گروه جدیدی به نام SnapMC به تازگی در دنیای جرایم سایبری وارد شده و در حال سرقت اطلاعات و اجرای حملات باج خواهی است که هیچ گونه رمزگذاری بر روی فایلهای قربانیان انجام نمیدهد.
رمزگذاری فایلها به عنوان جزء اصلی حملات باجافزاری شناخته میشود و عنصری مشخص در تخریب عملیات و روند کاری قربانیان به شمار میرود. انتقال غیر مجاز دادهها (Data exfiltration) با هدف باج خواهی مضاعف نیز به عنوان یک اهرم اضافی علیه قربانی است که با سوء استفاده از هرج و مرج به وجود آمده پس از رمز شدن اولیه فایلها، به عنوان دومین حمله باج افزار به قربانیان به شمار میرود.
عاملان باج افزاری خیلی زود به این رویکرد پی بردند، چرا که حتی اگر قربانیان موفق به بازیابی اطلاعات رمز شده خود شوند، با این حال امکان ندارد بتوانند عواقب پیش آمده ناشی از افشای اطلاعات را جبران کنند.
نحوه عملکرد این گروه
گروه بدافزاری جدیدی به تازگی کشف شده است که به آن SnapMC میگویند و با استفاده از همین تکنیک حمله سریع، به شبکه نفوذ میکنند، به سرعت اطلاعات کاربران را سرقت کرده و ایمیل باج خواهی را کمتر از ۳۰ دقیقه برای قربانی ارسال میکنند.
راه نفوذ SnapMC
گروه SnapMC از ابزار Acunetix برای یافتن نقایص مختلف در VPN و برنامههای وب سرور قربانی استفاده کرده و به راحتی به داخل شبکه نفوذ میکند. به نظر میرسد بیشترین آسیبپذیریهای مورد استفاده این گروه PrintNightmare LPE، نقص اجرای کد از راه دور Telerik UI برای ASPX.NET میباشد.
در حمله باج خواهی از نوع انتقال غیر مجاز دادهها، پرداخت باج از سوی قربانی هیچ تضمینی برای برگشت دادهها نیست. در مقابل به آنها این امکان را میدهد که بار دیگر به سازمان حمله کنند. حتی در مواردی امکان دارد که بعد از پرداخت باج، اطلاعات قربانی در انجمنهای بدافزاری به فروش برسد که این موضوع درآمد بیشتری را نیز برای آنها حاصل خواهد کرد.
مثالهایی که علیرغم پرداخت باج، اطلاعات قربانی افشا شده و یا هیچ سندی دال بر حذف آنها توسط مجرمان وجود نداشته است:
- Sodinokibi
- Netwalker
- Mespinoza
- Conti
