در طول پنج سال گذشته باجافزار بسیار تکامل یافته است. ابتدا تنها تهدیدی بود برای کامپیوترهای فردی و حالا میتواند شبکهی سازمانی را به خطر بیاندازد. مجرمان سایبری روش قدیمی خود را که آلوده کردن هرچه بیشتر کامپیوترها بود کنار گذاشته و سعی دارند در عوض قربانیان بزرگتری را مورد هدف خود قرار دهند. اجرای حملات روی سازمانهای تجاری و آژانسهای دولتی به برنامهریزی دقیق نیاز دارد؛ اما میتواند به طور بالقوه به دهها میلیون پاداش (به دلار) منتهی شود. گنگهای باجافزاری آسیبپذیریهای مالی شرکتها را –که از آسیبپذیریهای مالی کاربران معمولی بسی بیشتر است- اکسپلویت میکنند. افزون بر این، بسیاری از گروههای مدرن باجافزاری پیش از رمزگذاری اقدام به سرقت داده میکنند و این تهدید افشای اطلاعات را به عنوان اقدام بعدی نفوذ به پروژه اضافه میکند. چنین کاری برای شرکت آلوده همهجور خطری دارد: از خدشهدار شدن اعتبارش گرفته تا مشکلاتی در خصوص سهامداران و جریمههای نظارتی که گاهاً از مبلغ باجِ باجگیران هم بالاتر میزند.
طبق دادههای ما، سال 2016 سالی بود که در آن تنها در عرض چند ماه تعداد حملات سایبری باجافزار به سازمانها سه برابر شد. در ژانویه 2016 به طور متوسط هر دو دقیقه یکبار رخداد سایبری ثبت میکردیم و این درحالیست که تا اواخر سپتامبر این فاصله به هر 40 ثانیه یکبار تبدیل شد. از سال 2019 متخصصین کمپینهای یک سری باجافزار موسوم به شکارچی بازی بزرگ را مرتباً تحت نظارت خود قرار دادهاند. سایتهای شخصی اپراتورهای بدافزار آمار حمله را نمایش میدهند. ما از همین دادهها توانستیم رتبهبندی فعالترین گروههای جرایم سایبری را جمعآوری کنیم. در ادامه با ما همراه شوید تا شما را با 5 باجافزار خطرناک سال 2021 آشنا کنیم:
Maze (یا همان باجافزار ChaCha)
باجافزار Maze که اولین بار در سال 2019 شناسایی شد به سرعت به بالاترین درجهی بدافزاری خود رسید. از کل تعداد قربانیان، این باجافزار بیش از یکسوم را از آن خود کرده است. گروه پشت Maze جزو اولین گروههایی بودند که سرقت داده پیش از رمزگذاری را باب کردند. اگر قربانی از دادن باج خودداری میکرد مجرمان سایبری آنها را تهدید به انتشار فایلهای سرقتی میکردند. این تکنیک ثابت کرد که مؤثر است و سپس بسیاری از عملیاتهای باجافزاری آن را اتخاذ کردند (برای مثال REvil و DoppelPaymer که در ادامه بدانها پرداختهایم). مجرمان سایبری در اقدام نوآورانهی دیگری شروع کردند به گزارش حملات خود به رسانهها. اواخر سال 2019 گروه Maze به Bleeping Computer در مورد هک شرکت Allied Universal خبر داد که برای مدرک چندتایی هم فایل سرقتشده پیوست شده بود. این گروه در مکالمات ایمیلی خود با ادیتورهای وبسایت اینطور تهدید کرده بود که از سرورهای Allied Universal اسپم ارسال میکند و بعد دادههای سِرّی شرکت هکشده را روی تالار گفت وگوی Bleeping Computer منتشر کرد. حملات Maze تا سپتامبر 2020 هم ادامه داشت؛ درست وقتی که این گروه عملیاتهایش رو به تحلیل بودند. هرچند در همین فاصله زمانی که انرژی گروه داشت تحلیل مییافت چندین شرکت بینالمللی، بانکی دولتی در آمریکای لاتین و سیستم اطلاعاتی یکی از شهرهای آمریکا نیز آلوده شدند. در هر کدام از این پروندهها گروه Maze از قربانیان چند میلیون دلار باج خواسته بود.
Conti (یا همان باجافزار IOCP)
سر و کلهی Conti اواخر 2019 پیدا شد و در سال 2020 بسیار فعال بود: در حقیقت بیش از 13 درصد کل قربانیان باجافزار در این دوره به همین باجافزار اختصاص دارد. سازندگان آن هنوز هم فعالند. چیزی که در مورد حملات Conti جالب است این است که مجرمان سایبری به شرکت هدف میگویند اگر با دادن باج توافق کند بهشان در بخش امنیتی کمک میکنند!
«نحوهی بستن حفرههای امنیتی و نحوهی جلوگیری از چنین مشکلاتی در آینده را در ازای توافق شما برای پرداخت باج آموزش خواهیم داد به اضافه اینکه به شما نرمافزاری ویژه توصیه خواهیم کرد که کار هکرها را بسیار سخت میکند».
درست مانند Maze این باجافزار نه تنها رمزگذاری میکند که همچنین کپی فایلها را از سیستمهای هکشده به اپراتورهای باجافزار ارسال میکند. سپس مجرمان سایبری تهدید به افشای اطلاعات آن هم در فضای آنلاین میکنند؛ البته اگر قربانی به دادن باج راضی نشود. از مهمترین حملات Conti میشود به هک مدرسهای در آمریکا اشاره کرده که باجی 40 میلیون دلاری به همراه داشت. (این سازمان هم گفته بود شاید 500 هزار دلار باج را بدهد اما رقم 80 برابر آن را هرگز به مهاجمین نخواهد داد).
REvil (یا همان باجافزار Sodin/Sodinokibi)
اولین حملات باجافزار REvil ائایل 2019 در آسیا شناسایی شد. این بدافزار به دلیل شجاعت فنیای که داشت به سرعت توجه متخصصین را به خود جلب کرد (برای مثال استفادهاش از کارکردهای قانونی سیپییو برای دور زدن سیستمهای امنیتی). در کل آمار اینطور نشان داده شده است که قربانیان REvil یازده درصد بودهاند. این بدافزار تقریباً 20 بخش تجاری را آلوده کرده بود: به ترتیب بخش مهندسی و تولید (30%)، بخش مالی (14%)، بخش حرفهای و خدمات مشتری (9%)، بخش قانونی (7%) و بخش آیتی و مخابرات (7%).
آخرین بخش (همان بخش آیتی و مخابرات) بزرگترین حمله باجافزاری را در سال 2019 به خود دید؛ درست وقتی مجرمان سایبری چندین MSP را هک کردند و Sodinokibi بین همه مشتریان توزیع گشت. این گروه در حال حاضر رکورددار بزرگترین باجی است که تا به حال طلب شده: 50 میلیون دلار از شرکت ایسر در ماه مارس 2021.
Netwalker (یا همان باج افزار Mailto)
از کل تعداد قربانیان، Netwalker بیش از 10 درصد را به خود اختصاص میدهد. از جمله تارگتهای آن میشود به غولهای لاجیستیک، گروههای صنعتی، شرکتهای انرژی و سایر سازمانهای بزرگ اشاره کرد. تنها در عرض چند ماه در سال 200 مجرمان سایبری توانستند بیش از 25 میلیون دلار اخاذی کنند. سازندگان این باجافزار به نظر برای گسترش قدرت این بدافزار عزم خود را جزم کردهاند. بر اساس آمار Bleeping Computer، سهم توزیعکننده این بدافزار میتواند تا 70 درصدِ باج هم بالا برود. مجرمان سایبری برای آنکه نشان دهند نیتشان چیست اسکرینشاتهایی از انتقال پولهای کلان را منتشر کردند. آنها حتی وبسایتی را راهاندازی کردند تا به طور خودکار دادههای سرقتی را بعد از موعد نهایی باج منتشر کنند. ژانویه 2021 پلیس به منابع دارکوب Netwalker دسترسی پیدا کرد و شهروند کانادایی به نام سپاستین واشون دسجاردینز را که بیش از 27.6 میلیون دلار از فعالیت اخاذی خود به جیب زده بود متهم کرد. واشون دسجاردینز به پیدا کردن قربانیان، نقض اطلاعاتیشان و به کار گرفتن Netwalker در سیستمهای آنها متهم شد. و درست از همان لحظه تمام عملیاتهای Netwalker توسط نیروی اجرای قانون خنثی گشت.
باجافزار DoppelPaymer
آخرین شرور فهرست ما DoppelPaymer است. قربانیان این باجافزار 9 درصد کل آمار قربانیان را تشکیل میدهند. سازندگان آن در بدافزار دیگری هم نقش داشتند: نام آن Dridex بود –یک تروجان بانکی- و البته باجافزار دیگری به نام BitPayme (یا همان FriedEx) که دیگر فعالیت ندارد اما نسخهی اولیهی DopplePaymer بود. بنابراین تعداد کل قربانیان این گروه بسیار بسیار زیاد است. سازمانهای تجاری ضربهدیده از DoppelPaymer عبارتند از تولیدکنندگان وسایل برقی و خودرو و نیز یک شرکت بزرگ نفتی در آمریکای لاتین. DoppelPaymer اغلب سازمانهای دولتی را در سراسر جهان مورد هدف قرار میدهد؛ بعنوان مثال سازمان خدمات بهداشتی، اورژانس و خدمات آموزشی. این گروه همچنین بابت انتشار اطلاعات رأیدهندگان که از هالکانتری، جورجیا سرقت شده بود و 500 هزار دلاری که از دلاوِر پنسیلوانیا دریافت شده بود (هر دو در ایالات متحده آمریکا) حسابی رسانهای شد و سر وصدا کرد. حملات DoppelPaymer تا به امروز هم ادامه دارد. فوریه همین سال جاری، یک نهاد اروپایی اعلام کرد توسط همین گروه هک شده است.
متودهای حملهی هدفدار
هر حملهی هدفدار روی شرکتی بزرگ نتیجهی پروسهی طولانیایست از پیدا کردن آسیبپذیریها در زیرساخت برنامهریزی برای یک نقشه درست و حسابی و انتخاب ابزارها. سپس عملیات نفوذ درمیگیرد و پخش بدافزار در کل زیرساخت سازمانی شروع میشود. مجرمان سایبری برخیاوقات چندین ماه پیش از رمزگذاری فایل و صادر کردن اعلانیه طلب باج در شبکه سازمانی پنهان باقی میمانند. مسیرهای اصلی به زیرساخت از طرق زیر حاصل میشود:
کانکشنهای دسترسی ریموت که از امنیت ضعیفی برخوردارند
کانکشنهای آسیبپذیرِ پروتکل ریموت دسکتاپ آنچنان ابزار رایج برای تحویل بدافزار هستند که گروههای بازار سیاه برای اکسپلویت آنها خدمات ارائه میدهند. با دورکار شدن بسیاری از افراد در پی پاندمی ویروس کرونا تعداد این حملات بسیار افزایش یافت. این روش عملیاتی Ryuk، REvil و سایر کمپینهای باجافزاری است.
آسیبپذیریهایی در کارکرد سرور
حملات روی نرمافزار بخش سرور به مجرمان سایبری دسترسی به حساسترین دادهها را میدهد. نمونهی جدیدش همین ماه مارس بود وقتی باجافزار DearCry از طریق آسیبپذیری روز صفر در Microsoft Exchange حمله خود را پیش برد. نرمافزار بخش سروری که به حد کافی محافظت نشده باشد میتواند نقطهی ورودی باشد برای حملهای هدفدار. مسائل امنیتی همچنین میتوانند در سرورهای ویپیان که نمونههایی از آن را سال گذشته دیدیم ظاهر شوند.
دلیوری مبتنی بر باتنت
برای تضمین قربانیهای بیشتر و افزایش میزان سود، اپراتورهای باجافزار از باتنتها استفاده میکنند. عاملین شبکه زامبی، به مجرمان سایبری دسترسی بیشتری به دستگاههای دستکاریشده میدهند و آنها هم به طور خودکار میروند سراغ سیستمهای آسیبپذیر و دانلود باجافزار روی آنها. برای مثال Conti و DoppelPaymer درست به همین روش گسترش پیدا کردند.
حملات زنجیره تأمین
کمپین REvil بردار تهدید امسال را بخوبی نشان میدهد: این گروه یک ارائهدهنده MSP را دستکاری کرده و بعد باجافزار را میان شبکههای مشتریان آن پخش نموده است.
پیوستهای آلوده
ایمیلهای حاوی ماکروهای آلوده در داکیومنتهای ورد پیوستشده هنوز هم برای ارسال بدافزار گزینه محبوبی هستند. NetWalker یکی از 5 شرور برتر ما از پیوستهای آلوده برای گرفتار کردن قربانیان استفاده کرده بود- عاملین آن میلینگها را با موضوع کووید 19 ارسال کرده بودند.
راهکارهای امنیتی
– آموزش بهداشت دیجیتال به کارمندان. کارمندان میبایست بدانند فیشینگ چیست و هرگز لینکهای داخل ایمیلهای مشکوک را دنبال نکنند. آنها نباید از سایتهای مشکوک فایل دانلود نمایند. همچنین میبایست بدانند چطور میشود پسورد قوی و امن ساخت، به خاطر سپرد و از آن محافظت کرد. آموزش به کارمندان طی روندی منظم نه تنها ریسک رخداد را کم میکند بلکه همچنین آسیب رخدادی را که مهاجمین قصد دارند برای حملات بعدی پیاده کنند را نیز تخفیف میدهد.
– مرتباً همه سیستمعاملها و اپها را برای تضمین سطح بالای حفاظت آپدیت کنید تا مهاجمین نتوانند از آسیبپذیریهای شناختهشده سوءاستفاده کنند. حواستان باشد هم نرمافزارهای سمت کلاینت و هم نرمافزارهای سمت سرور را آپدیت نمایید.
– ممیزیهای امنیتی انجام دهید، امنیت تجهیزات را بررسی کرده و حواستان باشد کدام پورتها باز هستند و از اینترنت میشود بدانها دسترسی پیدا کرد. از کانکشن امنی برای دورکاری خود استفاده کنید و البته یادتان باشد حتی ویپیانها هم خود میتوانند آسیبپذیر باشند.
-از دادههای سازمانی خود بکآپ بگیرید. بکآپها نه تنها باعث میشوند خرابی کاهش یابد که حتی پروسه بازیابی کسب و کار نیز سریعتر انجام میگردد (در صورتیکه حمله باجافزاری در میان باشد).
– از راهکار امنیتی حرفهای استفاده کنید که تحلیل رفتاری انجام میدهد و فناوریهای ضدباجافزاری را پیادهسازی میکند.
– سیستم امنیت اطلاعاتی را به کار بگیرید که قادر باشد ناهنجاریهای داخل زیرساخت شبکه را شناسایی کند؛ برای مثال اقداماتی برای بررسی پورتها یا درخواستهایی برای دسترسی به سیستمهای غیراستاندارد. اگر در خانه متخصصی که بتواند شبکه را تحت نظارت قرار دهد ندارید از متخصصهای بیرون کمک بگیرید.