکت واقعیت ندارد و اطلاعات بسیار زیاد و مهمی از آن ها به سرقت رفته است.
بر اساس ادعای این تبلیغات، گروه جرایم سایبری Ragnar Locker، دو ترابایت از داده های کمپانی را استخراج کرده و تا 6 عصر به آن ها زمان داده بود تا درباره پرداخت باج در ازاء افشا نکردن اطلاعات، مذاکره کنند.
وبسایت KrebsOnSecurity پی برد که این تبلیغات توسط اکانت Hodson Event Entertainment ایجاد شده اند. این حساب کاربری هک شده، متعلق به یک دی جی اهل شیکاگو بود. عاملان این حمله 500 دلار برای این کمپین هزینه کردند و قبل از اینکه توسط فیسبوک مسدود شود، حدود 7150 کاربر داشت.
گروه های باج افزاری دیگری از شبکه های توییتر و تامبلر (Tumblr) استفاده کردند.
همه هکرها برای رسانه ای کردن حملات خود از ربات های توییتر و تبلیغات پولی استفاده نمی کنند. گروه هایی مانند DoppelPaymer ،54bb47h و Marketo به طور مستقیم از توییتر به عنوان کانالی برای تبلیغ حملات خود استفاده می کنند. همچنین گروه RobinHood اخیرا حساب کاربری در تامبلر ایجاد کرده است. ظاهرا هدف این حساب کاربری، افشای هویت قربانیان و تصاویری از اطلاعات ربوده شده آنهاست.
در بعضی از حملات باج افزاری، هکرها از شبکه های اجتماعی برای ارتباط مستقیم با مطبوعات استفاده می کنند تا از طریق انتشار خبر حملات به دست مطبوعات، جلب توجه کنند.
سخن پایانی
انتشار اخبار و اطلاعات حملات باج افزاری در سایت های شبکه Tor و دارک وب، نسبت به انتشار عمومی آن در شبکه های اجتماعی، برای قربانیان بهتر است.
قرار دادن اطلاعات سرقت شده در شبکه های اجتماعی، خلاف قوانین این شبکه هاست. با این حال سرعت کم شبکه های اجتماعی در حذف این محتوا و رسیدگی به گزارش ها، برای هکرها فرصت استفاده مناسب از این پلتفرم ها را ایجاد می کند.
با ایجاد روش های خلاقانه برای تحت فشار گذاشتن قربانیان، ممکن است در آینده عاملان باج افزار از دارک وب به شبکه های اجتماعی روی بیاورند.
روز خوب و بدون باج افزاری داشته باشید!
برگرفته از:
Forget the dark web: ransomware gangs weaponize social media to pressure victims
بدون نظر