FBI اخطاریهای فوری را به صنایع بخش خصوصی در مورد گروه باجافزاری HelloKitty یا FiveHands داده که به تازگی حملات DDoS را در تاکتیکهای باج خواهی خود قرار دادهاند.
در روز 29 اکتبر و در اعلامیهای که با همکاری سازمان امنیت زیرساخت و امنیت سایبری (CISA) از سوی FBI ارائه شده است، در صورتی که باج درخواستی از سوی قربانیان پرداخت نگردد، گروه باجافزاری HelloKitty با استفاده از حملات DDoS اقدام به از کار انداختن وبسایتهای رسمی قربانیان میکند.
روش کاری HelloKitty
این گروه باجافزاری، به سرقت اسناد حساس از سرورهای تسخیر شده قربانیان پیش از رمزنگاری آنها مشهور است. فایلهای استخراجشده بعداً بهعنوان اهرمی برای تحت فشار قرار دادن قربانیان برای پرداخت باج مورد استفاده قرار میگیرند و تهدید میکنند که اطلاعات دزدیده شده را بهصورت آنلاین در سایت نشت دادهها افشا میکنند. در برخی موارد، در صورتی که قربانی به سرعت به این گروه پاسخ ندهد و یا باج را پرداخت نکند عاملان تهدید، حملات DDoS را بر روی سایت قربانی انجام میدهند.
این گروه پرداختهای مختلفی به بیت کوین را طلب میکند که برای هر قربانی متفاوت بوده و بر اساس تحقیقاتی است که از توانایی پرداخت قربانی به عمل آمده است. اگر هیچ باجی پرداخت نشود، عاملان تهدید دادههای قربانی را در سایت Babuk به انتشار میگذارند و یا آن را به یک کارگزار ثالث میفروشند.
آنها از روشهای مختلفی برای نفوذ به شبکه قربانیان استفاده میکنند که شامل رمزهای عبور به خطر افتاده و آسیبپذیریهای امنیتی محصولات SonicWall است که اخیرا وصله شدهاند (مانند CVE-2021-20016، CVE-2021-20021، CVE-2021-20022، CVE-2021-2002).
HelloKitty چه کسانی هستند؟
این گروه فعالیتهای باجافزاری با عوامل انسانی را از نوامبر 2020 آغاز کردند و اولین بار در ژانویه سال 2021 توسط FBI کشف شدند. آنها عمدتاً به دلیل نقض و رمزگذاری سیستمهای CD Projekt Red در ماه فوریه و ادعای سرقت Cyberpunk 2077، Witcher 3، Gwent و کد منبع بازیهای دیگر شناخته شدند.
این گروه بعدها ادعا کرد که شخصی اطلاعات به سرقت رفته از CD Projekt Red را از آنها خریداری کرده است که البته هیچ گاه مورد تأیید قرار نگرفت. حداقل از ماه جولای 2021، این گروه باجافزاری از نسخههای مختلف لینوکس برای نفوذ به پلتفرم ماشینهای مجازی VMware ESXi استفاده کرده است.
آنها تنها یکی از باجافزارهای متعددی هستند که سرورهای لینوکس را پس از روی آوردن اهداف سازمانی به استفاده از ماشینهای مجازی برای استفاده مؤثرتر از منابع و مدیریت آسانتر دستگاه، هدف قرار میدهند. با حمله به ماشینهای مجازی سازمانها، عاملان باجافزاری میتوانند چندین سرور را تنها با اجرای یک دستور و صرف هزینه و زمان بسیار کم به صورت همزمان رمز کنند.
بر اساس آمار به دست آمده از قربانیان، HelloKitty فعالیت خود را به طور قابل توجهی در ماههای جولای و آگوست سال جاری، درست بلافاصله پس از شروع استفاده از نوع لینوکس در حملات خود، افزایش داد. همچنین باید گفت که این گروه با نامهای دیگری نیز فعالیتهای باجافزاری خود را انجام داده که میتوان به DeathRansome و FiveHands اشاره کرد.
FBI مجموعهای از علائم آلودگی (IOC) را در گزارش هشداری خود منتشر کرده تا به متخصصان امنیت سایبری و مدیران سیستمی برای حفاظت در برابر تلاشهای تهاجمی مرتبط با این گروه باجافزاری کمک کند.
