وبلاگ بیت دیفندر

اخبار ، دیدگاه ها و نگرش کارشناسان بیت دیفندر

مبارزه با باج‌افزار به عنوان سرویس (RaaS)

در گروهاخبار امنیت اطلاعات، ۱۴۰۰/۵/۳۱

رخداد اخیر باج‌افزاری Colonial Pipeline که خیلی‌ها آن را حمله سایبریِ سال نامیده‌اند خساراتش فراتر از اختلالات کسب و کار بود- این باج‌افزار در واقع کلی خسارت اقتصادی وارد کرد و این یادآوری بود برای اینکه بدانیم چقدر هنوز به لحاظ زیرساخت دیجیتال ضعیفیم. با ما همراه بمانید.

گرچه این حمله برجسته‌ترین رخداد سال 2021 محسوب می‌شود اما این تنها رخداد سایبری نبوده است. در ماه می حمله باج‌افزاری عظیمی یک سیستم سلامتی ایرلندی را فلج کرد و درست رخداد مشابهی هم در منطقه شمالی استرالیا شاهد بودیم؛ جایی که دولت دیگر مجبور شد در شروع سال سه روز را تعطیلی دهد. سوال اینجاست که چرا باج‌افزارها تا این حد قوی شدند و پر و بال گرفته‌اند و چرا زیرساخت‌های مهم دولتی اغلب مورد حمله قرار می‌گیرند؟ شاید پاسخ این سوال کمابیش به روند پیشرفت فناوری و نقاط آسیب‌پذیر در زیرساخت‌ها ارتباط دارد؛ آسیب‌پذیری‌هایی که مهاجمین می‌توانند راحت از آن‌ها به عنوان فرصت استفاده کنند و با حملات باج‌افزاری خود دست به انواع متنوع جرایم سایبری بزنند.

همه‌چیز از حملات تکی تا RaaS[1]

تا همین اواخر، حملات باج‌افزاری بیشتر از یک بار رخ نمی‌دادند مجرمان به شرکت‌های کمتر شناخته‌شده حمله می‌کردند- اما با شایع شدن اقتصاد دیجیتال حملات تکی به عملیات‌های مقیاس بزرگ تبدیل شدند. از این رو، باج‌افزار رفته رفته به مدلی مهاجرت کردند که تحلیلگران نامش را RaaS (باج‌افزار در قالب سرویس) گذاشته‌اند. RaaS یک مدل مبتنی بر عضویت است که به هکری متوسط اجازه می‌دهد تا از ابزارهای باج‌افزاری از پیش توسعه‌داده‌شده برای اجرای حملات باج‌افزای استفاده کند. شرکت‌های وابسته هم بابت هر پرداخت باج درصدی برمی‌دارند. RaaS اتخاذ مدل نرم‌افزار تجاریِ در قالب سرویس (SaaS) است.

پیدایش  Darkside و سایر اپراتورهای  RaaS

با ساخته شدن این مدل‌های تجاری  RaaS، گروه‌هایی چون Darkside اکنون به جای اجرای حملات رده بالا توسط خودشان فناوری باج‌افزاری خود را برای شرکت‌های وابسته به کارگرفته‌اند. دار‌ک‌ساید به منظور حمایت از تلاش‌هایشان از مرکز مطبوعاتی خود برای اعلام این حملات رده‌بالا استفاده می‌کند و در عین حال نیز مشارکت‌کنندگان جدیدی هم برای همکاری‌های بعدی جذب خواهند شد. این فروشندگان RaaS برای پیچیده‌تر کردن امور همچنین از شرکت‌های مبهم ریکاوری داده هم برای تسهیل پروسه پرداخت باج کمک می‌گیرند تا کل نقشه پوشش داده شود. گرچه حمله Colonial Pipeline باعث شد مقامات دست به کار شوند اما بعید است تعداد این حملات کاهش یابد. زیرساخت دولتی و تیز شرکت‌های برگ یک چیز مشترک دارند که مجرمان سایبری را به خود جذب می‌کنند: احتمال مذاکره با آن‌ها بالاست. برای چنین شرکت‌هایی (مؤسسات مالی بعنوان مثال) هر روز تعطیلی می‌تواند خسارات بالاتری از مبلغ باج به بار آورد. به همین خاطر است که محققین برآورد کرده‌اند تقریباً دو سوم حملات باج‌افزاری سال گذشته در حقیقت  RaaS بوده است؛ نقشه‌های باج‌افزاری هر ماه جدید می‌شوند از جمله تهدیدهای تازه مانند آوادون و نسخه‌های اصلاحی برای پلت‌فرم‌های کلاسیک Ryuk و REvil.

چرا حملات RaaS در بسیاری از مواقع موفق عمل می‌کنند؟

گرچه بیشتر راهکارهای امنیتی قابلیت‌های ضدباج‌افزاری خود را تقویت کرده‌اند اما این نوع حملات به ندرت هدف یک سیستم هستن. در حقیقت شبکه‌های وسیعی از سرورها که اقتصاد این روزهای جهان ریموت را مدیریت می‌کنند حکم کاتالیزور برای مهاجمین را دارند؛ کسانی که از هر نقطه دسترسی ضعیفی برای نفوذ و رخنه استفاده می‌کنند. بعد مهم دیگر که باید بدان توجه داشت لایه انسانی است. افراد از هر چیز دیگری بیشتر در معرض حملات از طریق کمپین‌های فیشینگ/اسپم و ترفند مهندسی اجتماعی هستند.

تهدیدهای باج‌افزاری که اغلب در قاموس تهدیدهای سمج و پیشرفته APT پدیدار می‌شوند برای نفوذ و سفت کردن جاپای خود از چندین متود استفاده می‌کنند:

[1] Ransomware as a Service