امنیت
موضوعات داغ

5 باج‌افزار خطرناکِ سال 2021

در طول پنج سال گذشته باج‌افزار بسیار تکامل یافته است. ابتدا تنها تهدیدی بود برای کامپیوترهای فردی و حالا می‌تواند شبکه‌ی سازمانی را به خطر بیاندازد. مجرمان سایبری روش قدیمی خود را که آلوده کردن هرچه بیشتر کامپیوترها بود کنار گذاشته و سعی دارند در عوض قربانیان بزرگ‌تری را مورد هدف خود قرار دهند. اجرای حملات روی سازمان‌های تجاری و آژانس‌های دولتی به برنامه‌ریزی دقیق نیاز دارد؛ اما می‌تواند به طور بالقوه به ده‌ها میلیون پاداش (به دلار) منتهی شود. گنگ‌های باج‌افزاری آسیب‌پذیری‌های مالی شرکت‌ها را –که از آسیب‌پذیری‌های مالی کاربران معمولی بسی بیشتر است- اکسپلویت می‌کنند. افزون بر این، بسیاری از گروه‌های مدرن باج‌افزاری پیش از رمزگذاری اقدام به سرقت داده می‌کنند و این تهدید افشای اطلاعات را به عنوان اقدام بعدی نفوذ به پروژه اضافه می‌کند. چنین کاری برای شرکت آلوده همه‌جور خطری دارد: از خدشه‌دار شدن اعتبارش گرفته تا مشکلاتی در خصوص سهامداران و جریمه‌های نظارتی که گاهاً از مبلغ باجِ باجگیران هم بالاتر می‌زند.

طبق داده‌های ما، سال 2016 سالی بود که در آن تنها در عرض چند ماه تعداد حملات سایبری باج‌افزار به سازمان‌ها سه برابر شد. در ژانویه 2016 به طور متوسط هر دو دقیقه یکبار رخداد سایبری ثبت می‌کردیم و این درحالیست که تا اواخر سپتامبر این فاصله به هر 40 ثانیه یکبار تبدیل شد. از سال 2019 متخصصین کمپین‌های یک سری باج‌افزار موسوم به شکارچی بازی بزرگ را مرتباً تحت نظارت خود قرار داده‌اند. سایت‌های شخصی اپراتورهای بدافزار آمار حمله را نمایش می‌دهند. ما از همین داده‌‌ها توانستیم رتبه‌بندی فعالترین گروه‌های جرایم سایبری را جمع‌آوری کنیم. در ادامه با ما همراه شوید تا شما را با 5 باج‌افزار خطرناک سال 2021 آشنا کنیم:

Maze (یا همان باج‌افزار ChaCha)

باج‌افزار Maze که اولین بار در سال 2019 شناسایی شد به سرعت به بالاترین درجه‌ی بدافزاری خود رسید. از کل تعداد قربانیان، این باج‌افزار بیش از یک‌سوم را از آن خود کرده است. گروه پشت Maze جزو اولین گروه‌هایی بودند که سرقت داده پیش از رمزگذاری را باب کردند. اگر قربانی از دادن باج خودداری می‌کرد مجرمان سایبری آن‌ها را تهدید به انتشار فایل‌های سرقتی می‌کردند. این تکنیک ثابت کرد که مؤثر است و سپس بسیاری از عملیات‌های باج‌افزاری آن را اتخاذ کردند (برای مثال REvil و DoppelPaymer که در ادامه بدان‌ها پرداخته‌ایم). مجرمان سایبری در اقدام نوآورانه‌ی دیگری شروع کردند به گزارش حملات خود به رسانه‌ها. اواخر سال 2019 گروه Maze به  Bleeping Computer در مورد هک شرکت Allied Universal خبر داد که برای مدرک چندتایی هم فایل سرقت‌شده پیوست شده بود. این گروه در مکالمات ایمیلی خود با ادیتورهای وبسایت اینطور تهدید کرده بود که از سرورهای  Allied Universal اسپم ارسال می‌کند و بعد داده‌های سِرّی شرکت هک‌شده را روی تالار گفت وگوی Bleeping Computer منتشر کرد. حملات Maze تا سپتامبر 2020 هم ادامه داشت؛ درست وقتی که این گروه عملیات‌هایش رو به تحلیل بودند. هرچند در همین فاصله زمانی که انرژی گروه داشت تحلیل می‌یافت چندین شرکت بین‌المللی، بانکی دولتی در آمریکای لاتین و سیستم اطلاعاتی یکی از شهرهای آمریکا نیز آلوده شدند. در هر کدام از این پرونده‌ها گروه Maze از قربانیان چند میلیون دلار باج خواسته بود.

Conti (یا همان باج‌افزار IOCP)

میزبان هاست راهکار جامع شبکه و وب

سر و کله‌ی Conti اواخر 2019 پیدا شد و در سال 2020 بسیار فعال بود: در حقیقت بیش از 13 درصد کل قربانیان باج‌افزار در این دوره به همین باج‌افزار اختصاص دارد. سازندگان آن هنوز هم فعالند. چیزی که در مورد حملات  Conti جالب است این است که مجرمان سایبری به شرکت هدف می‌گویند اگر با دادن باج توافق کند بهشان در بخش امنیتی کمک می‌کنند!

«نحوه‌ی بستن حفره‌های امنیتی و نحوه‌ی جلوگیری از چنین مشکلاتی در آینده را در ازای توافق شما برای پرداخت باج آموزش خواهیم داد به اضافه اینکه به شما نرم‌افزاری ویژه توصیه خواهیم کرد که کار هکرها را بسیار سخت می‌کند».

درست مانند Maze این باج‌افزار نه تنها رمزگذاری می‌کند که همچنین کپی فایل‌ها را از سیستم‌های هک‌شده به اپراتورهای باج‌افزار ارسال می‌کند. سپس مجرمان سایبری تهدید به افشای اطلاعات آن هم در فضای آنلاین می‌کنند؛ البته اگر قربانی به دادن باج راضی نشود. از مهمترین حملات Conti می‌شود به هک مدرسه‌ای در آمریکا اشاره کرده که باجی 40 میلیون دلاری به همراه داشت. (این سازمان هم گفته بود شاید 500 هزار دلار باج را بدهد اما رقم 80 برابر آن را هرگز به مهاجمین نخواهد داد).

 REvil (یا همان باج‌افزار Sodin/Sodinokibi)

اولین حملات باج‌افزار REvil ائایل 2019 در آسیا شناسایی شد. این بدافزار به دلیل شجاعت فنی‌ای که داشت به سرعت توجه متخصصین را به خود جلب کرد (برای مثال استفاده‌اش از کارکردهای قانونی سی‌پی‌یو برای دور زدن سیستم‌های امنیتی). در کل آمار اینطور نشان داده شده است که قربانیان  REvil  یازده درصد بوده‌اند. این بدافزار تقریباً 20 بخش تجاری را آلوده کرده بود: به ترتیب بخش مهندسی و تولید (30%)، بخش مالی (14%)، بخش حرفه‌ای و خدمات مشتری (9%)، بخش قانونی (7%) و بخش آی‌تی و مخابرات (7%).

سرورهای مجازی میزبان هاست

آخرین بخش (همان بخش آی‌تی و مخابرات) بزرگ‌ترین حمله باج‌افزاری را در سال 2019 به خود دید؛ درست وقتی مجرمان سایبری چندین MSP را هک کردند و Sodinokibi بین همه مشتریان توزیع گشت. این گروه در حال حاضر رکورددار بزرگ‌ترین باجی است که تا به حال طلب شده: 50 میلیون دلار از شرکت ایسر در ماه مارس 2021.

Netwalker (یا همان باج افزار Mailto)

از کل تعداد قربانیان، Netwalker بیش از 10 درصد را به خود اختصاص می‌دهد. از جمله تارگت‌های آن می‌شود به غول‌های لاجیستیک، گروه‌های صنعتی، شرکت‌های انرژی و سایر سازمان‌های بزرگ اشاره کرد. تنها در عرض چند ماه در سال 200 مجرمان سایبری توانستند بیش از 25 میلیون دلار اخاذی کنند. سازندگان این باج‌افزار به نظر برای گسترش قدرت این بدافزار عزم خود را جزم کرده‌اند. بر اساس آمار Bleeping Computer، سهم توزیع‌کننده این بدافزار می‌تواند تا 70 درصدِ باج هم بالا برود. مجرمان سایبری برای آنکه نشان دهند نیت‌شان چیست اسکرین‌شات‌هایی از انتقال پول‌های کلان را منتشر کردند. آن‌ها حتی وبسایتی را راه‌اندازی کردند تا به طور خودکار داده‌های سرقتی را بعد از موعد نهایی باج منتشر کنند. ژانویه 2021 پلیس به منابع دارک‌وب Netwalker دسترسی پیدا کرد و شهروند کانادایی به نام سپاستین واشون دسجاردینز را که بیش از 27.6 میلیون دلار از فعالیت اخاذی خود به جیب زده بود متهم کرد. واشون دسجاردینز به پیدا کردن قربانیان، نقض اطلاعاتی‌شان و به کار گرفتن  Netwalker در سیستم‌های آن‌ها متهم شد. و درست از همان لحظه تمام عملیات‌های Netwalker توسط نیروی اجرای قانون خنثی گشت.

باج‌افزار DoppelPaymer

آخرین شرور فهرست ما DoppelPaymer است. قربانیان این باج‌افزار 9 درصد کل آمار قربانیان را تشکیل می‌دهند. سازندگان آن در بدافزار دیگری هم نقش داشتند: نام آن Dridex بود –یک تروجان بانکی- و البته باج‌افزار دیگری به نام BitPayme (یا همان FriedEx) که دیگر فعالیت ندارد اما نسخه‌ی اولیه‌ی DopplePaymer بود. بنابراین تعداد کل قربانیان این گروه بسیار بسیار زیاد است. سازمان‌های تجاری ضربه‌دیده از DoppelPaymer عبارتند از تولیدکنندگان وسایل برقی و خودرو و نیز یک شرکت بزرگ نفتی در آمریکای لاتین. DoppelPaymer اغلب سازمان‌های دولتی را در سراسر جهان مورد هدف قرار می‌دهد؛ بعنوان مثال سازمان خدمات بهداشتی، اورژانس و خدمات آموزشی. این گروه همچنین بابت انتشار اطلاعات رأی‌دهندگان که از هال‌کانتری، جورجیا سرقت شده بود و 500 هزار دلاری که از دلاوِر پنسیلوانیا دریافت شده بود (هر دو در ایالات متحده آمریکا) حسابی رسانه‌ای شد و سر وصدا کرد. حملات DoppelPaymer تا به امروز هم ادامه دارد. فوریه همین سال جاری، یک نهاد اروپایی اعلام کرد توسط همین گروه هک شده است.
متودهای حمله‌ی هدف‌دار

اپلیکیشن میزبان هاست

هر حمله‌ی هدف‌دار روی شرکتی بزرگ نتیجه‌ی پروسه‌ی طولانی‌ایست از پیدا کردن آسیب‌پذیری‌ها در زیرساخت برنامه‌ریزی برای یک نقشه درست و حسابی و انتخاب ابزارها. سپس عملیات نفوذ درمی‌گیرد و پخش بدافزار در کل زیرساخت سازمانی شروع می‌شود. مجرمان سایبری برخی‌اوقات چندین ماه پیش از رمزگذاری فایل و صادر کردن اعلانیه طلب باج در شبکه‌ سازمانی پنهان باقی می‌مانند. مسیرهای اصلی به زیرساخت از طرق زیر حاصل می‌شود:

کانکشن‌های دسترسی ریموت که از امنیت ضعیفی برخوردارند
کانکشن‌های آسیب‌پذیرِ پروتکل ریموت دسکتاپ آنچنان ابزار رایج برای تحویل بدافزار هستند که گروه‌های بازار سیاه برای اکسپلویت آن‌ها خدمات ارائه می‌دهند. با دورکار شدن بسیاری از افراد در پی پاندمی ویروس کرونا تعداد این حملات بسیار افزایش یافت. این روش عملیاتی Ryuk، REvil و سایر کمپین‌های باج‌افزاری است.
آسیب‌پذیری‌هایی در کارکرد سرور
حملات روی نرم‌افزار بخش سرور به مجرمان سایبری دسترسی به حساس‌ترین داده‌ها را می‌دهد. نمونه‌ی جدیدش همین ماه مارس بود وقتی باج‌افزار DearCry از طریق آسیب‌پذیری روز صفر در Microsoft Exchange حمله خود را پیش برد. نرم‌افزار بخش سروری که به حد کافی محافظت نشده باشد می‌تواند نقطه‌ی ورودی باشد برای حمله‌ای هدف‌دار. مسائل امنیتی همچنین می‌توانند در سرورهای وی‌پی‌ان که نمونه‌هایی از آن را سال گذشته دیدیم ظاهر شوند.
دلیوری مبتنی بر بات‌نت
برای تضمین قربانی‌های بیشتر و افزایش میزان سود، اپراتورهای باج‌افزار از بات‌نت‌ها استفاده می‌کنند. عاملین شبکه زامبی، به مجرمان سایبری دسترسی بیشتری به دستگاه‌های دستکاری‌شده می‌دهند و آن‌ها هم به طور خودکار می‌روند سراغ سیستم‌های آسیب‌پذیر و دانلود باج‌افزار روی آن‌ها. برای مثال Conti و DoppelPaymer درست به همین روش گسترش پیدا کردند.
حملات زنجیره تأمین
کمپین REvil بردار تهدید امسال را بخوبی نشان می‌دهد: این گروه یک ارائه‌دهنده MSP را دستکاری کرده و بعد باج‌افزار را میان شبکه‌های مشتریان آن پخش نموده است.
پیوست‌های آلوده

       ایمیل‌های حاوی ماکروهای آلوده در داکیومنت‌های ورد پیوست‌شده هنوز هم برای ارسال بدافزار گزینه محبوبی هستند. NetWalker یکی از 5 شرور برتر ما از پیوست‌های آلوده برای گرفتار کردن قربانیان استفاده کرده بود- عاملین آن میلینگ‌ها را با موضوع کووید 19 ارسال کرده بودند.

راهکارهای امنیتی

– آموزش بهداشت دیجیتال به کارمندان. کارمندان می‌بایست بدانند فیشینگ چیست و هرگز لینک‌های داخل ایمیل‌های مشکوک را دنبال نکنند. آن‌ها نباید از سایت‌های مشکوک فایل‌ دانلود نمایند. همچنین می‌بایست بدانند چطور می‌شود پسورد قوی و امن ساخت، به خاطر سپرد و از آن محافظت کرد. آموزش به کارمندان طی روندی منظم نه تنها ریسک رخداد را کم می‌کند بلکه همچنین آسیب رخدادی را که مهاجمین قصد دارند برای حملات بعدی پیاده کنند را نیز تخفیف می‌دهد.

– مرتباً همه سیستم‌عامل‌ها و اپ‌ها را برای تضمین سطح بالای حفاظت آپدیت کنید تا مهاجمین نتوانند از آسیب‌پذیری‌های شناخته‌شده سوءاستفاده کنند. حواستان باشد هم نرم‌افزارهای سمت کلاینت و هم نرم‌افزارهای سمت سرور را آپدیت نمایید.

– ممیزی‌های امنیتی انجام دهید، امنیت تجهیزات را بررسی کرده و حواستان باشد کدام پورت‌ها باز هستند و از اینترنت می‌شود بدان‌ها دسترسی پیدا کرد. از کانکشن امنی برای دورکاری خود استفاده کنید و البته یادتان باشد حتی وی‌پی‌ان‌ها هم خود می‌توانند آسیب‌پذیر باشند.

-از داده‌های سازمانی خود بک‌آپ بگیرید. بک‌آپ‌ها نه تنها باعث می‌شوند خرابی کاهش یابد که حتی پروسه‌ بازیابی کسب و کار نیز سریعتر انجام می‌گردد (در صورتیکه حمله باج‌افزاری در میان باشد).

– از راهکار امنیتی حرفه‌ای استفاده کنید که تحلیل رفتاری انجام می‌دهد و فناوری‌های ضدباج‌افزاری را پیاده‌سازی می‌کند.

 – سیستم امنیت اطلاعاتی را به کار بگیرید که قادر باشد ناهنجاری‌های داخل زیرساخت شبکه را شناسایی کند؛ برای مثال اقداماتی برای بررسی پورت‌ها یا درخواست‌هایی برای دسترسی به سیستم‌های غیراستاندارد. اگر در خانه متخصصی که بتواند شبکه را تحت نظارت قرار دهد ندارید از متخصص‌های بیرون کمک بگیرید.

امتیاز این نوشته

امتیاز

امتیاز کاربران: 4.43 ( 2 رای)

مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا