این شما و این قصه‌ی دور و دراز باج افزار

اگر اخبار امنیت آی‌تی را دنبال می‌کنید احتمالاً در سال‌های اخیر در مورد باج‌افزارها زیاد شنیده‌اید. اصلاً شاید بدشانسی آورده و در طی این مدت قربانی آن نیز شده باشید. هیچ اغراق نیست اگر بگوییم  باج‌افزار خطرناک‌ترین بدافزار زمانه‌ی ما به حساب می‌آید. اما آیا هیچ می‌دانستید که چنین برنامه‌های آلوده‌ای بیش از سی سال است که قدمت دارند و محققین اواسط دهه 90 میلادی کلی از ویژگی‌های حملات مدرنِ دوران ما را پیش‌بینی کرده بودند؟ می‌خواهید بدانید چرا کریپتورها جای بلاکرها را گرفتند؟ بزرگ‌ترین باج تاریخ کدام بوده و همه اینها چه ربطی به AIDS دارد؟ در این مطلب رد و آثار سیر پیشرفت و تکامل بلاکرها، کریپتورها، وایپرها و سایر عاملین شرور باج‌افزار را در طول چند دهه‌ی اخیر مورد بررسی قرار خواهیم داد. در ادامه با ما همراه شوید تا قصه دور و دراز باج‌افزار را برایتان تعریف کنیم.

فرهنگ لغت باج‌افزار

واژه‌‌های زیر را اغلب در متن‌ها می‌بینید:

Cryptography- دانش جلوگیری بیگانه‌ها از خواندن اطلاعات محرمانه. رمزنگاری یکی از ابعاد کریپتوگرافی است.

Symmetric encryption- متود رمزنگاری داده که در آن یک کلید هم برای رمزگذاری و هم برای رمزگشایی اطلاعات مورد استفاده قرار می‌گیرد.

Asymmetric encryption- متود رمزگذاری داده که شامل کاربرد دو کلید می‌شود: یکی کلید عمومی برای رمزگذاری اطلاعات و دیگری کلید خصوصی برای رمزگشایی آن. دانستن کلید عمومی هیچ کمکی در راستای دسترسی به کلید دوم که خصوصی است نخواهد کرد.

RSA- یک الگوریتم رمزگذاری نامتقارن که کاربرد وسیعی دارد.

Ransomware- هر برنامه مخربی که قربانی را به دادن باج به مهاجم مجبور کند. باج‌افزار شامل بلاکرها، کریپتورها و وایپرهایی که البته در پوشش کریپتور هستند می‌شود.

Blocker- نوعی باج‌افزار که بلاک شدن کامپیوتر یا دستگاه موبایل را یا بلاک کرده و یا آن را شبیه‌سازی می‌کند. چنین بدافزاری معمولاً پیام مزاحمی را نشان می‌دهد که در آن روی همه پنجره‌ها پنجره‌ی درخواست پرداخت مبلغ است.

Cryptomalware (cryptor)- نوعی باج‌افزار که فایل‌های کاربر را رمزگذاری می‌کند تا نتوان از آن‌ها استفاده کرد.

Wiper- نوعی بدافزار که برای پاک کردن (از بین بردن) دستگاه قربانی طراحی شده است. برخی‌اوقات باج‌افزارهایی که شبیه‌سازیِ یک کریپتور هستند وایپر از آب درمی‌آیند و به فایل‌ها خسارات جبران‌ناپذیری می‌زنند. بنابراین حتی اگر باج هم پرداخت شود باز هم ریکاور کردن داده محال است.

RaaS (Ransomware-as-a-Service)- نقشه‌ی جنایتکارانه‌ای که بواسطه‌ی آن سازندگان بدافزار را به هر کسی که بخواهند منتشر می‌کنند. در واقع نوعی امتیازِ جرم سایبری است.

1989: نخستین حمله باج‌افزاری

دکتر جوزف ال پوپ، محقق بیولوژی اولین کریپتور شناخته‌شده را ساخت. پوپ از توجه جمعی به ویروس ایدرز در این راستا بهره برد. از این رو بدافزارش به تروجان AIDS معروف است. در آن روزها، اینترنت هنوز نوپا بود. پوپ از متود دلیوری اوریجینال (با استاندارد مدرن) استفاده کرد. او که فهرست‌های میلینگ مشترکین را در کنفرانس  WHO AIDS و مجله PC Business World در اختیار داشت برای قربانیان دیسک فلاپی با برچسبی که رویش نوشته شده بود AIDS Information Introductory Diskette به همراه دستورالعمل‌هایی با جزئیات برای نصب این برنامه ارسال کرد. توافقنامه مجوز گفته بود با نصب این برنامه کاربرها بر سر پرداخت 378 دلار به شرکت توافق کرده بودند. اما چه کسی اینجور چیزها را جدی می‌گیرد؟ در حقیقت اینستالر یا همان نصب‌کننده کارش تحولی بدافزار به هارددرایو بوده است. بعد از چند تعداد مشخص ریبوت سیستم، تروجان ایدز فعال شد و شروع کرد به رمزگذاری فایل نیم‌ها (شامل افزونه‌ها) روی درایو c کامپیوتر آلوده. نام‌ها به یک دسته کاراکتر رندوم تبدیل شدند و دیگر نمی‌شد به طور نرمال با فایل‌ها کار کنند. برای مثال برای باز کردن یا اجرای یک فایل اول نیاز بود بدانیم چه افزونه‌ای باید داشته باشد و همچنین باید آن را به طور دستی تغییر می‌دادیم.

در عین حال، بدافزار پیامی را روی نمایشگر نمایش داد که می‌گفت تعرفه نرم‌افزار تمام شده و کاربر می‌بایست هزینه اشتراک (189 دلار برای اشتراک ماهیانه) بپردازد و یا برای دسترسی نامحدود 378 دلار بدهد. قرار بود مبلغ وجه به اکانتی در پاناما انتقال داده شود. بدافزار از رمزگذاری متقارن استفاده کرد تا کلید ریکاوری فایل‌ها درست در کد موجود باشد. از این رو مشکل نشبتاً براحتی حل می‌شد: بازیابی کلید، پاک کردن بدافزار و استفاده از همان کلید برای بازیابی فایل نیم‌ها. تا ژانویه 1990 مشاور تحریریه تیم Virus Bulletin آقای جیم بیتس برای انجام همین کار دو برنامه با نام‌های AIDSOUT و CLEARAID ساخته بود. جوزف پاپ دستگیر شد اما دادگاه او را به لحاظ روانی متزلزل دید و برای همین او از دادرسی معاف شد. با این حال جوزف یک دهه بعد کتابی را تحت عنوان Popular Evolution: Life-Lessons from Anthropology منتشر کرد.

1995- 2004: یانگ و یونگ و بدافزار آینده

شاید چون تروجان ایدز در اغناسازی سازنده‌اش شکست خورد ایده‌ی رمزگذاری داده برای مقاصد باج چندان شوقی در دل اسکمرهای آن دوره ایجاد نکرد. اما این ذوق و شوق در سال 1995 باری دیگر به جان محافل دانشمندان افتاد. گریپتوگرافرها آدام ال یانگ و موتی یونگ برنامه چیدند تا متوجه شوند قدرتمندترین ویروس کامپیوتر چه شکلی خواهد بود. آن‌ها به مفهوم باج‌افزاری رسیدند که از رمزگذاری نامتقارن استفاده می‌کرد. به جای یک کلید که برای رمزگذاری فایل‌ها به کد برنامه افزوده می‌شد از کلید خصوصی متفاوتی هم برای جلوگیری از رمزگشایی آن استفاده می‌شد. علاوه بر اینها یانگ و یونگ اینطور فرضیه‌سازی کرده بودند که قربانی مجبور شود پول را به طور الکترونیک پرداخت کند- چیزی که آن زمان وجود خارجی نداشت. این دو پیامبر امیت سایبری نظرات و افکار خود را در کنفرانس  IEEE Security and Privacy سال 1996 مطرح کردند اما مورد اقبال قرار نگرفتند. سپس سال 2004 چاپ کتاب Malicious Cryptography: Exposing Cryptovirology را به خود دید که در آن یانگ و یونگ نتایج تحقیقات خود را در آن به طور نظام‌مندی ارائه داده بودند.

2007- 2010: سال‌های طلایی بلاکرها

گرچه در ظهور کریپتوبدافزارها تأخیر شد اما جهان شاهد خیزش نوعی دیگر از باج‌افزار شد: بلاکرها. این بدافزار که نوع مبتدی بود با افزودن خودش به روتین استارت‌آپ ویندوز عملکرد سیستم عامل را بهم می‌ریخت. افزون بر این برای دفع اثر محوسازی بسیاری از انواع آن ادیتور رجیستری و تسک منیجر را بلاک می‌کردند. این نوع بدافزار از روش‌های مختلفی برای ترغیب کاربران به استفاده از کامپیوترهای خود استفاده می‌کرد؛ برای مثال پنجره‌ای که برای تغییر تصویر پشت زمینه عوض نمی‌شد. یکی از متودهای پرداخت، ارسال متن به شماره پریمیوم بود. خنثی‌سازی بلاکرهای باج‌افزار معمولاً به برنامه آنتی‌ویروس نیازی نداشت اما در عوض مهارت خود کاربر و کاربلدی او بسیار مهم بود. برای حذف دستی این بدافزار برای مثال لازم بود که کاربر از  Live یا سی‌دی نجات برای بوت کردن سیستم استفاده کند، در حالت safe کامپیوتر را روشن کند و یا تحت پروفایل دیگری به ویندوز لاگین شود. با این حال سهولت در نوشتن چنین تروجان‌هایی تا حدی ریسک کار را پایین می‌آورد. عملاً هر کسی می‌توانست آن‌ها را توزیع کند؛ اصلاً حتی ژنراورهای اتوماتیک برای این کار وجود داشت. برخی اوقات این بدافزار یک بنر پورنوگرافیک روی دسکتاپ قرار می‌داد و ادعا می‌کرد قربانی این محتوای ممنوعه را دیده است (تاکتیکی که هنوز هم استفاده می‌شود). از آنجایی که قیمت باج قابل‌مدیریت بود خیلی‌ها ترجیح می‌دادند از کسی کمک نگیرند و صرفاً به باج دادن بسنده کنند.

2010: کریپتوربدافزار با رمزگذاری نامتقارن

در سال 2010 توسعه‌دهندگان کریپتوبدافزار همانطور که یانگ و یونگ پیش‌بینی کرده بودند شروع کردند به استفاده از رمزگذاری نامتقارن. برای مثال دستکاری کریپتور  GpCode بر اساس الگوریتم RSA بود.

2013: باج‌افزار کریپتولاکر ترکیبی

اواخر سال 2013 باج‌افزار ترکیبی ظهور پیدا کرد که کارش ترکیب بلاکر با کریپتوبدافزار بود. این مفهوم شانس مجرمان سایبری را در دریافت باج افزایش داد زیرا حتی از بین بردن بدافزار و بنابراین از میان بردن بلاک نیز باعث نمی‌شود دسترسی قربانی به فایل‌هایش ریستور شود. شاید شرورترین نوع این مدل‌ها ترکیبی کریپتولاکر باشد. این بدافزار در ایمیل‌های اسپم توزیع می‌شد و مجرمان سایبری پشت آن باج را در قالب بیت‌کوین قبول می‌کردند.

2015: کریپتورها به جای بلاکرها

در سال 2015 کسپرسکی شاهد افزایش تعداد اقدامات آلوده‌ی کریپتوبدافزارها شد؛ تعداد آن‌ها 5.5 برابر افزایش یافته بود. کریپتورها از این زمان به بعد جایگزین بلاکرها شدند. علت رواج کریپتورها هم زیاد بود. نخست اینکه داده‌های کاربری به طور قابل‌توجهی بیش از سیستم فایل‌ها و اپلیکیشن‌ها –که همیشه می‌توانند از نو نصب شوند- ارزش دارند. مجرمان سایبری با رمزگذاری می‌توانستند باج‌های بیشتری را طلب کنند و شانس بیشتری هم وجود داشت که قربانیان به باج دادن تن دهند. دوم اینکه در سال 2015 رمزارزها برای انتقال‌ پول‌های گمنام کاربرد وسیعی پیدا کردند؛ بدین‌ترتیب مهاجمین دیگر نگران این هم نبودند که مبادا ردیابی شوند. بیت‌کوین و سایر رمزارزها موجبات دریافت باج‌های گزاف را بدون هیچ ردیابی و رد و نشانی فراهم کردند.

2016: باج‌افزار انبوه

باج‌افزار به عنوان نیرویی در حوزه امنیت سایبری به رشد خود ادامه داد و در سال 2016 تعداد دستکاری‌های انواع باج‌افزار افزایش یافت. متوسط باج‌ها چیزی بین 0.5 تا صدها بیت‌کوین شد (که البته نسبت به الان ارزش مبلغ کمی است). تمرکز اصلی حملات از کاربران فردی به بخش سازمانی تغییر یافت؛ و خوب همین تغییر ذائقه به پیداش صنعت جدیدی در جرایم سایبری منجر شد. مجرمان سایبری دیگر مجبور نبودند خودشان بدافزار بسازند؛ آن‌ها می‌توانستند حاضر و آماده آن‌ها را بخرند. برای مثال باج‌افزار Stampado با لایسنس نامحدود برای فروش گذاشته شده بود. این بدافزار تهدید می‌کرد که اگر باج داده نشود –و برای ترساندن قربانی- فایل‌های رندومی را بعد از یک بازه زمانی مشخص‌شده پاک خواهد کرد. باج‌افزار همچنین تحت مدل RaaS نیز ارائه شد؛ واژه‌ای که همراه با پیدایش Encryptor RaaS ظهور پیدا کرد. این مدل به باج‌افزار کمک کرد تا بیشتر شیوع پیدا کند. اخاذان شروع کردند به هدف قرار دادن دولت و سازمان‌های شهری (همینطور کاربران و کسب و کارهای خانگی). نمونه‌اش HDDCryptor–که بیش از 2000 کامپیوتر آژانس حمل و نقل شهری سانفرانسیسکو را آلوده کرد. مجرمان سایبری 100 بیت‌کوین در ازای ریستور کردن سیستم‌ها خواسته بودند (این مبلغ آن زمان چیزی حدود 70 هزار دلار می‌شد)؛ اما دپارتمان آی‌تی این آژانس تصمیم گرفت خودش به تنهایی این مشکل را حل کند.

2019-2017: Petya، NotPetya و WannaCry

آوریل سال 2016، بدافزار جدیدی به نام Petya سر و کله‌اش پیدا شد. درحالیکه کریپتورهای قبلی سیستم عامل‌ها را دست‌نخورده باقی می‌گذاشتند تا قربانیان بتوانند باج را پرداخت کنند،  Petya تماماً ماشین‌های آلوده را دستکاری می‌کردند؛ این بدافزار MFT را مورد هدف قرار داد- پایگاه داده‌ای که کل ساختار فایل‌ها و فولدرها را روی هارد درایو ذخیره می‌کند. مکانیزم نفوذ و توزیع  Petya مثل همیشه سخت بود. برای فعالسازی آن، قربانی می‌بایست به طور دستی یک فایل قابل اجرا را دانلود و اجرا می‌کرد تا احتمال آلودگی کمتر شود. این بدافزار اما به پای واناکرای نمی‌رسد. ماه می 2017، WannaCry بیش از 500 هزار دستگاه را در سراسر جهان آلوده کرد و همین باعث خسارت 4 میلیارد دلاری شد. لابد می‌پرسید چطور ممکن است؟ با استفاده از اکسپلویت EternalBlue که از خطرناک‌ترین آسیب‌پذیری‌ها در ویندوز سوءاستفاده می‌کرد. این تروجان به شبکه‌های اینترنتی نفوذ کرده و  WannaCry را روی کامپیوترهای قربانیان نصب کرد. بدافزار سپس به انتشار دادن خود ادامه داد و خود را به همه دستگاه‌های روی شبکه خانگی تسری داد. واناکرای داخل سیستم‌های آلوده رفتار نرمالی داشت اما در عین حال فایل‌ها را رمزگذاری کرد و درخواست باج نمود. دو ماه نشده بود که واناکرای با کریپتور دیگری وارد عمل شد. نامش NotPetya بود (مدل دستکاری‌شده‌ی  EternalBlue) که به  ExPetr معروف است. NotPetya کل هارد درایوها را با ولع بلعید. افزون بر این  NotPetya فایل تیبل را طوری رمزگذاری کرد که حتی بعد از پرداخت باج هم بر پروسه‌ی رمزگشایی غالب و پیروز باشد. در نتیجه، متخصصین به این پی بردند که آن چیز در واقع کریپتور نبوده بلکه وایپری بوده در لباس کریپتور. کل خسارت واردشده ناشی از NotPetya بیش از 10 میلیارد دلار تخمین شده شده است. حمله واناکرای آنقدر مخرب بود که مایکروسافت پچ فوری برای سیستم عاملی که دیگر از آن پشتیبانی نمی‌کرد منتشر نمود. آپدیت‌های سیستم‌های پشتیبانی‌شده مدتی پیش از هر دو اپیدمی وجود داشتند اما هر کسی هم آن‌ها را نصب نکرده بود و همین به دو برنامه مذکور اجازه داد تا پای خود را از گلیم‌شان درازتر کنند.

2017: یک میلیون دلار برای رمزگشایی

علاوه بر خسارات بی‌سابقه‌، رکورد دیگری هم در سال 2017 ثبت شد: این رکورد متعلق است به باج بزرگ‌تری که تنها از یک سازمان واحد طلب شده بود. Nayana میزبان وب کره جنوبی به پرداخت باج 1 میلیون دلاری تن داد (تازه اولش مبلغ باج 4.5 برابر بیشتر بود و بعداً به این شرکت تخفیف داده شد). این باج در ازای آن‌بلاک کردن کامپیوترهایی بود که به کریپتور Erebus مبتلا شده بودند. آنچه جامعه متخصصین را بیش از همه غافلگیر کرده بود این بود که شرکت مذکور به طور عمومی پرداخت خود را اعلام کرد. بیشتر قربانیان ترجیح می‌دهند از چنین اتفاقی حرف نزنند.

2018-2019: تهدیدی برای جامعه

چند سال اخیر بیش از هر زمان دیگری شاهد حملات باج‌افزار بوده‌ایم؛ حملاتی بر نهادها و مؤسسات. حمل و نقل، آب، انرژی و مؤسسات مراقبت سلامت روز به روز بیشتر در معرض خطر و تهدید قرار می‌گیرند. مجرمان سایبری خوب می‌دانند بهترین باج‌ها در همین مؤسسات است چون هرقدر هم که مبلغ را بالا بگیرند باز به خاطر اینکه مسئله جان مردم و بیماران در میان است قربانی تسلیم می‌شود. برای مثال در سال 2018، یک حمله کریپتوبدافزار به فرودگاه بریستول در انگستان نمایشگرهای پرواز را دو روز تمام از کار انداخت. کارکنان مجبور شدند از تخته وایت‌بورد استفاده کنند البته خوشبختانه فرودگاه اعتبار گذاشت و خیلی سریع و مؤثر در مقابل این رخداد از خود واکنش نشان داد. تا آنجا اطلاعات در دست داریم هیچ پروازی کنسل نشد و هیچ باجی پرداخت نگردید. Hancock Health که یک کلینیک آمریکایی است بزدلانه رفتار کرد و 4 بیت‌کوین (55 هزار دلار به آن زمان) به عوامل باج‌افزار SamSam–که سیستم‌ها را درگیر کرده بود- باج داد. استیو لانگ مدیرعامل اجرایی در مورد تصمیم برای دادن باج توضیح داد و این گاف در اذهان ماند. این کلینیک هیچ وقتی برای ریستور کردن کامپیوترهایش نداشت؛ آن هم دست تنها. به طور کلی در سال 2019 بیش از 170 آژانس شهری در آمریکا قربانی این باج‌افزار شدند. مبلغ باج این بدافزار به 5 میلیون دلار هم رسیده بود. آپدیت سیستم عامل‌ها در چنین سازمان‌هایی کاری است بس دشوار؛ بنابراین مجرمان سایبری اغلب از اکسپلویت‌های قدیمی که خوب قابلیت دسترسی بیشتری دارند استفاده می‌کردند.

2020: افزایش مقیاس و تهدید به نشت داده

افزون بر افزایش مقیاس آلودگی و نیز پیامدها و مبالغ باج، سال 2020 همچنین برای رویکرد ترکیبی و جدید باج‌افزار معروف است که پیش از رمزگذاری داده آن را به اپراتورهای مجرمان سایبری ارسال می‌کند. بعدش هم تهدید به نشت داده و تحویل آن به دست رقبا و نشر آن اطلاعات. به دلیل حساسیت بسیار بالای اطلاعات شخصی که این روزها وجود دارد شاید این برای کسب و کارهای کنونی حکم مرگ و زندگی داشته باشد. استاد این تاکتیک ابتدا Maze بود (سال 2019) اما سال 2020 این به یک ترند تبدیل شد. گروه  Transform Hospital که زنجیره جراحی زیبایی است قربانی یکی از همین مشهورترین رخدادهای سال 2020 بود. گروه هکری REvil 900 گیگابایت از داده‌های   Transform را رمزگذاری کرده و دزدید؛ این اطلاعات شامل عکس‌های قبل و بعد از عمل بیماران می‌شد که مهاجمین تهدید به نشر آن‌ها کرده بودند. علاوه بر این، اپراتورهای کریپتوبدافزار در سال 2020 تاکتیک‌های جدیدی را نیز اتخاذ کردند. برای مثال، گروه  REvil اطلاعات سرقتی را به مزایده گذاشت. مجرمان سایبری همچنین در قالب سازمان‌های نوع کارتل نیز با هم متحد شدند. اولی  Maze بود که با استفاده از کریپتور LockBit  شروع کرد به پست کردن اطلاعات سرقتی. به نقل از مجرمان سایبری، آن‌ها هم‌اکنون دارند به دقت روی LockBit کار می‌کنند؛ این کار بستری فراهم می‌کند برای نشت و نیز اشتراک‌گذاری دانسته‌هایشان. همچنین ادعا دارند گروه معروف دیگری هم به زودی به این کارتل ملحق خواهد شد: نامش  RagnarLocker است؛ طلایه‌دار در سازماندهی حملات DDoS روی منابع قربانیان آن هم به عنوان اهرم فشار اضافی روی شرکت‌هایی که ازشان اخاذی می‌کنند.

نتیجه‌گیری

باج‌افزار در طی زیست سی ساله‌اش روند تکاملی تمام و کمالی داشته است: از یک سرگرمی بی‌ضرر به تهدید جدی برای کاربران در هر پلت‌فرمی تبدیل شده است (خصوصاً برای کسب و کارها). به منظور مصون ماندن از گزند این حملات ممطئن شوید قوانین امنیتی را رعایت می‌کنید و اگر هم اقدام هک موفق پیش رفت مهم است که از یک متخصص کمک گرفته و تسلیم اخاذان نشوید.