iفین تک (ای فین تک - آی فین تک)

در دنیای پیچیده و در حال تحول تهدیدات سایبری، حملات باج‌افزاری همچنان یکی از بزرگ‌ترین نگرانی‌های سازمان‌ها و نهادهای حیاتی به شمار می‌آید. به گزارش iفین‌تک، جدیدترین تحولات در این زمینه نشان می‌دهد که گروه باج‌افزار 3AM با استفاده از تکنیک‌هایی خلاقانه مانند بمباران ایمیلی (Email Bombing) و تماس‌های تلفنی جعلی، دامنه‌ی حملات خود را به طرز نگران‌کننده‌ای گسترش داده‌اند. این روش‌ها موجب کاهش اثربخشی سامانه‌های دفاعی شده و احتمال موفقیت نفوذ را بالا می‌برد.

معرفی گروه باج‌افزار 3AM

گروه 3AM یکی از تهدیدهای نوظهور اما پیچیده‌ی دنیای باج‌افزارهاست که از اواخر سال ۲۰۲۳ میلادی مورد توجه شرکت‌های امنیت سایبری قرار گرفته است. این گروه، برخلاف باج‌افزارهای شناخته‌شده‌ای مانند LockBit یا Conti، روی حملات خاموش و بدون جلب توجه تمرکز دارد. ابزارهای رمزگذاری پیشرفته، حذف لاگ‌های سیستم و انکار شناسایی توسط آنتی‌ویروس‌ها از جمله ویژگی‌های مهم آن‌هاست.

تحلیل آی‌فین‌تک نشان می‌دهد که فعالیت‌های اخیر این گروه، بیش از پیش بر مهندسی اجتماعی و اختلال ارتباطی سازمان‌ها تمرکز یافته است.

بمباران ایمیلی: ابزاری برای ایجاد آشوب

یکی از برجسته‌ترین روش‌هایی که گروه 3AM در ماه‌های اخیر به کار گرفته، بمباران ایمیلی است. در این روش، مهاجمان هزاران ایمیل بی‌ربط یا جعلی را به آدرس‌های سازمانی قربانی ارسال می‌کنند. هدف این کار نه تنها پر کردن صندوق ورودی است، بلکه:

• پنهان کردن ایمیل‌های آلوده یا فیشینگ اصلی در میان انبوه پیام‌ها.

• منحرف کردن توجه تیم امنیت IT.

• اشباع کردن سامانه‌های فیلترینگ خودکار ایمیل.

به گفته محققان امنیتی، در چندین حمله واقعی، تنها پس از ساعت‌ها بررسی دستی، ایمیل حاوی لینک یا پیوست آلوده کشف شده است.

تماس تلفنی مستقیم: تهدیدی شخصی‌سازی‌شده

گروه 3AM هم‌زمان با حملات دیجیتال، به تماس‌های مستقیم با کارکنان یا مدیران سازمان‌ها نیز روی آورده است. این تماس‌ها معمولاً با سناریوهایی هوشمندانه مانند موارد زیر انجام می‌شوند:

• تماس از طرف «تیم پشتیبانی IT» برای رفع مشکل امنیتی.

• ارائه لینک‌هایی برای نصب ابزار جعلی.

• تحریک روانی برای ورود به پنل‌های مدیریتی یا ارائه دسترسی ریموت.

تحلیل iفین‌تک نشان می‌دهد که این روش تلفیقی از فیشینگ صوتی (vishing) و مهندسی اجتماعی عمیق است که تا پیش از این بیشتر توسط APTهای دولتی دیده می‌شد.

اهداف اصلی و قربانیان

گروه 3AM اغلب سازمان‌های متوسط تا بزرگ را هدف قرار می‌دهد که دارای زیرساخت‌های اطلاعاتی گسترده و تیم امنیتی مشخص هستند. قربانیان اصلی شامل موارد زیر بوده‌اند:

• شرکت‌های خدمات مالی و فین‌تک.

• بیمارستان‌ها و مراکز بهداشتی.

• شرکت‌های فناوری و زیرساخت‌های ابری.

• سازمان‌های دولتی و محلی در آمریکا و اروپا.

در یکی از موارد ثبت‌شده، مرکز داده‌ی یک شرکت مخابراتی در فرانسه با استفاده از همین روش‌ها دچار اختلال ۳۶ ساعته شد.

تکنیک‌های رمزگذاری و حذف ردپا

علاوه بر روش‌های نفوذ، گروه 3AM از الگوریتم‌های رمزگذاری پیشرفته مانند AES-256 برای رمز کردن فایل‌ها و حذف نسخه‌های پشتیبان استفاده می‌کند. همچنین، ابزارهایی برای پاک‌سازی لاگ‌ها، غیرفعال‌سازی Windows Defender و جلوگیری از boot شدن در حالت ایمن نیز در کیت حمله‌ی آن‌ها مشاهده شده است.

این قابلیت‌ها باعث می‌شود که حتی در صورت شناسایی حمله، بازیابی اطلاعات بسیار دشوار باشد.

روند پرداخت باج و تهدید انتشار

مطابق تحلیل آی‌فین‌تک، گروه 3AM از مدل «دوجانبه باج‌گیری» (Double Extortion) استفاده می‌کند. آن‌ها:

1. فایل‌ها را رمزگذاری می‌کنند.

2. نسخه‌ای از اطلاعات حساس را به سرورهای خود منتقل می‌کنند.

3. تهدید می‌کنند که در صورت عدم پرداخت، اطلاعات را در دارک‌وب منتشر خواهند کرد.

باج‌های درخواست‌شده معمولاً بین ۵۰۰ هزار تا ۵ میلیون دلار بوده و با ارزهای دیجیتال مانند بیت‌کوین دریافت می‌شوند.

واکنش جامعه امنیت سایبری

پژوهشگران امنیتی در شرکت‌هایی نظیر Sophos، Trend Micro و Mandiant نسبت به پیشرفته‌تر شدن ابزارها و تکنیک‌های گروه 3AM هشدار داده‌اند. این حملات، نشان‌دهنده‌ی عبور مهاجمان از فاز نفوذ تکنولوژیک به مرحله‌ی نفوذ انسانی و روانی است.

همچنین، تلاش‌هایی برای شناسایی زیرساخت‌های C2 (فرماندهی و کنترل) این گروه صورت گرفته که منجر به شناسایی چند دامنه مرتبط در کشورهایی با قوانین ضعیف سایبری شده است.

راهکارهای پیشنهادی برای مقابله

براساس تحلیل iفین‌تک، سازمان‌ها برای مقابله با حملات ترکیبی مانند آنچه 3AM انجام می‌دهد، باید اقدامات زیر را مدنظر قرار دهند:

1. آموزش مداوم کارکنان درباره مهندسی اجتماعی و تماس‌های مشکوک.

2. تقویت فیلترهای ایمیل برای تشخیص بمباران ایمیلی.

3. استفاده از سامانه‌های EDR و SIEM برای کشف رفتارهای غیرعادی.

4. پیکربندی دقیق فایروال و محدودسازی دسترسی‌های ریموت.

5. تهیه پشتیبان آفلاین و آزمون بازیابی داده‌ها.

افزایش حملات باج‌افزاری توسط گروه 3AM با استفاده از بمباران ایمیلی و تماس‌های تلفنی، نمونه‌ای از تحول راهبردهای مهاجمان سایبری به سمت جنگ روانی و انسانی است. به گزارش آی‌فین‌تک، مقابله با چنین تهدیداتی نیازمند ترکیبی از فناوری پیشرفته و آمادگی فرهنگی و رفتاری کارکنان سازمان‌هاست. تنها با دیدی جامع و چندلایه می‌توان در برابر چنین حملاتی مقاومت مؤثری نشان داد.