نماینده رسمی فروش آنلاین آنتی ویروس های بیت دیفندر در ایران

این حقیقت بر هیچکس پوشیده نیست که باج‌افزار به سرعت دارد به خطرناک‌ترین تهدید برای سازمان‌ها تبدیل می‌شود. تعداد حملات باج‌افزاری به طور قابل‌ملاحظه‌ای رو به افزایش است و دلیلش هم تا حد زیادی همین پاندمی بوده است. در سطح جهان، حملات باج‌افزاری در سال 2020 افزایش بیش از 60 درصد داشته؛ همینطور 158 درصد در آمریکای شمالی و بیش از 20 درصد شکایت توسط سازمان اف‌بی‌آی دریافت شده است. نیمه اول 2021 حملات باج‌افزاری در مقایسه با همان بازه زمانی در سال گذشته شاهد افزایش 151 درصدی بوده است. یکی از دلایلی که حملات باج‌افزاری این چنین شایع شده است افزایش RaaS یا همان Ransomware as a Service[1] می‌باشد. این برمی‌گردد به تغییر در اجرای حملات عاملین باج‌افزار و حتی اینکه چطور باج‌افزار روی شبکه‌ها به کار گرفته می‌شود (چیزی که شانس موفقیت را دوچندان می‌کند). در ادامه با ما همراه شوید تا توضیح دهیم RaaS چیست و برای چه خطرناک است؟

عملکرد سابق باج‌افزار چگونه بود؟

 باج‌افزار تا حد زیادی توسط کیت‌های اکسپلویت میسر می‌شد- نرم‌افزارهایی که می‌شد آن‌ها را از تالارها و دارک‌وب خریداری کرد. باج‌افزار Hermes نمونه بارز آن است. کیت‌های اکسپلویت حاوی بدافزار، روت‌کیت‌ها و باج‌افزار می‌شدند که معمولاً به شکل یک آسیب‌پذیری قابل اکسپلویت ظاهر می‌شدند که اجازه می‌داد بدافزار به داخل شبکه نفوذ پیدا کند. این کار به خریدار اجازه می‌دهد تا برای آلوده کردن سازمان‌ها گام به جلو برداشته و بدافزار خود را بکارد –البته این درصورتیست که فرض کنیم سازمان مربوطه آسیب‌پذیری مذکور را هنز پچ نکرده است- اما هکرها همچنین می‌توانند برای اجرای کد مخرب دست به فیشینگ یا انواع دیگر حملات بزنند. بسته به کیت اکسپلویت، هکر می‌تواند یک حمله فیشینگ را که در خود باج‌افزاری مدفون در یک فایل مخرب دارد بخرد و ارسالش کند؛ همینطور بر روی موفقیت هر کس که فایل را دانلود کرده موج‌سواری کند. با این وجود استفاده از این نوع از باج‌افزار به دلیل عدم کارایی لازم به طور قابل‌ملاحظه‌ای کاهش پیدا کرده است. مدل قدیمی ارسال فیشینگ ایمیل اسپم با امید بر مجاب کردن هر کاربر برای دانلود پیوست مخرب هم چیزی نبود که اغلب موفقیت‌آمیز باشد. آنتی‌فیشینگ، AV، شناسایی بدافزار و فیلترهای اسپم می‌توانند چنین حمله باج‌افزاری را در مراحل مختلف زنجیره حمله متوقف کنند. حتی در برابر باج‌افزار کالایی مانند Hermes، داشتن فایل‌های بک‌آپ برای مدیریت حمله باج‌افزاری کافی نبود. و چون این باج‌افزار اساساً قابل‌دسترسی خریدار بود، محققین امنیتی توانستند کلیدهای رمزگشایی را بسازند که می‌شد با آن‌ها قربانیان از بند باج‌افزار رها شوند (بی‌آنکه مجبور باشند باجی بدهند). بدین‌ترتیب توسعه‌دهندگان باج‌افزار مدام مجبور بودند ترفند خود را به روز کنند. این بدان‌معنا بود که حملات باج‌افزاری آنقدرها هم هکرها نیاز داشتند مؤثر واقع نشدند. از این رو آن‌ها به روش‌های بهتری روی آوردند.

شرح با جزئیات Ransomware as a Service

خطرناک‌ترین گروه‌های باج‌افزاری تصمیم گرفتند مؤثرترین باج‌افزار خود را خصوصی کرده و یک گام جلوتر روند. به جای فروش آن و نیز اجازه دادن به عاملین بزهکار برای استفاده رایگان از آن، آن‌ها مصمم شدند باج‌افزار خود را لایسنس‌دار کنند. بدن‌ترتیب هزینه تقسیم شده و حالا از تخصص‌شان به عنوان یک سرویس استفاده می‌کنند. این یعنی عامل بزهکار می‌توانست تماماً سرویس‌های گروه‌های هکریِ باج‌افزاری را برون‌سپاری کند- تغییری بزرگ در روش و سبک اجرای حملات باج‌افزاری. گروه‌های باج‌افزاری به جای به کار بستن آن‌ها در فیشینگ و حملات اسپم که کارایی کمتری داشتند یا به سازمان‌های هدف رخنه خواهند کرد یا باج‌افزار را برای تارگت‌هایی به کار خواهند گرفت که عاملین مخرب از پیش راه نفوذ بدان‌ها را پیدا کرده‌اند. این به عاملین باج‌افزار دو مزیت می‌دهد:

سازمان از قبل دستکاری شده و دیگر از شر ترفندهای سنتی رها می‌شوند. در عوض اینها حملات هدف‌داری هستند که به سازمانی از قبل دستکاری‌شده هجوم می‌آورند و از این رو شانس موفقیت به مراتب بالاتر می‌رود. از آنجایی که عاملین مخرب از قبل در محیط شرکت بوده‌اند، باج‌افزار احتمالاً بخش بزرگتری از شبکه سازمان را درگیر خواهد کرد. هنوز کلید رمزگشایی موجود نیست: امنیت سایبری به اطلاعات نیاز داشته و وابسته است. این حقیقت که باج‌افزار در مقیاس بزرگی استفاده می‌شده باعث شده محققین بیشتر به فکر توسعه کلیدهای رمزگشایی باشند. با این وجود باج‌افزار دیگر در دسترس نیست و فقط به طور محدود و نامحسوسی بر علیه سازمان‌ها به کار گرفته می‌شود (همین ساخت کلیدهای رمزگشایی را سخت‌تر کرده است). باج‌افزار Ryuk نمونه‌ایست از این دست. صاحب لایسنس این باج‌افزار فقط در دستان گروهی بود به نام WIZARD SPIDER. کد این باج‌افزار کلی مشترکات با Hermes دارد اما فقط سازمان‌های بزرگ را مورد هدف قرار می‌دهد. و از آنجایی که خریدنش به طور عمومی ممکن نیست برای هر حمله یک خصوصیت خاص قربانی تولید می‌کند و همین باعث می‌شود نشود به این راحتی‌ها برایش کد رمزگشایی درست کرد.

RaaS احتمالاً قرار است به عرف تازه‌ای بدل شود

متأسفانه این سازه جدید آمده است که بماند. این متود تازه بسیار برای مهاجمین سودآور است. هکر مخربی که به دنبال رخنه به سازمان است شانس موفقیتش بالا می‌رود و گروه باج‌افزاری می‌تواند بدون چندان زحمتی سود خوبی را قاب بزند. در نتیجه در نتیجه، قبلاً دیده‌ایم که گروه‌های باج‌افزار مدل کارتلی را اتخاذ کرده و با گروه‌های باج‌افزار کوچک‌تر کار می‌کنند و شبکه‌ای سازمان‌یافته از مجرمان باج‌افزار را ایجاد می‌کنند. موفقیت مشهود در این مدل همچنین به این علت است که احتمالاً قرار است بماند و تازه در آینده افزایش پیدا کند. تا حدودی به همین دلیل است که حملات باج افزار بسیار افزایش یافته و شاهد باج‌های نجومی‌تر هستیم. متوسط پرداخت باج به طور چشمگیری به 300 هزار دلار در سال 2020 افزایش پیدا کرده است (یک رش 171 درصدی).

هنوز هم می‌شود مقاومت کرد و مصون ماند

با وجود این تحولات جدید، این بدان معنا نیست که سازمان ها در برابر این سبک از حملات درمانده هستند. خوشبختانه، سازمان‌ها می‌توانند از ابزارها، فرآیندها و راه حل‌های موجود برای محافظت از خود در برابر باج‌افزار استفاده کنند. در اینجا چند بخش وجود دارد که باید آنها را در اولویت قرار دهید.

دفاع سنتی را کنار نگذارید

فیلترهای اسپم، AV، و ابزارهای تشخیص و حذفِ ضد‌بدافزار به اندازه کافی موثر بوده‌اند تا مجرمان را مجبور به اتخاذ روش‌های دیگر کنند و حتی ممکن است مانع از اجرای باج افزار در محیط شما شوند. این ابزارها و همچنین برنامه‌های آموزشی آگاهی امنیت را نیز می‌بایست استفاده کرد و در اولویت قرار داد.

همیشه بک‌آپ داشته باشید

اگر می‌توانید از فایل‌های خود نسخه پشتیبان تهیه کنید یا محیط خود را به مرحله قبل از آلودگی باج‌افزار برگردانید، برای شروع فرآیند بازیابی نیازی به پرداخت باج ندارید. اطمینان حاصل کنید که پشتیبان‌های شما کاملاً از شبکه اصلی شما جدا شده‌اند تا از آلودگی جلوگیری شود.

سرمایه‌گذاری روی نظارت و شناسایی

پیش درآمد این حملات باج افزار جدید، نفوذ است. اگر بتوانید ورود یک فرد غیرمجاز به شبکه خود را شناسایی کنید، توانسته‌اید از حمله جلوگیری کرده و بالقوه آنها را قبل از اینکه آسیبی وارد کنند از محیط خود بیرون کنید.

جداسازی شبکه تا هر جا که امکانش هست

این متود همیشه در برابر باج افزار کار کرده و هنوز هم جواب می‌دهد. اگر یک سیستم تقسیم‌بندی شبکه قوی دارید، باید بتوانید از آلوده شدن مهم‌ترین دارایی‌های تجاری‌تان توسط باج‌افزارها جلوگیری کنید و حتی جلوی هدیدهای اخاذی یا نشت داده‌ها را بگیرید.

از پیش پلن واکنش به رخداد داشته باشید

سازمان‌ها نمی‌توانند برای حمله باج‌افزار آماده نباشند. شما باید یک طرح واکنش به رخداد به صورت آماده داشته باشید و حتی ممکن است بخواهید از یک شریک در بخش پاسخ یا تحقیقات قانونی استفاده کنید که در صورت به خطر افتادن از آن‌ها بهترین کمک‌ها را بگیرید. در مواجهه با هرگونه حمله باج‌افزار، سرعت عمل کلیدی است. ظهور RaaS بسیار نگران‌کننده است، اما اصول، روش‌ها، ابزارها و سیستم‌های امنیتی هنوز هم قابلیت‌های دفاعی، شناسایی و پاسخ قوی را ارائه می‌دهند. این اولویت‌های مهم را نادیده نگیرید و همیشه حواستان باشد شرکایی داشته باشید که در مواقع ضروری شما را در شناسایی و واکنش به رخداد کمک می‌کنند.

[1]باج‌افزار بعنوان سرویس