انواع باج افزار: 5 نوع از مرسوم ترین شکل حملات باج افزارها| چند نکته مهم برای تیم‌های IT

این روزها باج افزار ransomware مهمترین دغدغه‌ی “امنیت سایبری” برای شرکت‌ها شده است؛ چرا که میتواند تاثیرات بسیار مخربی را ایجاد کند. از جمله مهمترین این آسیب‌ها، از دست رفتن داده‌ها، بالابودن هزینه‌های بازیابی و همچنین آسیب به شهرت کسب و کارها است.  در این راستا اگر بدانید با چه باج افزاری روبه رو هستید و بتوانید به تشخیص باج افزار بپردازید شاید تا حد خیلی زیادی بشود با استفاده از برنامه‌های مختلف به محافظت از کسب و کارتان در مقابل حملات آن‌ها بپردازید. اما سوال اصلی اینجاست که با این افزایش چشمگیر حملات سایبری، چگونه میتوان از اطلاعات ارزشمند خود محافظت کرده و یا به حذف باج افزار بپردازیم؟ در این پست سعی داریم برخی از مهمترین انواع باج افزار که امروزه نسبت به شکل‌های دیگر آن استفاده می‌شنوند را بررسی کنیم. همچنین بزرگترین حملات باج افزاری را نیز به اختصار توضیح می‌دهیم.

_{اورژانس باج افزار گروهی از متشکل از متخصصان امینت سایبری در کنار شماست تا بتوانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و اقدام به از بین بردن باج افزار کنید} ❗❗❗

اصلی ترین انواع باج افزار کدام است؟

باج افزار به اشکال مختلفی عرضه می شود که همه آنها دارای چندین ویژگی مشترک هستند. انواع مختلفی از باج افزار وجود دارد؛ اما میتوان گفت که همه‌ آن‌ها دارای ویژگی‌های زیر هستند:

• اول اینکه همه آنها انگیزه مالی دارند(که میتوان اصلی ترین ویژگیشان دانست)
• دوم حامل نوعی تهدید برای سیستم‌های IT هستند.
• و سوم اینکه پیامی اخطار دهنده را بر روی سیستم قربانی نشان میدهند که از آن‌ها باج میخواهد. اما تفاوت اصلی و متمایز کننده انواع باج افزار ها به خاطر نحوه‌ی حمله آنها و تکنیکی است که به کار میبردند. با بررسی نمونه‌های زیر دقیقا متوجه میشوید که منظورمان از تکنیک چه است.

❗❗❗ برای شناخت پسوندهای باج افزارکلیک کنید

باج افزارCrypto  (رمزنگاری)

باج افزار کریپتو(رمزنگاری) یکی از مهمترین باج افزارهای موجود است. یک روش برای حمله موثر سایبری‌ها محسوب می‌شود که بسیار سودآور نیز است. این گونه باج افزار به “رمزگذاری داده‌ها“ می‌پردازد و آن‌ها را غیرقابل خواندن می‌کند. سپس برای رمزگشایی و ارائه کد از قربانی باج می‌خواهد. توسعه دهندگان این نوع از انواع باج افزار اغلب یک “شماره معکوس” را در صفحه قربانی اضافه می‌کنند و این اخطار را نمایش می‌دهند:” اگر تا انتهای شمارش معکوس باج پرداخت نشود همه فایل‌های رمزگذاری شده حذف خواهد شد“. و در نتیجه، بسیاری هستند که برای برگرداندن داده‌های خود حاظر به پرداخت باج هستند.

 باج افزار Exfiltration

باج افزار Exfiltration که یکی از مهمترین انواع باج افزار است به عنوان doxware یا leakware نیز شناخته می‌شود، با دزدیدن اطلاعات و داده‌های قربانی او را تهدید به نشر عمومی آن‌ها می‌کند. این مورد علاوه بر اینکه به کسب و کار و شهرت قربانیان آسیب می‌رساند، همچنین منجر به جریمه شدن توسط مراجع قضایی در نقض مقررات حفاظت نیز میشود. مهاجمان اغلب داده‌هایی را رمزگذاری می‌کنند که مرتبط با یکدیگر هستند و به این دلیل میتوانند فشار را برای پرداخت باج چندین برابر کنند.

باج افزار DDoS

برخلاف باج‌افزارهای رمزنگاری‌شده و نفوذ کننده، حملات باج‌افزار (DDoS) به خدمات شبکه است و کاری به اطلاعات و داده‌های کاربر ندارد. آنها برای متوقف کردن سرورهای کاربر شروع به “درخواست‌های اتصال جعلی” میکنند تا با ایجاد ترافیک کاذب، سایت مورد نظر را درگیر کنند. با این کار تمام منابع سرورها صرفا درگیر این درخواست‌ها می‌شوند و این امر باعث می‌شود کاربران اصلی برای اتصال به سرور با مشکل روبه رو شوند.  پس از انجام این حملات با نمایش یک یادداشت، کاربر را به پرداخت باج برای اتمام حمله ترغیب می‌کند. اما DDoS از آن نوع حملاتی هستند که گاهی اوقات مهاجمان چه با پرداخت باج و چه عدم پرداخت آن، دست از حمله بر می‌دارند. یک حمله باج‌افزار DDoS به شدت نیازمند منابع است. بنابراین یک هکر ممکن است برای حفظ آن برای مدت طولانی تلاش کند. علاوه بر این، باج افزار DDoS خطری برای داده‌های واقعی شما ایجاد نمی کند.

باج افزار Scareware یا ترس افزار

این بدافزار از روشی به اسم” تاکتیک‌های مهندسی اجتماعی” استفاده می‌کند. این روش به این معناست که کاربر را فریب می‌دهد که با مشکلی مانند بدافزارها مواجه است و او را ترغیب میکند که مثلا برای حل این مشکل نیاز به خریداری و نصب فلان نرم افزار را دارد. این هشدار به صورت “پاپ آپ” و اغلب موارد “لوگوی نرم افزار امنیتی قانونی” به نمایش گذاشته می‌شود و دستور خریداری نرم افزاری را می‌دهد؛ که ممکن است حاوی بدافزار باشد یا شروع به آسیب رساندن‌های حادتری بکند.

WannaCry

کار WannaCry رمزگذاری باج افزار است. از یک آسیب پذیری در “پروتکل SMB“ ویندوز سوء استفاده می‌کند و وارد می‌شود. WannaCry شروع به تکثیر کرده و از این طریق به آلوده کردن سیستم‌های دیگر نیز می‌پردازد. WannaCry یک برنامه مستقل است. این برنامه قابلیت این را دارد که فایل‌های حاوی کلیدهای رمزگذاری، برنامه های کاربردی رمزگذاری/رمزگشایی و “برنامه ارتباطی Tor” را استخراج کند. مهاجمان WannaCry را مبهم و پیچیده نمی‌کنند و به راحتی میتوان آن را شناسایی و سپس حذف کرد. بیشترین نرخ آلودگی آن در سال 2017 بوده است که  23000 دستگاه را در 150 کشور جهان تحت تأثیر قرار داد. و همچنین حدود 4 میلیارد دلار خسارت وارد کرد.

Cerber

Cerber یک باج افزار از دسته (RaaS)_باج افزار به عنوان سرویس_ است. Cerber زمانی که در حال اجرای رمزگذاری است، بدون شناسایی، فایل های رمزگذاری را اجرا کرده و از فعالیت آنتی ویروس‌ها تا حد ممکن جلوگیری می‌کند. بعد از آنکه که به طور درست فایل ها را روی دستگاه رمزگذاری کرد، یک یادداشت حامل درخواست باج را در پس زمینه دسکتاپ به نمایش می‌گذارد.

CryptoLocker

باج افزار در چند دهه گذشته به اشکال مختلف ظهور کرده است . در سال 2013، CryptoLocker، به شهرت رسید. فروشندگان و متخصصان فناوری اطلاعات، در می 2014 پس از اخاذی 3 میلیون دلار از قربانیان توسط مجرمان سایبری، بات نت اصلی CryptoLocker را کاملا از بین بردند. با این حال و با از بین رفتن CryptoLocker، کپی کردن آن توسط مجرمان به راحتی انجام می‌گیرد. اما این تغییرات با نسخه اصلی آن مرتبط نیست. تعداد CryptoLocker به حدی زیاد شده است که آن را حتی مترادف با باج افزار می‌دانند.

Locky

باج افزار Locky یا لاکی با به کارگیری بات نت Necurs شروع به توزیع ایمیل‌های فیشینگ کرد که حاوی دستورالعمل‌های مخرب بود. این عمل از طریق پیوست های Excel یا Word صورت می‌گرفت. نسخه Locky در سال 2016 مشخص شد که در جعبه ایمنی نیز قابل اجرا است و یک ماه بعد این بد افزار حتی قادر به رمزگذاری فایل‌ها به صورت آفلاین بود. Locky در سپتامبر 2017 در حمله‌ای فعال شد که در آن حدودا 23 میلیون پیام فیشینگ توسط مهاجمان در مدت 24 ساعت فرستاده شد.

باج افزار Maze

Maze یکی دیگر از انواع باج‌افزار است که از سال 2019 اثراتش دیده شده است. اولین بار یک گروه اصلی Maze را ایجاد کردند،اما چندی بعد برخی دیگر از مهاجمین از Maze برای اهداف باج گیری خود شروع به استفاده از آن کرده‌اند. بیشتر اپراتورهای Maze علاوه بر رمزگذاری، “داده‌هایی را که رمزگذاری می‌کنند را نیز کپی کرده” و همچنین تهدید به افشای آن‌ها می‌کنند و با اینکار فشار زیادی را برای پرداخت باج اعمال می‌کنند.

باج افزار Maze بیشتر از طریق پیوست‌های ایمیل مخرب توزیع می‌شد. اما در حملات اخیر از روش‌های دیگری برای به خطر انداختن شبکه استفاده می‌کنند. به عنوان مثال، بسیاری از حملاتی که  باج‌افزار Maze انجام می‌دهد از اعتبارنامه‌های پروتکل دسکتاپ از راه دور (RDP) دزدیده شده و برای نفوذ به شبکه استفاده کرده‌اند. حملات دیگر با به خطر انداختن سرور شبکه خصوصی مجازی (VPN) آغاز شده اند.

مطالب مرتبط: باج افزار چیست❗

Ryuk

Ryuk  باج افزاری است که با یک برنامه dropper توزیع شده و روی دستگاه قربانی مستقر می‌شود. سپس یک بد افزار را نصب می‌کند و راه ارتباط دائمی را با سرور فرمان و کنترل (C&C) باز می کند. “ویروس” Ryuk از طریق TrickBot وارد شبکه می‌شود. و این کار را از راه‌های مختلفی انجام می‌دهد. ایمیل اسپم شده یکی از رایج‌ترین روش‌هایی است که از آن استفاده می‌کند. همچنین از طریق بات‌نت Emotet که از قبل وجود داشت، پخش می‌شود، که از ایمیل‌های مخرب – به‌ویژه، پیوست‌های ایمیل و سند word برای آلوده کردن رایانه‌ها استفاده می‌کند.

Stop/Djvu

باج‌ افزار Stop/Djvu بدون اغراق بدترین چیزی است که کاربر در فضای مجازی انتظارش را دارد. نه تنها باجگیر‌ها اغلب مبالغ هنگفتی را درخواست می‌کنند، بلکه حتی پس از پرداخت باج، فقط گاهی اوقات امکان رمزگشایی صحیح این فایل ها وجود دارد و در بسیاری از موارد گزارش شده هیچ گونه رمزگشایی صورت نگرفته است.

نکته‌ های امنیتی مربوط به فضاهای ذخیره‌سازی

برای مقابله با هر یک از انواع باج افزارها، نکات زیر به ارائه بخش مهمی از اقداماتی که تیم های ذخیره سازی داده محور می توانند برای محافظت از کسب و کارها در برابر تهاجم انواع ویروس باج افزار پرخطر را انجام دهند، ارائه می دهد.

مجوزهای فایل ناامن را شناسایی و اصلاح کنید

کاربران باید اطلاعات و داده‌های خود را به درستی بشناسند تا از آنها محافظت کنند. مخصوصا این نکته را  باید بدانند که کسب و کارشان چه داده‌هایی را ذخیره می‌کند و دسترسی آنها در اختیار چه کسانی است. برای شروع، تجزیه و تحلیل مجوزهای فایل میتواند گزینه مناسبی باشد. تجزیه و تحلیل مجوزهای فایل این قابلیت را به مدیران می‌دهد که توانایی رصد کردن کاربرانی را داشته باشند که داده‌های آن‌ها در اختیارشان است و میتوانند بررسی کنند که چه کاری را می‌توانند انجام دهند. و بعد از آن شروع به سخت‌گیری در مورد اعطای مجوزهایی کنند که آنچنان ضروری نیستند.

آن‌ها باید سوء استفاده از مجوزهایی که توسط کاربرانی که در حال خواندن، تغییر یا حذف داده‌هایی هستند که جزئی از کارشان نیست را پیگیری کنند و آن‌ها را لغو کنند. مثلا، یک توسعه‌دهنده برنامه‌های کاربردی را در نظر داشته باشید که اطلاعات شرکت را در سیستم تغییر می‌دهد. با این حال، درک عمیق در مورد مجوزهای فایل در صورتی کامل است که ماهیت داده‌های که در دسترس هست را نیز بشناسیم. به همین جهت، به ابزارهایی نیاز است که بتوانند تجزیه و تحلیل مجوز فایل‌ها را با اطلاعات متنی، مانند انواع داده در دسته‌های مختلف، حساسیت، مالکیت و مکان ذخیره‌سازی را قدرتمند کنند.

الگوهای استفاده از داده‌ها ثبت و سپس نظارت شوند

علاوه بر نکات گفته شده، تمام فعالیت‌های صورت گرفته توسط کاربر باید برای نظارت و تجزیه و تحلیل ثبت شود. این امر در صورت هجوم بسیار کاربردی خواهد بود، چرا که این گزارش‌های ثبت شده حاوی اطلاعاتی است که در ارزیابی هجوم و پس از آن انجام اقدامات اصلاحی بسیار میتواند کمک کننده باشد.

آنها همچنین جزئیات را برای کمک به  تعیین علت اصلی حمله در آینده ارائه می دهند. با این وجود میتوان به اجرای اقدامات پیشگیرانه پرداخت.

حمله گونه های باج افزار دارای چنین نشانه‌هایی است:  

• خواندن، نوشتن، یا حذف تمام فعالیت‌ها بصورت گروهی
• رمزگذاری‌ها به شکلی غیرطبیعی افزایش پیدا کند
• کاربران در ساعات غیر عادی به سیستم‌ها دسترسی داشته باشند
• از یک موقعیت زمانی- مکانی که مورد انتظار نیست یک دستگاه دسترسی به داده‌ها و یا سیستم را داشته باشد.

نه تنها باید بر فعالیت کاربر نظارت داشت، بلکه باید رفتار سیستم را نیز در نظر گرفت و کنترل کرد. این کار کمک می‌کند که در زمان حمله سیگنال های دیگر شناسایی شوند.

رمزگذاری داده‌ها در حالت پرواز

برای جلوگیری از نفوذ، بهترین راه رمزگذاری داده‌ها است؛ چرا که دسترسی را عملا از مهاجمان میگیرد و داده‌ها بی فایده می‌شوند. اما این تنها در صورتی امکان پذیر است که مهاجمان نتوانند کلیدهای رمزنگاری شما را به دست بیاورند. این نکته نیز قابل بازگویی است که اطلاعات پشتیبانی که شمار در اختیار دارید به همان اندازه برای مهاجمان نیز سودمند است. به همین خاطر باید داده‌ها را در زمان استراحت یا حالت پرواز در محیط پشتیبان و در زمانی که مشغول به پشتیبانی از داده‌های خود هستید به فرآیند رمزگذاری بپردازید. همچنین برای جلوگیری از افتادن کلید‌های شما به دست مهاجمان یا سایبری‌ها باید از بهترین روش‌های مدیریت کلیدها استفاده کرد.

در نهایت، باید توجه داشت که رمزگذاری نمی‌تواند به صورت تمام و کمال باج افزار رمزنگاری را متوقف کند، زیرا سایبری‌ها می توانند حتی شکل رمزگذاری شده داده‌ها را رمزگذاری کنند. و این معنی را می‌دهد که در صورتی که این اتفاق بیوفتد باید برای رمزگشایی هر دو کلید خو و مهاجم را داشته باشید.

نسخه پشتیبان دیتاهای خود را تهیه کنید

این نکته حائز اهمیت است که داشتن یک استراتژی پشیبانی برای حفاظت در مقابل حمله‌ی احتمالی crypto بسیار مهم و حیاتی است. اصل پشتیبان گیری1-2-3 باید مورد استفاده قرار گیرد که به شرح زیر است:

• حداقل باید در سه نسخه داده‌ها را ذخیره کنید
• برای کاهش حداکثری خطر، حداقل از دو فضای مختلف محیط برای ذخیره سازی استفاده کنید.
• برای داده‌های خود در یکی از فضاهای خارج از سایت نسخه پشتیبان تهیه کنید—و به این صورت به‌طور مؤثری از سیستم فعال و مورد استفاده‌تان جدا می‌شود

برای به حداکثر رساندن محافظت در برابر باج‌افزار، تهیه کردن “نسخه‌های پشتیبان غیرقابل تغییر” نیز مفید است. این نسخه‌ها را هیچ کس نمی‌تواند تا پایان یک دوره قفل مشخص اصلاح، رمزگذاری یا حذف کند، حتی کسانی که  امتیاز سرپرستی را دارند. همچنین باید اطمینان حاصل کرد که پشتیبان‌گیری‌های شما واقعاً درست انجام گرفته‌اند و کار می‌کنند، به همین خاطر نباید فراموش کنید که به طور منظم آن‌ها را آزمایش کنید.

سوالات رایج

رایج ترین انواع باج افزار کدام است؟

رایج‌ترین نوع حمله ویروس باج افزار، باج افزار “کریپتو(crypto)” است. این نوع از حملات به دلیل تاثیر در قفل کردن و غیر دسترس کردن کاربران از داده ها و سیستم‌ها، توسط باج گیرها استفاده می‌شود. این باج افزار، قسمتی یا تمامی از داده‌های کاربر را با کدی مخرب رمزگذاری می‌کند، دسترسی کاربران را قفل می‌کند و سیستم را تا زمان دریافت باج  بی‌استفاده می‌کند. بدیهی است که چرا به این نوع باج‌افزار اغلب «ربایش داده»  می‌گویند.

تهدید کننده ترین حمله انواع باج افزار کدام است؟

از بین تمامی انواع حمله ویروس باج‌افزار، باج‌افزار رمزنگاری(crypto) مؤثرترین روش در قفل کردن و باج گیری از کاربران است و از بسیاری جهات این ویژگی، آن را به تهدیدکننده‌ترین ویروس باج گیر تبدیل می‌کند. Exfiltration یکی دیگر از جدی‌ترین تهدیدات است، زیرا علاوه بر اینکه داده‌ها را قفل و برای باج نگه میدارد، همچنین احتمال دارد آن دسته از داده‌های حساس را به صورت عمومی نیز انتشار کند، که این کار علاوه بر ضرر تجاری، بر اعتبار شرکت نیز ضرر و زیان وارد کند.

باج افزارهای پراستفاده کدام اند ؟

در حالی که باج افزارهای مختلفی وجود دارند، اما چهار مورد از پرکاربردترین آن‌ها عبارتند از: باج افزار رمزنگاری (crypto)، نفوذپذیری یا نشت افزار (exfiltration or leakware)، قفل صفحه(screen lockers) و ابزار ترسناک(scareware). از میان اینها، باج‌افزارهای رمزنگاری‌شده و نفوذپذیری مهم‌ترین تهدیدها را ایجاد می‌کنند، زیرا عملا داده‌های شما را به باج میگیرند، مگر اینکه مالک باج درخواستی را پرداخت کند و یا توانایی محافظت درمقابل باج‌افزار را داشته باشد.

سخن پایانی…

انواع باج افزار ها به گونه‌های مختلفی حمله می‌کنند و در شکل و شمایل متفاوتی دیده می‌شوند. مسیر و جهت حمله یک عامل مهم برای انواع باج افزارها است. برای تخمین اندازه و وسعت حمله، باید همیشه در نظر داشت که چه چیزی‌هایی  در خطر هستند و یا چه داده هایی می توانند نابود شوند یا انتشار یابند. صرف نظر از نوع باج افزار مهاجم، پشتیبان گیری از داده ها از قبل و به صورت منظم و همچنین استفاده صحیح  از نرم افزارهای امنیتی می تواند شدت حمله را به طور چشمگیری کاهش دهد.

این مقاله برگرفته از مقالات زیر است…

• Ransomware Types: 5 Common Types of Ransomware Attack
• Ransomware Attacks and Types – How Encryption Trojans Differ