باج‌افزارها در سال 1400

در سال 1400 تعداد باج‌افزارها و حملات باج‌افزاری نه‌فقط کمتر نشد که مخرب‌تر و گسترده‌تر از هر زمانی دیگر [1][2]، کاربران و سازمان‌ها را در کشورهای مختلف از جمله ایران هدف قرار دادند. شرکت IBM در گزارش سالانه خود که در اوایل اسفند امسال منتشر شد باج‌افزارها را فعال‌ترین تهدید سایبری معرفی کرده است [3]. تنها بر اساس آمار شرکت SonicWall، طی حدود یک سال گذشته، در هر ثانیه نزدیک به 20 فایل باج‌افزاری در جهان منتشر شده است [4].

ما در این گزارش نگاهی انداخته‌ایم به آمار و عملکرد باج افزارها و گردانندگان آنها در یک سال اخیر؛ با ما همراه باشید.

اخاذی سه‌گانه

با گسترش باج‌افزارها، روال‌ها و سازوکارهای تهیه نسخه پشتیبان (Backup) از داده‌های حساس به‌عنوان یکی از راهکارهای اساسی مقابله با باج‌افزارها بیش از قبل مورد توجه بسیاری از سازمان‌ها قرار گرفت. در نتیجه آن، علیرغم موفقیت مهاجمان در رخنه به شبکه و توزیع باج‌افزار بر روی بسیاری از دستگاه‌ها، این سازمان‌ها از پرداخت مبلغ اخاذی شده خودداری می‌کردند. بدین‌ترتیب مهاجمان نیاز به اهرم فشار دیگری برای وادار ساختن قربانیان به پرداخت باج داشتند. از طرفی افزایش سرعت و پهنای باند اینترنت بسیاری از سازمان‌ها امکان سرقت حجم قابل‌توجهی از فایل‌ها را در مدتی کوتاه فراهم می‌کرد. موضوعی که از حدود سه سال قبل، سبب ظهور واژه جدید در دنیای امنیت سایبری، تحت عنوان «اخاذی دوگانه» (Double Extortion) شد.

همان‌طور که پیش‌تر نیز در این گزارش به آن پرداختیم در جریان حملات اخاذی دوگانه، چنانچه سازمان قربانی، باج را در مهلت تعیین شده پرداخت نکند نام آن بر روی سایت به اصطلاح «نشت داده‌ها» (Data Leak Site) به‌صورت عمومی منتشر می‌شود تا اطلاع همگان از هک شدن سازمان، مسئولان آن را بیش از پیش برای پرداخت مبلغ اخاذی شده تحت فشار قرار دهد. اگر همچنان سازمان قربانی از باج دادن سر باز بزند، اطلاعات سرقت شده بر روی سایت مذکور منتشر یا به حراج گذاشته می‌شود تا به قربانیان بعدی نیز این پیام رسانده شود که اگر از درخواست این تبهکاران سرپیچی کنند عاقبتی مشابه در انتظارشان خواهد بود.

اما امسال برخی مهاجمان باج افزاری پا را فراتر گذاشتند؛ آنها نه تنها سازمانی که اطلاعات را از روی دستگاه‌های آن سرقت کرده‌اند تهدید به افشای اطلاعات می‌کنند که افراد یا سازمان‌هایی که از افشای اطلاعات سرقت شده متضرر می‌شوند (برای مثال شرکای تجاری یا مشتریان سازمان قربانی) را نیز تهدید و حتی در مواردی مورد اخاذی قرار می‌دهند. روشی که مدتی است با عنوان «اخاذی سه‌گانه» (Triple Extortion) شناخته می‌شود [4].

نفوذ از طریق زنجیره تأمین

در «حمله زنجیره تأمین» (Supply Chain Attack)، مهاجم با ایجاد درب‌پشتی (Backdoor) در نرم‌افزار یا سخت‌افزار ساخت یک شرکت، عملا درگاهی برای نفوذ به شبکه تمامی مشتریان آن شرکت برای خود ایجاد می‌کند. در 1400 این تکنیک نیز به فهرست تکنیک‌های مورد استفاده باج‌گیران سایبری افزوده شد.

در تیر ماه امسال، مهاجمان باج‌افزار REvil – که با نام Sodinokibi نیز شناخته می‌شود – چندین شرکت ارائه‌دهنده خدمات موسوم به Managed Service Provider – به اختصار MSP – و مشتریان آنها را در جریان یک حمله زنجیره تأمین هدف قرار دادند. آنها با سوءاستفاده از یک آسیب‌پذیری روز-صفر، اقدام به دست‌درازی در بخش به‌روزرسانی Kaseya VSA کرده و در ادامه موفق شدند به شبکه بسیاری از شرکت‌های MSP – که از استفاده‌کنندگان اصلی Kaseya VSA محسوب می‌شوند – و برخی از مشتریان این شرکت‌های MSP راه پیدا کنند. تخمین زده می‌شود یک هزار شرکت از حمله مذکور متأثر شدند [5].

در عین حال باید توجه داشت ایمیل‌های با پیوست / لینک مخرب که با بکارگیری تکنیک‌های مهندسی اجتماعی کاربران ناآگاه را متقاعد به اجرای فایل باج‌افزار بر روی دستگاه می‌کنند و سرورهای با پودمان Remote Desktop Protocol – به اختصار RDP – باز که به‌نحوی نادرست پیکربندی شده‌اند اصلی‌ترین درگاه ورود باج‌افزارها به سازمان‌ها هستند [6][7].

کسب‌وکاری شراکتی

یکی از اقدامات گروه‌های حرفه‌ای برای نفوذ به سازمان‌های معروف و آلوده‌سازی دستگاه‌های آنها به باج‌افزار، بهره‌گیری از نفوذگرانی است که از آنها با عنوان Initial Access Broker – به اختصار IAB – یاد می‌شود. یک IAB با بکارگیری روش‌ها و ابزارهای خود تلاش می‌کند تا به شبکه سازمان‌های مختلف نفوذ کند. اما این افراد پس از هک شبکه و ماندگار کردن خود در آن، دست به اقدام بیشتری نمی‌زنند. بلکه اطلاعات اصالت‌سنجی لازم برای رخنه به شبکه هک‌شده را به مهاجمان دیگر نظیر نویسندگان، گردانندگان و توزیع کنندگان باج‌افزار می‌فروشند. در حقیقت این افراد نقش یک «مرد میانی» را در حملات باج‌افزاری ایفا می‌کنند. در سال 1400 بیش از پیش شاهد ظهور و فعالیت هکرهای IAB بودیم [8].

علاوه بر این، گردانندگان باج‌افزار از کارکنان بدخواه و ناراضی نیز برای پیشبرد اهداف خود بهره می‌گیرند. برای نمونه، آگهی زیر را گروه باج‌افزاری $LAPSUS در 20 اسفند در کانال خود منتشر کرد. این گروه که سرقت اطلاعات از دو شرکت Nvidia و Samsung و اخاذی از آنها را در کارنامه دارد کارکنان شرکت‌های بزرگ یا فعال در برخی حوزه‌های خاص را دعوت به همکاری کرده است!

فعال در کشور

در سالی که گذشت همچون چند سال قبل از آن، سازمان‌های ایرانی، در معرض حملات هدفمند و در مواردی موفق قرار گرفتند [9][10][11]. بررسی رخدادهای سایبری در جنگ میان روسیه و اوکراین نشان می‌دهد باج‌افزارها از جمله ابزارهای مورد استفاده برخی دولت‌ها در جریان جنگ‌های سایبری است. اما صرف‌نظر از این حملات بعضا پیشرفته و پیچیده، باج‌افزارها حضوری فعال در کشور دارند. بر اساس آمار ارائه شده از سوی شرکت Bitdefender، در آخرین ماه از سال 2021 میلادی، ایران از لحاظ کثرت انتشار باج‌افزارها در جایگاه سوم جهان قرار داشت [12].

اصلی‌ترین بازیگران

بر پایه آمار، Ryuk،و SamSam و Cerber پرانتشارترین باج‌افزارهای سازمانی سال 2021 بودند [4]. در حوزه باج‌افزارهای غیرسازمانی نیز بر مبنای گزارش کاربران، STOP/Djvu بیشترین قربانی را داشته است.

راهکارها

مؤثرترین راهکار در مقابله با تهدیدات مخرب باج‌افزاری، پیشگیری از ورود آنها به سازمان است. استفاده از محصولات ضدویروس و امنیت نقاط پایانی، بکارگیری دیواره آتش، اعمال سیاست‌های امنیتی جامع و پویا و تهیه نسخه پشتیبان از الزامات اساسی هر سازمان محسوب می‌شود. اما تجارب سال‌های اخیر نشان می‌دهد تکیه صرف بر این راهکارها نمی‌تواند هیچ سازمانی را از گزند باج‌افزارها ایمن نگاه دارد. اگر از راهبران و مسئولان امنیت سازمانتان هستید، ما به شما محصول «آروید» را پیشنهاد می‌کنیم. آروید، با شبیه‌سازی تهدیدات مبتنی بر ایمیل، برگزاری خودکار دوره‌های آموزشی و گزارش‌دهی جامع از میزان آمادگی کارکنان در مقابله با این تهدیدات، راهکاری مطمئن برای ایمن نگاه داشتن کاربران – و در نتیجه سازمان – است.

منابع

[1] “2021 Trends Show Increased Globalized Threat of Ransomware”. Cybersecurity and Infrastructure Security Agency. 2022-02-09. Retrieved 2022-03-14.
[2] “73 Ransomware Statistics Vital for Security in 2022”. Panda Security. 2022-03-05. Retrieved 2022-03-14.
[3] “X-Force Threat Intelligence Index 2022”. IBM. 2022-02-23. Retrieved 2022-03-15.
[4] “2022 SonicWall Cyber Threat Report”. SonicWall. 2022-02-18. Retrieved 2022-03-14.
[5] “Check Point Software’s 2022 Security Report: Global Cyber Pandemic’s Magnitude Revealed”. Check Point Software Technologies. 2022-01-21. Retrieved 2022-03-15.
[6] “Law enforcement pressure forces ransomware groups to refine tactics in Q4 2021”. Coveware. 2022-02-03. Retrieved 2022-02-07.
[7] Kostas (2022-03-07). “2021 Year in Review”. The DFIR Report. Retrieved 2022-03-14.
[8] “Ransomware, carding, and initial access brokers: Group-IB presents report on trending crimes”. Group-IB. 2021-12-02. Retrieved 2022-01-30.
[9] و«ساده‌انگاری و کم‌توجهی، عامل اصلی بروز حملات سایبری هفته گذشته». مرکز مدیریت راهبردی افتا. 27-04-1400. دریافت‌شده در 11-11-1400.و
[10] و«اطلاعیه مركز افتا درباره حادثه سایبری حمله به سامانه هوشمند كارت سوخت كشور». مرکز مدیریت راهبردی افتا. 26-10-1400. دریافت‌شده در 22-12-1400.و
[11] دینا قالیباف (23-12-1400). «حمله هکری به سایت وزارت ارشاد». خبرگزاری ایسنا. دریافت‌شده در 24-12-1400.و
[12] Zugec, Martin (2022-01-31). “Bitdefender Threat Debrief | January 2022”. Bitdefender. Retrieved 2022-01-31.