آیا سازمان شما چندین هزار دلار برای پرداخت باج را دارد؟ آیا شناسایی باج افزار برای پیشگیری بهتر از حملات، راه حل بهتری نیست؟ آیا شناسایی باج افزار هزینه کمتری تا تلاش برای حذف باج افزار ندارد؟

برای مبارزه با باج افزار، بسیاری از مباحث در خصوص پیشگیری و عکس العمل بعد از حمله است. با این حال، در واقع شناسایی باج افزار برای “ایمن سازی” کسب و کار اگر به همان اندازه مهم نباشد مطمعنا کمتر نیز نیست. برای درک بهتر این مطلب میخواهم به مثال زیر توجه کنید:

فرض کنید شما یک دامدار هستید و گله‌ای گوسفند دارید، پس طبیعتا نگران حمله گرگ نیز هستید. برای رفع این نگرانی یک حصار بزرگ برای محافظت نصب کرده اید و برای ترساندن گرگ از بوق استفاده می‌کنید. بنظر من این نوع پاسخ بسیار در خورد است. اما سوال اینجاست! آیا بهتر نیست از یک سیستم هشدار اسستفاده کنید که سریعا قبل از اینکه گرگ حمله کند شما اقدام کنید ؟! آیا این کار بهتر و درخورتر نیست؟

بیایید نگاهی به “پنج ستون اصلی تشخیص تغییرات” در زمان واقعی بیندازیم تا ابزارهایی را که برای استفاده از این تکنیک‌ها برای شناسایی باج افزار و کاهش تأثیر آن لازم است را بهتر بشناسیم.

1. تجزیه و تحلیل فایل استاتیک

فرض کنید در یک تیم فناوری اطلاعات هستید و یک هشدار امنیتی در یکی از سرورهای کلیدی سازمان فعال شده است. هشدار خیلی شفاف نیست اما بیانگر این است که یک فایل مشکوک به باج افزار شناسایی شده است.

بدتر اینکه هش کدهای فایل (Hash Code) در VirusTotal نیست و شما هم نمی‌توانید اطلاعاتی را در اینترنت پیدا کنید که تشخیص دهید آیا فایل موجود مخرب است یا نه.

برای تشخیص باج افزار و فهمیدن اینکه آیا این فایل باج افزار است یا نه (یا هر بدافزاری دیگر)، یکی از گزینه‌ها بررسی یا تجزیه و تحلیل فایل استاتیک است. تجزیه و تحلیل این فایل، نوعی تجزیه و تحلیل است که به مشکوک بودن یک فایل اجرایی بدون اینکه به شکل واقعی کد را اجرا کندیا نموضوع را بررسی می‌کند که آیا این فایل اجرایی مشکوک است یا نه.

در مورد باج‌افزار، بررسی و آنالیز فایل استاتیک در پی دنباله‌های کد مخربی است که شناخته‌شده‌اند و به دنبال سرنخ‌های مشکوکی، مانند “پسوندهای فایل هدف‌گذاری شده” معمول و کلمات رایج مورد استفاده در یادداشت‌های باج است.

یکی از ابزارهای رایگانی که می‌تواند مفید باشد PeStudio است. این ابزار، مصنوعات مشکوک را در فایل‌های اجرایی علامت‌گذاری می‌کند و برای بررسی رشته‌های تعبیه‌شده، کتابخانه‌ها، واردات و سایر شاخص‌های سازش (IOC) در یک فایل استفاده شود.

مزایا:

• نرخ مثبت غیر واقعی آن پایین است.
• در برابر باج افزارهای معروف موثر است.
• برای اینکه هیچ فایلی رمزگذاری نشود، حملات را قبل از اجرا متوقف می‌کند

معایب:

•  –    انجام آن  بصورت دستی زمان‌بر است.
•     – با استفاده از Packers / Crypter یا با جایگزین کردن کاراکترها با ارقام یا کاراکترهای خاص می‌توان آن را خیلی راحت دور زد.

انواع باج افزار: 5 نوع از مرسوم ترین شکل حملات باج افزارها| چند نکته مهم برای تیم‌های IT

2.ایجاد لیست سیاهی از پسوندهای رایج باج افزار

با ابزارهای نظارت بر دسترسی به فایل، می‌توان برای معروف‌ترین “پسوندهای باج‌افزار“ عمل تغییر نام فایل را در لیست سیاه قرار داد، یا اینکه به محض ایجاد فایل جدیدی با پسوندهای باج افزار، هشدار داده شود.

به عنوان مثال، یکی از ابزارهای نظارت بر دسترسی به فایل توسط Netapp این امکان را می‌دهد که انواع خاصی از افزونه‌ها را قبل از ذخیره شدن در سیستم و یا اشتراک‌گذاری‌، مسدود کنید. سایر راه حل های لیست سیاه باج افزار شامل ownCloud یا Netwrix است.

لیست های متنوعی در اینترنت با از پسوندهای رایج باج افزار وجود دارد. به عنوان مثال https://fsrm.experiant.ca/

مزایا:

• نرخ مثبت غیر واقعی آن پایین است.
• در برابر باج افزارهای معروف موثر است.

معایب:

• باج افزارها به راحتی می‌توانند آن را با پسوند جدید رمزگذاری دور بزنند.
• راه حل نظارت بر فایل که دارای ویژگی لیست سیاه پسوند باشد به راحتی پیدا نمی‌شود.

3. استفاده از فایل های Honeypot برای شناسایی باج افزار

فایل honey یک تکنیک برای فریب است که عمداً برای شناسایی مهاجم در یک پوشه قرار می‌گیرد و به محض باز شدن فایل، زنگ هشدار به صدا در می‌آید. مثلا، فایلی با این نام passwords.txt می تواند به عنوان فایل honey در یک workstation استفاده شود.

یکی از راه های محبوب و رایج برای ساخت سریع و آسان فایل های honey استفاده از Canarytokens است. Canarytokens یک ابزار رایگان است که  Canarytokens _یک شناسه منحصر به فرد یا توکن_ را در سندی  مانند Microsoft Word، Microsoft Excel، Adobe Acrobat، تصاویر، پوشه‌های دایرکتوری و غیره جاسازی می‌کند.

بعد از اینکه Canarytoken دسترسی پیدا کرد، Canary یک ایمیل اعلان به آدرس مرتبط با توکن مربوطه را برای شما ارسال می کند. می‌توان نام فایل‌های Canary را به نام‌هایی تغییر داد که باجگیرها در شبکه قربانی بدنبال آن هستند، مانند «statement »، «policy » یا « insurance ».

مزایا:

• شناسایی باج افزارهایی که موتورهای ساکن آن را نمی‌گیرند.

معایب:

•   به شکل کاذب و معیوبی برخی از موارد را مثبت نشان می‌دهد، زیرا کاربران و برنامه‌ها ممکن است فایل‌هایی را باز کنند که به عنوان طعمه گذاشته شده‌اند.
• وقتی پوشه‌های خاصی را تارگت می‌کند از برخی فایل‌ها یا پوشه‌های مخفی عبور می‌کند

4_نظارت پویا بر عملیات فایل‌های انبوه و حجیم

با اینکار می‌توان در یک بازه زمانی معین، حمله باج‌افزارها را که در زمان واقعی اتفاق می‌افتد را شناسایی کرد و حتی به طور خودکار آن را مسدود کرد.

برای شناسایی باج افزار از این طریق، ابزار نظارت بر یکپارچگی فایل(File Integrity Monitoring)  می تواند کارا باشد. یک FIM آخرین نسخه فایل‌ها را با هم مقایسه کرده و با یک «خط مبنا» قابل اعتماد وشناخته شده اعتبارسنجی می‌کند و آن زمان که فایل‌ها تغییر، به‌روزرسانی یا در معرض خطر قرار گرفته‌اند به شما هشدار می‌دهد.

ابزارهای رایگانی از FIM مانند OSSEC و Samhain File Integrity  در دسترس است، که بسرعت قابل اصلاح هستند تا بتوان فورا برای پاسخ خودکار این تهدیدات، باج افزار شناسایی شده را مسدود کرد.

مزایا:

• شناسایی باج افزارهایی که موتورهای ساکن آن را نمی‌گیرند.

معایب:

• رمزگذاری فایل‌ها فراتر از حد تعریف شده.
• با ایجاد تاخیر بین رمزگذاری‌ها به راحتی دور می‌خورند.

5_اندازه گیری تغییرات داده های فایل ها (آنتروپی)

درمباحث امنیت سایبری، آنتروپی یک فایل به معیار خاصی از تصادفی بودن به نام «آنتروپی شانون» اشاره دارد. برای تشخیص انواع باج افزار، فایل‌های متنی معمولی دارای آنتروپی کمتری هستند و فایل‌های رمزگذاری شده یا فشرده آنتروپی بالاتری دارند. به بیان دیگر، در صورت تغییر نرخ داده‌های فایل‌ها، می‌توان تشخیص داد که فایل‌ها رمزگذاری شده‌اند یا نه.

ابزار رایگان Patrick Wardle’s RansomWhere?

 ابزاری است برای اندازه گیری تغییرات داده های فایل ها(آنتروپی) که به  شناسایی باج افزار و مسدود کردن آن می‌پردازد. این ابزار فرآیندهای مشکوک و نامعتبر که فایل های شخصی شما را رمزگذاری می کنند،شناسایی می‌کند. RansomWhere همچنین می‌تواند فرآیندها را پس از تغییرات متعدد و تغییرات قابل توجه را مسدود کنند.

مزایا:

• شناسایی انواع باج افزارهایی که موتورهای ساکن آن را نمی‌گیرند.
• نکات مثبت مصنوعی کمتری نسبت به تکنیک‌های دینامیکی که قبلا ذکر شد را نشان می‌دهدو دقیق‌تر است.

معایب:

•     در نقطه پایانی از CPU در سطح بالایی استفاده می‌کند.
•   فایل‌ها تا سرحد اطمینان تعیین شده رمزگذاری می‌شوند، بنابراین همه آسیب‌ها و تخریبات مسدود نخواهد شد.

نتیجه گیری:

تکنیک‌ها برای شناسایی باج افزار و تشخیص عفونت‌های باج افزار میتوانند بسیار کمک کننده باشند. هدف اصلی ما در اینجا معرفی راه‌های مختلفی برای تشخیص انواع باج افزار قبل از ایجاد آسیب جدی بود. همچنین این بخش را می‌توان بخش مهمی از استراتژی‌های حفاظت از باجگیرها دانست.

برگرفته از مقاله Top 5 ransomware detection techniques: Pros and cons of each

این روزها باج افزار ransomware مهمترین دغدغه‌ی “امنیت سایبری” برای شرکت‌ها شده است؛ چرا که میتواند تاثیرات بسیار مخربی را ایجاد کند. از جمله مهمترین این آسیب‌ها، از دست رفتن داده‌ها، بالابودن هزینه‌های بازیابی و همچنین آسیب به شهرت کسب و کارها است.  در این راستا اگر بدانید با چه باج افزاری روبه رو هستید و بتوانید به تشخیص باج افزار بپردازید شاید تا حد خیلی زیادی بشود با استفاده از برنامه‌های مختلف به محافظت از کسب و کارتان در مقابل حملات آن‌ها بپردازید. اما سوال اصلی اینجاست که با این افزایش چشمگیر حملات سایبری، چگونه میتوان از اطلاعات ارزشمند خود محافظت کرده و یا به حذف باج افزار بپردازیم؟ در این پست سعی داریم برخی از مهمترین انواع باج افزار که امروزه نسبت به شکل‌های دیگر آن استفاده می‌شنوند را بررسی کنیم. همچنین بزرگترین حملات باج افزاری را نیز به اختصار توضیح می‌دهیم.

_{اورژانس باج افزار گروهی از متشکل از متخصصان امینت سایبری در کنار شماست تا بتوانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و اقدام به از بین بردن باج افزار کنید} ❗❗❗

اصلی ترین انواع باج افزار کدام است؟

باج افزار به اشکال مختلفی عرضه می شود که همه آنها دارای چندین ویژگی مشترک هستند. انواع مختلفی از باج افزار وجود دارد؛ اما میتوان گفت که همه‌ آن‌ها دارای ویژگی‌های زیر هستند:

• اول اینکه همه آنها انگیزه مالی دارند(که میتوان اصلی ترین ویژگیشان دانست)
• دوم حامل نوعی تهدید برای سیستم‌های IT هستند.
• و سوم اینکه پیامی اخطار دهنده را بر روی سیستم قربانی نشان میدهند که از آن‌ها باج میخواهد. اما تفاوت اصلی و متمایز کننده انواع باج افزار ها به خاطر نحوه‌ی حمله آنها و تکنیکی است که به کار میبردند. با بررسی نمونه‌های زیر دقیقا متوجه میشوید که منظورمان از تکنیک چه است.

❗❗❗ برای شناخت پسوندهای باج افزارکلیک کنید

باج افزارCrypto  (رمزنگاری)

باج افزار کریپتو(رمزنگاری) یکی از مهمترین باج افزارهای موجود است. یک روش برای حمله موثر سایبری‌ها محسوب می‌شود که بسیار سودآور نیز است. این گونه باج افزار به “رمزگذاری داده‌ها“ می‌پردازد و آن‌ها را غیرقابل خواندن می‌کند. سپس برای رمزگشایی و ارائه کد از قربانی باج می‌خواهد. توسعه دهندگان این نوع از انواع باج افزار اغلب یک “شماره معکوس” را در صفحه قربانی اضافه می‌کنند و این اخطار را نمایش می‌دهند:” اگر تا انتهای شمارش معکوس باج پرداخت نشود همه فایل‌های رمزگذاری شده حذف خواهد شد“. و در نتیجه، بسیاری هستند که برای برگرداندن داده‌های خود حاظر به پرداخت باج هستند.

 باج افزار Exfiltration

باج افزار Exfiltration که یکی از مهمترین انواع باج افزار است به عنوان doxware یا leakware نیز شناخته می‌شود، با دزدیدن اطلاعات و داده‌های قربانی او را تهدید به نشر عمومی آن‌ها می‌کند. این مورد علاوه بر اینکه به کسب و کار و شهرت قربانیان آسیب می‌رساند، همچنین منجر به جریمه شدن توسط مراجع قضایی در نقض مقررات حفاظت نیز میشود. مهاجمان اغلب داده‌هایی را رمزگذاری می‌کنند که مرتبط با یکدیگر هستند و به این دلیل میتوانند فشار را برای پرداخت باج چندین برابر کنند.

باج افزار DDoS

برخلاف باج‌افزارهای رمزنگاری‌شده و نفوذ کننده، حملات باج‌افزار (DDoS) به خدمات شبکه است و کاری به اطلاعات و داده‌های کاربر ندارد. آنها برای متوقف کردن سرورهای کاربر شروع به “درخواست‌های اتصال جعلی” میکنند تا با ایجاد ترافیک کاذب، سایت مورد نظر را درگیر کنند. با این کار تمام منابع سرورها صرفا درگیر این درخواست‌ها می‌شوند و این امر باعث می‌شود کاربران اصلی برای اتصال به سرور با مشکل روبه رو شوند.  پس از انجام این حملات با نمایش یک یادداشت، کاربر را به پرداخت باج برای اتمام حمله ترغیب می‌کند. اما DDoS از آن نوع حملاتی هستند که گاهی اوقات مهاجمان چه با پرداخت باج و چه عدم پرداخت آن، دست از حمله بر می‌دارند. یک حمله باج‌افزار DDoS به شدت نیازمند منابع است. بنابراین یک هکر ممکن است برای حفظ آن برای مدت طولانی تلاش کند. علاوه بر این، باج افزار DDoS خطری برای داده‌های واقعی شما ایجاد نمی کند.

باج افزار Scareware یا ترس افزار

این بدافزار از روشی به اسم” تاکتیک‌های مهندسی اجتماعی” استفاده می‌کند. این روش به این معناست که کاربر را فریب می‌دهد که با مشکلی مانند بدافزارها مواجه است و او را ترغیب میکند که مثلا برای حل این مشکل نیاز به خریداری و نصب فلان نرم افزار را دارد. این هشدار به صورت “پاپ آپ” و اغلب موارد “لوگوی نرم افزار امنیتی قانونی” به نمایش گذاشته می‌شود و دستور خریداری نرم افزاری را می‌دهد؛ که ممکن است حاوی بدافزار باشد یا شروع به آسیب رساندن‌های حادتری بکند.

WannaCry

کار WannaCry رمزگذاری باج افزار است. از یک آسیب پذیری در “پروتکل SMB“ ویندوز سوء استفاده می‌کند و وارد می‌شود. WannaCry شروع به تکثیر کرده و از این طریق به آلوده کردن سیستم‌های دیگر نیز می‌پردازد. WannaCry یک برنامه مستقل است. این برنامه قابلیت این را دارد که فایل‌های حاوی کلیدهای رمزگذاری، برنامه های کاربردی رمزگذاری/رمزگشایی و “برنامه ارتباطی Tor” را استخراج کند. مهاجمان WannaCry را مبهم و پیچیده نمی‌کنند و به راحتی میتوان آن را شناسایی و سپس حذف کرد. بیشترین نرخ آلودگی آن در سال 2017 بوده است که  23000 دستگاه را در 150 کشور جهان تحت تأثیر قرار داد. و همچنین حدود 4 میلیارد دلار خسارت وارد کرد.

Cerber

Cerber یک باج افزار از دسته (RaaS)_باج افزار به عنوان سرویس_ است. Cerber زمانی که در حال اجرای رمزگذاری است، بدون شناسایی، فایل های رمزگذاری را اجرا کرده و از فعالیت آنتی ویروس‌ها تا حد ممکن جلوگیری می‌کند. بعد از آنکه که به طور درست فایل ها را روی دستگاه رمزگذاری کرد، یک یادداشت حامل درخواست باج را در پس زمینه دسکتاپ به نمایش می‌گذارد.

CryptoLocker

باج افزار در چند دهه گذشته به اشکال مختلف ظهور کرده است . در سال 2013، CryptoLocker، به شهرت رسید. فروشندگان و متخصصان فناوری اطلاعات، در می 2014 پس از اخاذی 3 میلیون دلار از قربانیان توسط مجرمان سایبری، بات نت اصلی CryptoLocker را کاملا از بین بردند. با این حال و با از بین رفتن CryptoLocker، کپی کردن آن توسط مجرمان به راحتی انجام می‌گیرد. اما این تغییرات با نسخه اصلی آن مرتبط نیست. تعداد CryptoLocker به حدی زیاد شده است که آن را حتی مترادف با باج افزار می‌دانند.

Locky

باج افزار Locky یا لاکی با به کارگیری بات نت Necurs شروع به توزیع ایمیل‌های فیشینگ کرد که حاوی دستورالعمل‌های مخرب بود. این عمل از طریق پیوست های Excel یا Word صورت می‌گرفت. نسخه Locky در سال 2016 مشخص شد که در جعبه ایمنی نیز قابل اجرا است و یک ماه بعد این بد افزار حتی قادر به رمزگذاری فایل‌ها به صورت آفلاین بود. Locky در سپتامبر 2017 در حمله‌ای فعال شد که در آن حدودا 23 میلیون پیام فیشینگ توسط مهاجمان در مدت 24 ساعت فرستاده شد.

باج افزار Maze

Maze یکی دیگر از انواع باج‌افزار است که از سال 2019 اثراتش دیده شده است. اولین بار یک گروه اصلی Maze را ایجاد کردند،اما چندی بعد برخی دیگر از مهاجمین از Maze برای اهداف باج گیری خود شروع به استفاده از آن کرده‌اند. بیشتر اپراتورهای Maze علاوه بر رمزگذاری، “داده‌هایی را که رمزگذاری می‌کنند را نیز کپی کرده” و همچنین تهدید به افشای آن‌ها می‌کنند و با اینکار فشار زیادی را برای پرداخت باج اعمال می‌کنند.

باج افزار Maze بیشتر از طریق پیوست‌های ایمیل مخرب توزیع می‌شد. اما در حملات اخیر از روش‌های دیگری برای به خطر انداختن شبکه استفاده می‌کنند. به عنوان مثال، بسیاری از حملاتی که  باج‌افزار Maze انجام می‌دهد از اعتبارنامه‌های پروتکل دسکتاپ از راه دور (RDP) دزدیده شده و برای نفوذ به شبکه استفاده کرده‌اند. حملات دیگر با به خطر انداختن سرور شبکه خصوصی مجازی (VPN) آغاز شده اند.

مطالب مرتبط: باج افزار چیست❗

Ryuk

Ryuk  باج افزاری است که با یک برنامه dropper توزیع شده و روی دستگاه قربانی مستقر می‌شود. سپس یک بد افزار را نصب می‌کند و راه ارتباط دائمی را با سرور فرمان و کنترل (C&C) باز می کند. “ویروس” Ryuk از طریق TrickBot وارد شبکه می‌شود. و این کار را از راه‌های مختلفی انجام می‌دهد. ایمیل اسپم شده یکی از رایج‌ترین روش‌هایی است که از آن استفاده می‌کند. همچنین از طریق بات‌نت Emotet که از قبل وجود داشت، پخش می‌شود، که از ایمیل‌های مخرب – به‌ویژه، پیوست‌های ایمیل و سند word برای آلوده کردن رایانه‌ها استفاده می‌کند.

Stop/Djvu

باج‌ افزار Stop/Djvu بدون اغراق بدترین چیزی است که کاربر در فضای مجازی انتظارش را دارد. نه تنها باجگیر‌ها اغلب مبالغ هنگفتی را درخواست می‌کنند، بلکه حتی پس از پرداخت باج، فقط گاهی اوقات امکان رمزگشایی صحیح این فایل ها وجود دارد و در بسیاری از موارد گزارش شده هیچ گونه رمزگشایی صورت نگرفته است.

نکته‌ های امنیتی مربوط به فضاهای ذخیره‌سازی

برای مقابله با هر یک از انواع باج افزارها، نکات زیر به ارائه بخش مهمی از اقداماتی که تیم های ذخیره سازی داده محور می توانند برای محافظت از کسب و کارها در برابر تهاجم انواع ویروس باج افزار پرخطر را انجام دهند، ارائه می دهد.

مجوزهای فایل ناامن را شناسایی و اصلاح کنید

کاربران باید اطلاعات و داده‌های خود را به درستی بشناسند تا از آنها محافظت کنند. مخصوصا این نکته را  باید بدانند که کسب و کارشان چه داده‌هایی را ذخیره می‌کند و دسترسی آنها در اختیار چه کسانی است. برای شروع، تجزیه و تحلیل مجوزهای فایل میتواند گزینه مناسبی باشد. تجزیه و تحلیل مجوزهای فایل این قابلیت را به مدیران می‌دهد که توانایی رصد کردن کاربرانی را داشته باشند که داده‌های آن‌ها در اختیارشان است و میتوانند بررسی کنند که چه کاری را می‌توانند انجام دهند. و بعد از آن شروع به سخت‌گیری در مورد اعطای مجوزهایی کنند که آنچنان ضروری نیستند.

آن‌ها باید سوء استفاده از مجوزهایی که توسط کاربرانی که در حال خواندن، تغییر یا حذف داده‌هایی هستند که جزئی از کارشان نیست را پیگیری کنند و آن‌ها را لغو کنند. مثلا، یک توسعه‌دهنده برنامه‌های کاربردی را در نظر داشته باشید که اطلاعات شرکت را در سیستم تغییر می‌دهد. با این حال، درک عمیق در مورد مجوزهای فایل در صورتی کامل است که ماهیت داده‌های که در دسترس هست را نیز بشناسیم. به همین جهت، به ابزارهایی نیاز است که بتوانند تجزیه و تحلیل مجوز فایل‌ها را با اطلاعات متنی، مانند انواع داده در دسته‌های مختلف، حساسیت، مالکیت و مکان ذخیره‌سازی را قدرتمند کنند.

الگوهای استفاده از داده‌ها ثبت و سپس نظارت شوند

علاوه بر نکات گفته شده، تمام فعالیت‌های صورت گرفته توسط کاربر باید برای نظارت و تجزیه و تحلیل ثبت شود. این امر در صورت هجوم بسیار کاربردی خواهد بود، چرا که این گزارش‌های ثبت شده حاوی اطلاعاتی است که در ارزیابی هجوم و پس از آن انجام اقدامات اصلاحی بسیار میتواند کمک کننده باشد.

آنها همچنین جزئیات را برای کمک به  تعیین علت اصلی حمله در آینده ارائه می دهند. با این وجود میتوان به اجرای اقدامات پیشگیرانه پرداخت.

حمله گونه های باج افزار دارای چنین نشانه‌هایی است:  

• خواندن، نوشتن، یا حذف تمام فعالیت‌ها بصورت گروهی
• رمزگذاری‌ها به شکلی غیرطبیعی افزایش پیدا کند
• کاربران در ساعات غیر عادی به سیستم‌ها دسترسی داشته باشند
• از یک موقعیت زمانی- مکانی که مورد انتظار نیست یک دستگاه دسترسی به داده‌ها و یا سیستم را داشته باشد.

نه تنها باید بر فعالیت کاربر نظارت داشت، بلکه باید رفتار سیستم را نیز در نظر گرفت و کنترل کرد. این کار کمک می‌کند که در زمان حمله سیگنال های دیگر شناسایی شوند.

رمزگذاری داده‌ها در حالت پرواز

برای جلوگیری از نفوذ، بهترین راه رمزگذاری داده‌ها است؛ چرا که دسترسی را عملا از مهاجمان میگیرد و داده‌ها بی فایده می‌شوند. اما این تنها در صورتی امکان پذیر است که مهاجمان نتوانند کلیدهای رمزنگاری شما را به دست بیاورند. این نکته نیز قابل بازگویی است که اطلاعات پشتیبانی که شمار در اختیار دارید به همان اندازه برای مهاجمان نیز سودمند است. به همین خاطر باید داده‌ها را در زمان استراحت یا حالت پرواز در محیط پشتیبان و در زمانی که مشغول به پشتیبانی از داده‌های خود هستید به فرآیند رمزگذاری بپردازید. همچنین برای جلوگیری از افتادن کلید‌های شما به دست مهاجمان یا سایبری‌ها باید از بهترین روش‌های مدیریت کلیدها استفاده کرد.

در نهایت، باید توجه داشت که رمزگذاری نمی‌تواند به صورت تمام و کمال باج افزار رمزنگاری را متوقف کند، زیرا سایبری‌ها می توانند حتی شکل رمزگذاری شده داده‌ها را رمزگذاری کنند. و این معنی را می‌دهد که در صورتی که این اتفاق بیوفتد باید برای رمزگشایی هر دو کلید خو و مهاجم را داشته باشید.

نسخه پشتیبان دیتاهای خود را تهیه کنید

این نکته حائز اهمیت است که داشتن یک استراتژی پشیبانی برای حفاظت در مقابل حمله‌ی احتمالی crypto بسیار مهم و حیاتی است. اصل پشتیبان گیری1-2-3 باید مورد استفاده قرار گیرد که به شرح زیر است:

• حداقل باید در سه نسخه داده‌ها را ذخیره کنید
• برای کاهش حداکثری خطر، حداقل از دو فضای مختلف محیط برای ذخیره سازی استفاده کنید.
• برای داده‌های خود در یکی از فضاهای خارج از سایت نسخه پشتیبان تهیه کنید—و به این صورت به‌طور مؤثری از سیستم فعال و مورد استفاده‌تان جدا می‌شود

برای به حداکثر رساندن محافظت در برابر باج‌افزار، تهیه کردن “نسخه‌های پشتیبان غیرقابل تغییر” نیز مفید است. این نسخه‌ها را هیچ کس نمی‌تواند تا پایان یک دوره قفل مشخص اصلاح، رمزگذاری یا حذف کند، حتی کسانی که  امتیاز سرپرستی را دارند. همچنین باید اطمینان حاصل کرد که پشتیبان‌گیری‌های شما واقعاً درست انجام گرفته‌اند و کار می‌کنند، به همین خاطر نباید فراموش کنید که به طور منظم آن‌ها را آزمایش کنید.

سوالات رایج

رایج ترین انواع باج افزار کدام است؟

رایج‌ترین نوع حمله ویروس باج افزار، باج افزار “کریپتو(crypto)” است. این نوع از حملات به دلیل تاثیر در قفل کردن و غیر دسترس کردن کاربران از داده ها و سیستم‌ها، توسط باج گیرها استفاده می‌شود. این باج افزار، قسمتی یا تمامی از داده‌های کاربر را با کدی مخرب رمزگذاری می‌کند، دسترسی کاربران را قفل می‌کند و سیستم را تا زمان دریافت باج  بی‌استفاده می‌کند. بدیهی است که چرا به این نوع باج‌افزار اغلب «ربایش داده»  می‌گویند.

تهدید کننده ترین حمله انواع باج افزار کدام است؟

از بین تمامی انواع حمله ویروس باج‌افزار، باج‌افزار رمزنگاری(crypto) مؤثرترین روش در قفل کردن و باج گیری از کاربران است و از بسیاری جهات این ویژگی، آن را به تهدیدکننده‌ترین ویروس باج گیر تبدیل می‌کند. Exfiltration یکی دیگر از جدی‌ترین تهدیدات است، زیرا علاوه بر اینکه داده‌ها را قفل و برای باج نگه میدارد، همچنین احتمال دارد آن دسته از داده‌های حساس را به صورت عمومی نیز انتشار کند، که این کار علاوه بر ضرر تجاری، بر اعتبار شرکت نیز ضرر و زیان وارد کند.

باج افزارهای پراستفاده کدام اند ؟

در حالی که باج افزارهای مختلفی وجود دارند، اما چهار مورد از پرکاربردترین آن‌ها عبارتند از: باج افزار رمزنگاری (crypto)، نفوذپذیری یا نشت افزار (exfiltration or leakware)، قفل صفحه(screen lockers) و ابزار ترسناک(scareware). از میان اینها، باج‌افزارهای رمزنگاری‌شده و نفوذپذیری مهم‌ترین تهدیدها را ایجاد می‌کنند، زیرا عملا داده‌های شما را به باج میگیرند، مگر اینکه مالک باج درخواستی را پرداخت کند و یا توانایی محافظت درمقابل باج‌افزار را داشته باشد.

سخن پایانی…

انواع باج افزار ها به گونه‌های مختلفی حمله می‌کنند و در شکل و شمایل متفاوتی دیده می‌شوند. مسیر و جهت حمله یک عامل مهم برای انواع باج افزارها است. برای تخمین اندازه و وسعت حمله، باید همیشه در نظر داشت که چه چیزی‌هایی  در خطر هستند و یا چه داده هایی می توانند نابود شوند یا انتشار یابند. صرف نظر از نوع باج افزار مهاجم، پشتیبان گیری از داده ها از قبل و به صورت منظم و همچنین استفاده صحیح  از نرم افزارهای امنیتی می تواند شدت حمله را به طور چشمگیری کاهش دهد.

این مقاله برگرفته از مقالات زیر است…

• Ransomware Types: 5 Common Types of Ransomware Attack
• Ransomware Attacks and Types – How Encryption Trojans Differ

شما در حال کلیک کردن هستید اما فایل‌های مورد نظر قفل است و باز نمی‌شود! بله درست است شما احتمالا با ویروس باج‌افزار ( Ransomware) روبه‌رو شده‌اید. بگذارید ساده‌تر بگویم؛ شما تا دیروز مالک چیزی بوده‌اید اما شخصی می‌آید و آن را از شما می‌گیرد و در ازای آن از شما باج می‌خواهد.

این روزها ویروس باج افزار به کابوس کسب و کارها تبدیل شده و این نگرانی بی‌مورد نیست، چرا که انواع باج افزار با دیتاها که مهمترین دارایی هر سازمان محسوب می‌شوند سروکار دارند و ممکن است هر لحظه تمام این دارایی را از شما بگیرد و شرکت را وارد بحران کند.

برای شناخت ویروس باجگیر، راه‌های پیشگیری از نفوذ آن، شیوه‌ی فعالیت آن، روش حذف باج افزار، انواع مخرب آن و … در ادامه مقاله با ما همراه باشید.

باج افزار چیست؟

باج‌ افزار (ransomware) یا ویروس باجگیر نوعی از بد‌‌افزارها هستند که کارشان حمله به سیستم‌های مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری داده‌های” او می‌شوند و برای اجازه‌ی دسترسی دوباره باج می‌خواهند. مهاجم‌ها با ارسال ایمیل یا پیام‌های مختلف از جمله پاپ‌‌آپ، کاربران را ترغیب میکنند که روی لینک خاص ارسال شده کلیک کنند. سپس از این طریق به سیستم کاربر نفوذ کرده، شروع به اخاذی و باج گرفتن از کاربر و یا سواستفاده‌های دیگر می‌کنند.

مهاجم‌ها معمولا با توجه به بزرگی شرکت، اهمیت اطلاعات و توان پرداخت کاربران، مبالغ متفاوتی را برای بازپس دادن اطلاعات و یا در اختیار گذاشتن رمز‌های اعمال‌شده بر روی فایل‌های سیستم کاربر درخواست می‌کنند؛ به گونه‌ای که حتی درخواست‌های پرداخت چندین هزار دلاری مشاهده شده است.

تاریخچه‌ی باج‌افزار‌ها:

برای شناخت دقیق یک مفهوم یا یک مسئله بنظرم اولین کاری که باید کرد رجوع به گذشته و تاریخچه آن است؛ که دراینجا سعی داریم مختصری از تاریخچه باج افزار را خدمت شما ارائه دهیم.

با وجود اینکه باج‌ گیرها در پنج سال گذشته به طور دائمی در سرفصل خبرها بوده‌ است، اما این ایده دزدی فایل‌های کاربران و رمزگذاریشان، اجازه ندادن دسترسی به سیستم و… و سپس درخواست باج برای بازگرداندن آن‌ها بسیار قدیمی است.

اواخر دهه 90 میلادی بود که مجرمان در ازای دریافت پول که از طریق خدمات پستی فرستاده می‌شد، پرونده‌های رمزگذاری شده را گروگان می‌گرفتند. از جمله اولین حملات باج افزاری که ثبت شده است، ویروس باج گیر ایدز بود که از طریق فلاپی دیسک در سال 1989 منتشر شد. کاربران باید 189 دلار را به یک P.O ارسال می‌کردند.

مطالب مرتبط: مروری کلی بر تاریخچه باج‌افزار

اما در قرن جدید و در شروع سال 2004 خانواده‌های پیچیده‌تری از بدافزارها شروع به فعالیت کردند. معروفترین آنها GpCode بود که از طریق کمپین‌های malspam انتشار یافتند و پرداخت‌های خود را از طریق کارت‌های هدیه‌ای همچون Ukash  از قربانیان می‌خواستند.

و اما در حوالی سال 2011 نوع جدیدی از ransomware به اسم Reveton که معروف به “باج گیر پلیس” بود پدید آمد. این ویروس باج گیر برخلاف سایر انواع ransomware رمزگذاری می‌کرد. در ابتدا صفحه نمایش را قفل و سپس هشداری تهدیدآمیز را نشان میداد؛ به گونه‌ای که قربانیان فکر می‌کردند این هشدار را پلیس ارسال کرده است. این اخطارها به زبان‌های مختلف بومی‌سازی شده و با استفاده از آرم‌های پلیس باعث گمراهی قربانیان و واقعی جلوه دادن هشدار برای آنان می‌شد.

ویروس باج افزار به چه طریقی کار می کنند؟

ویروس باج افزار از طریق “رمزگذاری نامتقارن” فعالیت دارند. این نوع رمزنگاری از یک جفت کلید برای رمزگذاری و رمزگشایی یک فایل استفاده می‌کند. مهاجم کلید مخصوص رمزگشایی را تنها زمانی در اختیار قربانی قرار می‌دهد که او باج را پرداخت کرده است، و بدون دسترسی به این کلید، رمزگشایی فایل‌هایی به سرقت برده شده تقریبا غیرممکن است.

ویروس باجگیر ( Ransomware) انواع مختلفی دارند. اغلب این ویروس‌ها(و سایر بدافزارها) از طریق کمپین‌های اسپم ایمیل یا از طریق حملات هدفمند گسترش می‌یابند. بدافزار برای ثابت کردن خود در نقطه‌ی پایانی به یک بردار برای حمله نیازمند است. و پس از اینکه استقرار یافت، تا زمانی که وظیفه‌اش تمام نشود، روی سیستم باقی خواهد ماند.

پس از رمزگذاری فایل‌ها، 24 تا 48 ساعت به کاربر وقت می‌دهد که برای رمزگشایی فایل‌ها باج را پرداخت کند که در غیر این صورت همه‌ی اطلاعات از بین خواهد رفت. اگر پشتیبان‌گیری داده‌ها رمزگذاری شده باشد و یا کلا در دسترس نباشند کاربر با پرداخت باج برای ریکاوری فایل‌های شخصی مواجه است.

باج افزار چگونه به سیستم نفوذ می‌کند؟

ویروس باجگیر(ransomware) با ظاهری موجه و قابل اعتماد شروع می‌کنند که بتوانند اعتماد افراد را بدست بیاورند. آن‌ها به این صورت عمل می‌کنند که از طریق ارسال ایمیل، پیامک، وب سایت، فایل‌های آلوده و… در سیستم مورد نظر نفوذ کرده و از طریق یک الگوریتم رمزنگاری، بخش‌های مختلف سیستم‌های هدف را رمزگزاری می‌کنند.

آیا می‌توان عاملان باج‌افزار را شناسایی کرد؟

عاملان به‌دلیل استفاده از رمزپایه‌های ناشناس برای پرداخت مثل بیت کویین، ردیابی مجرمان و پیدا کردن آنان را سخت و دشوار کرده است.

و در حال حاظر به طور کاملا رو به رشدی گروه‌های سایبری در حال ساختن بد افزارهای مختلفی برای کسب سود هستند. به طور معمول باجگیرهای پیشرفته، به صورت چند شکلی هستند که باعث میشود سایبری‌ها خیلی راحت امنیت مبتنی بر امضاهای سنتی را دور بزنند.

راهکارهای حفاظتی و پیشگیرانه در مقابل باج گیرها:

• ایمیل‌های اسپم شده و لینک‌های درون آن را باز نکنیم
• بر روی لینک‌های تخریب‌کننده کلیک نکنیم
• فایل‌های سایت‌های نامعتبر را باز نکنیم
• به ایمیل‌هایی که درخواست اطلاعات شخصی(نام کاربری، پسورد و..) پاسخ ندهیم
• آنتی‌ویروس‌های به روزی داشته باشیم
• به طور منظم و در زمان‌های مقرر پشتیبان‌گیری داشته باشیم
• پیوست ایمیل‌های مشکوک و نامعتبر را باز نکنیم
• خودداری از کلیک بر روی تبلیغات ناشناس

در مقاله مقابله با باج افزار 6 نکته مهم به تفصیل بحث شده است.

زمانی که مورد حمله ویروس باج گیر قرار گرفتیم چه کارهایی انجام دهیم؟

1. ویندوز را به حالت safe mode قرار دهید
2. ضد بدافزار مطمعنی را بر روی سیستم خود نصب کنید
3. شروع به اسکن سیستم برای یافتن باج افزار کنید
4. در آخر سیستم خود را به حالت اولیه بازگردانید.

نکته ی مهم و قابل توجه!

پس از انجام این مراحل ما فقط توانسته‌ایم ویروس باج گیر را حذف کنیم و این کار باعث رمزگشایی مجدد فایل‌های ما نمی‌شود.

11  نوع از بهترین نرم افزارهای ضد باج گیر: ابزارهای حذف باج افزار

1. Zscaler: بهترین ضد باج گیر برای سندباکس های درون خطی.
   • ویژگی ها:
     •   بازرسی نامحدود SSL
     •      روشن بودن دائمی حفاظت
     •      غیرممکن کردن حرکات جانبی
2. Comodo AEP: بهترین ضد باج افزار برای استقرار آسان.
   • ویژگی‌ها:
     •      بدون توقف
     •      توانایی بازیابی فایل
     •      ابزاری برای پشتیبان گیری داخلی
3. HitmanPro.Alert: بهترین ضدباج‌افزار برای محافظت از برنامه های آسیب پذیر.
   • ویژگی ها:
     •    با استفاده از این نرم‌افزار میتوان  بدافزارها را فریب دهید
     •   میتوان موارد خصوصی را خصوصی نگه داشت
     •    و از برنامه های آسیب پذیر محافظت کرد
4. BitDefender Antivirus Plus: بهترین ضدباج‌افزار برای محافظت چند لایه.
   • ویژگی‌ها:
     •      حفاظت در زمان های واقعی
     •      VPN ایمن برای حفظ کامل از حریم خصوصی آنلاین
     •     جلوگیری از فیشینگ و کلاهبرداری آنلاین
5. Acronis Ransomware Protection: بهترین ضدباج‌افزار برای بازیابی فایل های آسیب دیده.
   • ویژگی ها:
     •      حفاظت فعال به‌صورت پیشرفته
     •      اسکن آنتی ویروس بر مبنای درخواست
     •      محافظت در زمان واقعی
6. Malwarebytes Anti-Ransomware: بهترین ضدباج‌افزارها برای معاملات آنلاین
   • ویژگی ها:
     •      در عرض چند دقیقه اجرا میشود
     •      اطلاعات دقیق تهدید را بدست می‌آورد
     •      بازگشت 72 ساعته باج افزار
7. ZoneAlarm Anti-Ransomware: بهترین ضدباج‌افزارها برای خرید آنلاین
   • ویژگی‌ها:
     •      با تمامی آنتی‌ویروس ها سازگار است
     •      محافظت از فیشینگ در زمان واقعی
     •    بازیابی فایل های رمزگذاری شده به صورت خودکار
8. Webroot SecureAnywhere: بهترین ضدباج‌افزارها برای مصارف خانگی
   • ویژگی‌ها:
     •      طراحی تمیز و مدرن
     •     سرویس هوشمند BrightCloud Cloud
9. VMware Carbon Black: بهترین ضدباج‌افزارها برای استفاده شرکتی
   • ویژگی‌ها:
     •      جلوگیری از گسترش باج افزار
     •     محافظت در برابر تهدیدات جدید و نوظهور
     •      کنترل قدرتمند برنامه
10. Trend Micro Ransom Buster: بهترین ضدباج‌افزارها برای ایمن نگه داشتن فایل‌های شما.
    • ویژگی‌ها:
      • محافظ سبک و در عین حال قدرتمند
      • استفاده‌ی آسان
      • بروزرسانی‌های خودکار
11. AVG: بهترین ضدباج‌افزارها برای تشخیص باج افزاری همیشه فعال.
    • ویژگی‌ها:
      •      به طور دائم به روز می شود
      •      نوآوری دائمی
      •      حفاظت جامع و کامل

8 نمونه از مخرب‌ترین باج‌افزارها را بشناسیم:

• باج افزار GandCrab (گند کرب): یکی از خطرناکترین باج‌افزارهای موجود است که از طریق تهدید انتشار کردن عکس ها و فیلم های خصوصی کاربران از آنها شروع به باج گیری میکند
• باج افزار Thanos(تانوس): تانوس در سال ۲۰۲۰ کشف شده و. در حال حاضر یکی از خطرناک ترین انواع ransomware موجود است و می‌تواند خیلی از اقدامات ضد باجگیری را دور بزند.
• باج افزار Petya(پتیا): این ها از طریق ایمیل‌های مزاحم که ظاهرا شامل درخواست‌های استخدام هستند نفود می‌کنند
• باج افزار Locky(لاکی): شیوه‌ی نفوذ این ویروس باج گیر از طریق فایل‌ها با پسوند doc است. این ویروس باج افزار از قابلیت نصب ماکرو در word بهره میبرد. از شما می‌خواهد تنظیمات امنیتی word خود را عوض کنید.
• باج افزار Crypto (رمزنگاری): یکی از انواع باج افزار آسیب‌زا و مضر است که برای باج گیری شروع به رمزگذاری فایل‌های ذخیره شده رایانه یا موبایل می‌کند.
• باج افزار Bucbi: این باج افزار از حمله به سرویس ریموت دسکتاپ (RDP)  استفاده میکند.
• باج افزار seven: آغاز کار این باج افزار در سال 2016 بود. این باج افزار دسترسی به سیستم را با نمایش یک پنجره‌ی تمام صفحه‌ی مسدود میکند. شیوه ی رمزگذاری این ویروس باج گیر مشخص نیست و راهکار رایگانی برای رمزگشایی آن وجود ندارد.
• Shark: این ransomware این امکان را به باج‌گیران می‌دهد که تنها با چند کلید ساده و با حداقل دانش فنی شروع به ایجاد باج‌افزار دلخواه خود کنند.

مطالب تکمیلی مرتبط: اصلی ترین پسوندهای باج افزار برای تشخیص نوع باج افزار

کلام پایانی…

در این مقاله سعی بر این بود که انواع باج افزار(ransomware)، طریقه مقابله با باج افزار نوع فعالیتشان، تاریخچه آن‌ها، ضد باج گیرها و روش‌های مقابله با آن‌ها را به شما معرفی کنیم تا علاوه بر شناخت کلی آن‌ها، در زمان وقوع حمله مهاجمان اقدامات ضروری را به عمل آورید.

البته این نکته در اینجا قابل بازگویی است که شما با اعتماد به تیم اورژانس باج افزار (ransomware115) می‌توانید به حذف باج افزار با هزینه‌ی خیلی پایین‌تر بپردازید.

باج‌افزارها (Ransomwares) در چه ابعادی برای کاربران سیستم‌های رایانه‌ای مشکل ایجاد می‌کنند؟ بر اساس گزارش مجله‌ی Cybercrime  که در ۱۳ نوامبر ۲۰۲۰ منتشر شد که به گونه‌ای می‌توان گفت که تاریخچه باج‌ افزار را بررسی کرده است ، برآورد می‌شود که هر ۱۱ ثانیه یک حمله‌ی باج‌ افزاری اتفاق می‌افتد؛ به عبارتی ۳ میلیون حمله در سال! به این آمار دقت کنید؛ منظور در اینجا تعداد فایل‌های رمزگذاری شده و یا متأثر از این حملات نیست. صحبت از ۳ میلیون مورد حمله به سازمان‌های مختلف است.

تهدیدی که ۳۰ سال از آغاز شکل‌گیری‌اش می‌گذرد

اکثر سازمان‌هایی که از حملات ویروس‌های باج‌گیر آسیب دیده‌اند خسارات قابل توجهی را بر کسب‌وکار خود تجربه کرده‌اند که به کاهش درآمد، آسیب به جایگاه برند، تعدیل پیش‌بینی‌نشده‌ی نیروی کار و یا حتی تعطیلی کل کسب‌وکار انجامیده است.

از ابتدای سال ۲۰۲۱ تا پایان نوامبر همان سال تعداد ۲۰۰ حمله‌ی باج‌افزاری تیترهای خبری را به خود اختصاص دادند‌؛ البته این‌ها تنها حملاتی هستند که به طور رسمی تایید شده‌اند. در ادامه به سیر تاریخچه باج‌ افزار در ۳۰ سال اخیر می‌پردازیم.

1989: اولین حمله در تاریخچه باج‌افزار

در دسامبر ۱۹۸۹، ژوزف پاپ (Joseph Popp)، زیست‌شناس تکاملی دانش‌آموخته‌ی دانشگاه هاروارد، ۲۰ هزار فلاپی‌دیسک آلوده به یک ویروس کامپیوتری را برای شرکت‌کنندگان در همایش اِیدز سازمان بهداشت جهانی در استکهلم فرستاد.

این ویروس پس از اتصال به رایانه‌ها مسیرهای فایل‌ها را پنهان و اسم فایل‌ها را قفل می‌کرد. سپس به کاربران اطلاع می‌داد که برای دسترسی به فایل‌هایشان باید ۱۸۹ دلار به یک صندوق پستی واقع در پاناما ارسال کنند.

در زمان کوتاهی بعد از این حادثه، دکتر پاپ، که در تاریخچه باج‌ افزار به پدر باج‌افزار معروف است، در خانه‌ی پدری خود در اوهایوی آمریکاه دستگیر و به  انگلستان تحویل داده شد. در آنجا او با ۱۰ مورد اتهام باج گیری و همچنین تخریب اموال از طریق توزیع Ransomware مواجه بود؛ بدافزاری که امروزه به ‌تروجانِ ایدز (AIDS Trojan) معروف است.

حمله‌ی نوع دیگری از باج‌افزارهای قفل‌کننده (Locker) در سال 2007

حدود ۲۰ سال بعد از حمله‌ی تروجان ایدز، شکل دیگری از ویروس‌های قفل‌کننده (Locker) پا به عرصه‌ی ظهورگذاشتند که در تاریخچه باج‌ افزار نامش به ثبت رسید. اولین نسخه این باج‌افزار که به کاربران روسی هجوم برده بود، عملکردهای اولیه‌ی دستگاه رایانه مانند کیبورد و موس را از کار انداخته بود. سپس همزمان با نمایش تصاویر پورنوگرافیک، از کاربر می‌خواست تا با تماس با یک شماره‌ی تلفن پریمیوم (شماره‌هایی که جهت ارائه‌ی سرویس خاصی ایجاد شده‌اند و هزینه‌ی تماس با آنها بیشتر از حالت معمولی است) و یا فرستادن پیامک نسبت به پرداخت مبلغ درخواستی اقدام نماید.

CryptoLocker اولین باج‌افزار رمزگذار در تاریخ باج‌ افزار در سال 2013

در سال ۲۰۱۳ وبلاگ خبری Naked Security اطلاعاتی از یک تهدید باج‌افزاری به دست آورد که در پوشه‌ی Documents and Settings ویندوز نصب و همچنین به ریجستری اضافه می‌شد. بعد از اتصال به یکی از سرورهای فرمان و کنترل (C&C: Command and Control) که تحت کدنویسی استاتیک یا سخت (hard-coding) کار می‌کردند، این Ransomware که کریپتولاکر (CryptoLocker) نام دارد، فایلی را برای شناسایی قربانی آپلود می‌کرد که سرور از این طریق به تولید یک زوج کلید عمومی-اختصاصی بپردازد.

قبل از نمایش پیام باج‌خواهی، از کلید عمومی برای رمزگذاری فایل‌های قربانی استفاده می‌شد. پیام حاوی فرصتی ۷۲ ساعته برای اخاذی ۳۰۰ دلار بود؛ که البته در برابر اخاذی‌های بدافزارهای امروزی که به ده‌ها میلیون دلار می‌رسد قطره‌ای از دریا هم به حساب نمی‌آید.

بعد از ۲۰۱۳ حملات کریپتولاکر وسیع‌تر شد. بر اساس تحقیقات دانشگاه ایالتی کینیسا (Kennesaw State University)، پلیس اف‌بی‌آی آمریکا مبلغ اخاذی شده به کریپتولاکر تا پایان سال ۲۰۱۵ را ۲۷ میلیون دلار برآورد کرده است.

مطالب مرتبط: برای حذف باج افزار و بازیابی اطلاعات کلیک کنید.

طعمه‌های بزرگ برای باج گیران در سال 2018

با آغاز سال ۲۰۱۸، اف‌بی‌آی متوجه شد که حملات باج‌گیرانه‌ای که قربانیان خاصی را هدف قرار نمی‌دادند در حال کاهش‌اند. تحلیل‌گران این سازمان دریافتند که مسیر حملات باج‌افزاری برای هدف قرار دادن سازمان‌های بزرگ، به‌ویژه دولت‌های ایالتی، واحدهای خدمات بهداشتی، شرکت‌های صنعتی و سازمان‌های ترابری هموار شده است. به گزارش وبسایت Ars Technica که در ۷ اکتبر ۲۰۱۹ منتشر شد، بسیاری از گروه‌های باج‌افزاری به شکارهای بزرگ پرداخته‌اند تا از این طریق بتوانند مبالغ بیشتری را اخاذی کنند.

بنا بر مطلبی از Cybereason که در ابتدای همین متن بدان اشاره، بعضی از اثراتی که این حملات می‌توانند بر سازمان‌ها بگذارند عبارتند از:

• کاهش درآمد کسب و کار؛ ۶۶ درصد سازمان‌ها کاهش چشمگیری را در سطح درآمد خود گزارش کرده‌اند.
• آسیب به شهرت برند (Brand Reputation)؛ ۵۳ درصد سازمان‌ها گزارش داده‌اند که شهرت نشان تجاریشان در اثر حملات باج‌افزاری موثر آسیب دیده است.
• از دست دادن مدیران سطح C؛ ۳۲ درصد سازمان‌ها از دست دادن مدیران سطح C خود را گزارش داده‌اند.
• تعدیل نیروی انسانی؛ ۲۹ درصد گزارش کرده‌اند که به سبب فشار مالی ناشی از حملات Ransomwareها مجبور به تعدیل نیرو شده‌اند.

۲۰۱۹: باج‌افزار Maze و ابداع اخاذی مضاعف

اواخر نوامبر ۲۰۱۹، وبسایت Bleeping Computer پیامی را از یک ایمیل شناخته‌شده که توسط دارودسته‌ی طراح باج‌افزار ماز (Maze) استفاده می‌شد دریافت کرد. پیام حاوی خبر موفقیت این گروه در رخنه به یک شرکت خدمات حفاظتی و سرقت اطلاعات از این شرکت بود؛ اطلاعاتی که به صورت متنی بوده و هنوز رمزگذاری نشده بودند. برای اثبات این مدعا، این بزه‌کاران نمونه‌ای از فایل‌های سرقتی را نیز ضمیمه‌ی ایمیل کردند و سپس ۲۰۰ مگابایت از این اطلاعات را در فضای آنلاین نشت دادند.

طی چند ماه بعد، سایر گروه‌های باج‌افزاری نیز از این تکنیک اخاذی مضاعف (multiple extortion) استقبال کردند. نتیجه این بود که این گروه‌ها دست بالا را بر سازمان‌هایی پیدا کردند که از استراتژی‌های پشتیبانی داده (Data Backup Strategies) استفاده می‌کردند. این گروه‌های تبه‌کاری می‌دانستند که قربانیانشان از نسخه‌های پشتیبان داده‌های خود برای  بازیابی سیستم‌های مورد حمله استفاده می‌کنند اما قادر به بازگرداندن داده‌های دزدیده شده نیستند. بنابراین سارقین در کنار اخاذی برای بازکردن رمز‌هایی که خودشان روی داده‌ها گذاشته بودند مبلغ مضاعفی را هم برای از بین نبردن داده‌های سرقتی و یا منتشر نکردنشان طلب می‌کردند.

ظهور عملیات باج‌افزاری سازماندهی‌ شده‌ – RansomOps

امروزه حملات باج‌افزاری تنها محدود به بدافزارهایی نیست که به صورت خودکار داده‌های قربانیان را به گروگان می‌گرفتند. در عوض مجموعه‌های پیچیده از عملیات وجود دارند که توسط اشخاص هدایت شده و سازوکاری شبیه به تهدیدات پیشرفته‌ی مداوم (APT: Advanced Persistent Threat) دارند. این مدل از حملات RansomOps نام دارند که می‌توان معادل خدمات باج‌افزاری را برایشان به کار برد.

قفل‌بازکن‌های سایبری (IAB: Initial Access Brokers) با نفوذ در یک شبکه و گذر از دیوارهای امنیتی و اپراتورهای باج‌افزار به عنوان سرویس (RaaS: Ransomware-as-a-Service) با فرآهم آوردن زیرساخت‌ها برای همدستانی که مجری حمله‌ی سایبری هستند در این مجموعه‌های عملیاتی با هم همکاری می‌کنند. این میزان از سازش در یک RansomOps امکان طلب مبالغ به مراتب گزاف‌تری را برای این مجرمان فرآهم می‌کند. تکنیک‌های RansomOps معمولا موارد اخاذی مضاعف  که پیش‌تر به آن اشاره شد را نیز شامل می‌شوند.

بعضی از گروه‌های باج‌افزاری پا را از این نیز فراتر گذاشته‌اند. بر اساس گزارش وبسایت Bleeping Computer که در اواسط سپتامبر 2021 منتشر شد، دارودسته‌ی باج‌افزاری گریف (Grief) قربانیان را تهدید کرده‌اند که در صورت به‌کارگیری شخص یا اشخاصی برای مذاکره به هدف کاهش مبلغ درخواستی، کلید رمزگشایی داده‌های رمزگذاری‌شده را از بین‌ می‌برند. این تهدید بعد از آن صورت گرفت که، بر اساس گزارش وبسایت Threatpost، دار و دسته‌ی راگنار لاکر (Ragnar Locker) قربانی را تهدید کرده بودند که در صورت اطلاع دادن به اف‌بی‌آی و یا مقامات ایالتی داده‌های به سرقت رفته را منتشر می‌کنند.

سخن آخر…

آنچه که گفته شد مروری بر تاریخچه باج‌ افزار و روش‌های استفاده از آن‌ها توسط تبهکاران سایبری بود. [این سیر تحولی به ما نشان داد که امروزه RansomOps بیشترین میزان از حملات باج‌افزاری را دارد و تیم امنیت سایبری، باید آمادگی برای مقابله با این حملات را از اولویت‌های اصلی خود قرار دهد.] باید توجه داشته باشیم که در فاز پایانی یک حمله‌ی RansomOps است که باج‌افزار اجرا می‌شود؛ بنابراین مدت‌ها قبل از اجرای Ransomware می توان فعالیت‌های مقدماتی تیم حمله کننده را شناسایی کرد تا از ورود خسارات جدی جلوگیری شود.

راه حل غلبه بر حملات باج‌افزاری در به حداقل رساندن فاصله‌ی زمانی بین نفوذ اولیه به فضای داده‌ای و لحظه‌ای است که تیم امنیت سایبری شما این نفوذ را تشخیص می‌دهد و خنثی می‌کند.

برگرفته از مقاله: A Brief History of Ransomware Evolution