رخداد اخیر باجافزاری Colonial Pipeline که خیلیها آن را حمله سایبریِ سال نامیدهاند خساراتش فراتر از اختلالات کسب و کار بود- این باجافزار در واقع کلی خسارت اقتصادی وارد کرد و این یادآوری بود برای اینکه بدانیم چقدر هنوز به لحاظ زیرساخت دیجیتال ضعیفیم. با ما همراه بمانید.
گرچه این حمله برجستهترین رخداد سال 2021 محسوب میشود اما این تنها رخداد سایبری نبوده است. در ماه می حمله باجافزاری عظیمی یک سیستم سلامتی ایرلندی را فلج کرد و درست رخداد مشابهی هم در منطقه شمالی استرالیا شاهد بودیم؛ جایی که دولت دیگر مجبور شد در شروع سال سه روز را تعطیلی دهد. سوال اینجاست که چرا باجافزارها تا این حد قوی شدند و پر و بال گرفتهاند و چرا زیرساختهای مهم دولتی اغلب مورد حمله قرار میگیرند؟ شاید پاسخ این سوال کمابیش به روند پیشرفت فناوری و نقاط آسیبپذیر در زیرساختها ارتباط دارد؛ آسیبپذیریهایی که مهاجمین میتوانند راحت از آنها به عنوان فرصت استفاده کنند و با حملات باجافزاری خود دست به انواع متنوع جرایم سایبری بزنند.
همهچیز از حملات تکی تا RaaS[1]
تا همین اواخر، حملات باجافزاری بیشتر از یک بار رخ نمیدادند –مجرمان به شرکتهای کمتر شناختهشده حمله میکردند- اما با شایع شدن اقتصاد دیجیتال حملات تکی به عملیاتهای مقیاس بزرگ تبدیل شدند. از این رو، باجافزار رفته رفته به مدلی مهاجرت کردند که تحلیلگران نامش را RaaS (باجافزار در قالب سرویس) گذاشتهاند. RaaS یک مدل مبتنی بر عضویت است که به هکری متوسط اجازه میدهد تا از ابزارهای باجافزاری از پیش توسعهدادهشده برای اجرای حملات باجافزای استفاده کند. شرکتهای وابسته هم بابت هر پرداخت باج درصدی برمیدارند. RaaS اتخاذ مدل نرمافزار تجاریِ در قالب سرویس (SaaS) است.
پیدایش Darkside و سایر اپراتورهای RaaS
با ساخته شدن این مدلهای تجاری RaaS، گروههایی چون Darkside اکنون به جای اجرای حملات رده بالا توسط خودشان فناوری باجافزاری خود را برای شرکتهای وابسته به کارگرفتهاند. دارکساید به منظور حمایت از تلاشهایشان از مرکز مطبوعاتی خود برای اعلام این حملات ردهبالا استفاده میکند و در عین حال نیز مشارکتکنندگان جدیدی هم برای همکاریهای بعدی جذب خواهند شد. این فروشندگان RaaS برای پیچیدهتر کردن امور همچنین از شرکتهای مبهم ریکاوری داده هم برای تسهیل پروسه پرداخت باج کمک میگیرند تا کل نقشه پوشش داده شود. گرچه حمله Colonial Pipeline باعث شد مقامات دست به کار شوند اما بعید است تعداد این حملات کاهش یابد. زیرساخت دولتی و تیز شرکتهای برگ یک چیز مشترک دارند که مجرمان سایبری را به خود جذب میکنند: احتمال مذاکره با آنها بالاست. برای چنین شرکتهایی (مؤسسات مالی بعنوان مثال) هر روز تعطیلی میتواند خسارات بالاتری از مبلغ باج به بار آورد. به همین خاطر است که محققین برآورد کردهاند تقریباً دو سوم حملات باجافزاری سال گذشته در حقیقت RaaS بوده است؛ نقشههای باجافزاری هر ماه جدید میشوند از جمله تهدیدهای تازه مانند آوادون و نسخههای اصلاحی برای پلتفرمهای کلاسیک Ryuk و REvil.
چرا حملات RaaS در بسیاری از مواقع موفق عمل میکنند؟
گرچه بیشتر راهکارهای امنیتی قابلیتهای ضدباجافزاری خود را تقویت کردهاند اما این نوع حملات به ندرت هدف یک سیستم هستن. در حقیقت شبکههای وسیعی از سرورها که اقتصاد این روزهای جهان ریموت را مدیریت میکنند حکم کاتالیزور برای مهاجمین را دارند؛ کسانی که از هر نقطه دسترسی ضعیفی برای نفوذ و رخنه استفاده میکنند. بعد مهم دیگر که باید بدان توجه داشت لایه انسانی است. افراد از هر چیز دیگری بیشتر در معرض حملات از طریق کمپینهای فیشینگ/اسپم و ترفند مهندسی اجتماعی هستند.
تهدیدهای باجافزاری که اغلب در قاموس تهدیدهای سمج و پیشرفته APT پدیدار میشوند برای نفوذ و سفت کردن جاپای خود از چندین متود استفاده میکنند:
[1] Ransomware as a Service