باج افزار (Ransomware) چیست؟
به طور متوسط روزانه 4 هزار باج افزار (Ransomware) به سیستم های کامپیوتری و شبکهها حمله میکنند. باج افزارها متنوعترین نرم افزارهای مخرب هستند که حدود 39 درصد از بدافزارهایی که تاکنون شناسایی شده است را تشکیل میدهند. درحقیقت، باج افزار یک مشکل مهم و اغلب ترسناک است زیرا تمام فایلها و دادههای کاربر گروگان گرفته میشود تا زمانی که مبلغ باج خواهی پرداخت شود. این مشکل مانند زمانی است مجرمان فرزند یک خانواده را گروگان می گیرند و در ازای جان او، درخواست پول میکنند. با این مثال ساده وارد دنیای باج افزارها میشویم.
تعریف باج افزار
باج افزار (Ransomware) نوعی نرم افزار مخرب است که تهدید به انتشار یا مسدود کردن دسترسی به دادهها یا سیستم کامپیوتری میکند. این بدافزار معمولاً با رمزگذاری اطلاعات یا سیستم از کاربر میخواهد هزینهای را بابت باز کردن قفل دادهها پرداخت کند. در بسیاری از موارد، تقاضای باج با یک مهلت همراه است. اگر قربانی به موقع آن را پرداخت نکند، دادهها برای همیشه از بین میروند یا هزینه باج افزایش مییابد.
هر دستگاهی که به اینترنت متصل باشد، در خطر تبدیل شدن به قربانی باج افزارها است. اگر یک شرکت دارای شبکه برای اتصال کامپیوترها به یکدیگر باشد، باج افزار میتواند اسناد مهم و پروندههای سیستمی را رمزگذاری کند. اگر دستگاهی به اینترنت متصل میشود، باید با جدیدترین آنتی ویروسهای امنیتی به روز شود و باید دارای بدافزارهایی باشد که باج افزار را شناسایی و متوقف میکند. سیستم عاملهای قدیمی مانند ویندوز اکسپی (XP) که کمتر استفاده میشوند در معرض خطر بیشتری قرار دارند.
به طور کلی، مجرمان سایبری به هر مصرف کننده یا هر شغلی حمله میکنند و قربانیان از همه صنایع را هدف قرار میدهند. چندین آژانس دولتی از جمله افبیآی (FBI) توصیه میکنند که مردم از پرداخت مبلغ باج برای جلوگیری از تشویق چرخه باج افزارها جلوگیری کنند. علاوه بر این، نیمی از قربانیانی که باج میدهند، احتمال دارد از حملات باج افزارهای مکرر رنج ببرند، به ویژه اگر این بدافزار از سیستم آنها پاک نشده باشد!
تاریخچه حملات باج افزار
باجافزارها اولین بار در سال 1989 مشاهده شدند که از ویروس ایدز برای اخاذی از کاربران استفاده میکردند. نحوه پرداخت این حمله از طریق پست به پاناما انجام شد، در آن زمان یک کلید رمزگشایی نیز برای کاربر پست میشد. در سال 1996، باج افزار با عنوان اخاذی کریپتووایرال (Cryptoviral Extortion) شناخته که توسط موتی یونگ و آدام یانگ از دانشگاه کلمبیا معرفی شد.
اخاذی کریپتووایرال توانست پیشرفت، قدرت و ایجاد ابزارهای رمزنگاری مدرن را نشان دهد. یونگ و یانگ اولین حمله رمزنگاری را در کنفرانس امنیت و حریم خصوصی IEEE 1996 ارائه کردند. ویروس آنها حاوی کلید عمومی مهاجم بود و پروندههای قربانی را رمزگذاری میکرد. سپس این بدافزار قربانی را ترغیب میکرد تا متن رمزنگاری نامتقارنی را برای مهاجم ارسال کند تا رمزگشایی را با پرداخت هزینه بازگرداند.
مهاجمان در طول این سالها با درخواست پرداختهایی که تقریباً غیرممکن بود، خلاقیت خود را افزایش دادند. این مهم به مجرمان سایبری کمک میکند تا ناشناس بمانند. به عنوان مثال، باج افزار معروف فوسوب (Fusob) از قربانیان میخواهد که از کارتهای هدیه اپل آیتونز (Apple iTunes) به جای ارزهای معمولی مانند دلار برای پرداخت باج استفاده کنند.
حملات باج افزاری با رشد ارزهای رمزپایه مانند بیت کوین محبوبیت خود را افزایش دادند.ارز رمزنگاری شده (مزارز) یک پول دیجیتال است که از تکنیکهای رمزگذاری برای تأیید و ایمن سازی تراکنشها استفاده میکند. فراتر از بیت کوین، ارزهای رمزنگاری شده دیگری نیز مانند اتریوم و لایت کوین وجود دارند که مهاجمان از آن ها استفاده میکنند.
یکی از معروفترین ویروسها حمله به بیمارستان یادبود پرسبیترینیسم (Presbyterian) است. این حمله آسیبها و خطرات احتمالی باج افزار را برجسته کرد. آزمایشگاهها، داروخانهها و اورژانس مورد حمله قرار گرفتند. باج افزارها تقریباً در تمام جهان به کاربران خانگی و سازمانها حمله میکنند و از آنها تنها طلب یک چیز را دارند، پرداخت پول در ازای بازگرداندن اطلاعات!
نمونههایی از باج افزار
با آگاهی از حملات باج افزارهای اصلی سازمانها میتوانند پایه و اساس محکمی از تاکتیکها، سوء استفادهها و ویژگیهای اکثر حملات باج افزاری را به دست آورند. در حالی که تغییرات زیادی در کد، اهداف و عملکرد باج افزار وجود دارند، نوآوری در حملات باج افزارها به طور معمول افزایش یافته است.
انواع باج افزارها به شرح زیر هستند:
واناکرای (WannaCry)
یک سوء استفاده قدرتمند از مایکروسافت انجام داد که برای ایجاد یک کرم باج افزار جهانی که بیش از 250 هزار سیستم را قبل از قطع شدن یک کیل سوئیچ (killswitch) برای جلوگیری از گسترش آن، آلوده کرد.
کریپتو لاکر (CryptoLocker)
این یکی از اولین نسل باج افزارهای فعلی بود که برای پرداخت نیاز به رمزنگاری (بیت کوین) داشت و هارد دیسک کاربر و درایوهای شبکه متصل را رمزگذاری میکرد. کریپتو لاکر از طریق یک ایمیل با یک فایل پیوست که ادعا میکرد اعلانهای ردیابی FedEx و UPS است، منتشر میشد. اما گزارشهای مختلف نشان میدهند که بیش از 27 میلیون دلار توسط کریپتو لاکر اخاذی شده است.
پِتیا (Petya)
این یکی از مخربترین حملات باج افزارها محسوب میشود. پتیا پرونده اصلی بوت سیستم مایکروسافت ویندوز را آلوده و رمزگذاری میکند. پتیا از همان آسیب پذیری واناکرای برای گسترش سریع استفاده و برای لغو تغییرات، درخواست پرداخت بیت کوین را دارد.
بد ربیت (Bad Rabbit)
این باج افزار به عنوان پسر عموی پتیا شناخته میشود و از کد مشابه استفاده میکند. به نظر میرسید بدرابیت روسیه و اوکراین و بیشتر شرکتهای رسانهای را تحت تأثیر قرار داده است. برخلاف پتیا، بدربیت در صورت پرداخت باج اجازه رمزگشایی را میدهد. اکثر موارد نشان میدهند که این باج افزار از طریق به روزرسانی جعلی فلش پلیر وارد سیستم میشود.
رویل (REvil)
رویل توسط گروهی از مهاجمان با انگیزه مالی نوشته شده است. این باج افزار دادههای مربوطه را قبل از رمزگذاری استخراج میکند تا قربانیان هدف را مجبور به پرداخت باج کند. این حمله اغلب ناشی از اختلال در مدیریت فناوری اطلاعات است که برای زیرساختهای ویندوز و مک استفاده میشود.
ریوک (Ryuk)
ریوک یک برنامه باج افزار دستی است که عمدتاً در فیشینگ هدفدار (Spear Phishing) استفاده میشود. اهداف با دقت بالایی شناسایی و انتخاب خواهند شد. پیام های ایمیل به قربانیان منتخب ارسال و همه فایلهای میزبانی شده بر روی سیستم آنها آلوده شده و رمزگذاری میشوند.
نحوه کار باج افزار
باج افزار نوعی بدافزار است که برای اخاذی از قربانیان طراحی می شود و دسترسی به دادههای سیستمهای آنها را مسدود میکند. دو نوع رایج باج افزار، رمزگذار و قفل صفحه هستند. رمزگذارها همانطور که از نامشان پیداست، دادهها را بر روی یک سیستم رمزگذاری کرده و دسترسی به محتوا تنها با داشتن رمز میسر میباشد.
از طرف دیگر، قفلهای صفحه به سادگی دسترسی به سیستم را با یک صفحه نمایش قفل مسدود میکنند و انگار سیستم رمزگذاری شده است. قربانیان از طریق صفحه قفل برای خرید ارز رمزنگاری شده مانند بیتکوین جهت پرداخت هزینه باج، مطلع میشوند. پس از پرداخت باج، مشتریان کلید رمزگشایی را دریافت میکنند و ممکن است اقدام به رمزگشایی فایلهای خود کنند.
رمزگشایی کامل همه اطلاعات تضمین نمیشود زیرا وجود دادههای متعدد میزان موفقیت برای رمزگشایی را کاهش میدهد. گاهی اوقات قربانیان هرگز رمز را دریافت نمی کنند! برخی حملات حتی پس از پرداخت باج و انتشار دادهها، بدافزار دیگری را روی سیستم نصب میکنند.
باج افزارها به طور فزایندهای کاربران تجاری را مورد هدف قرار میدهند زیرا مشاغل اغلب بیشتر از کاربران خانگی برای باز کردن قفل دادهها و از سرگیری عملیات روزانه هزینه پرداخت میکنند. باج افزارهای سازمانی معمولاً با یک ایمیل مخرب شروع به کار میکنند. یک کاربر مشکوک یک فایل پیوست شده را باز میکند یا بر روی آدرس اینترنتی کلیک میکند.
در این مرحله، یک عامل باج افزار نصب میشود و شروع به رمزگذاری فایلهای کلیدی در کامپیوتر قربانی میکند. پس از رمزگذاری دادهها، باج افزار پیامی را در دستگاه آلوده نمایش میدهد. این پیام توضیح میدهد که چه اتفاقی افتاده است و چگونه میتوان به مهاجمان پول پرداخت کرد. در صورت پرداخت به قربانیان، باج افزار قول میدهد که برای باز کردن قفل دادههای خود کدی را ارسال کند.
تاثیرات تجاری آلوده شدن به باج افزار
کسب و کارهایی که قربانی باج افزار میشوند، میتوانند به اندازه میلیونها تومان دادههای خود را از دست بدهند. مهاجمان با دسترسی به دادهها با تهدید به انتشار اطلاعات و افشای نقض دادهها، قربانیان را بابت باج خواهی تهدید میکنند، بنابراین سازمانهایی که مبلغ باج را سریع پرداخت نمیکنند، ممکن است عوارض جانبی دیگری مانند آسیب به برند و دعاوی حقوقی را تجربه کنند.
باج افزار بهره وری را متوقف میکند، بنابراین اولین قدم مهار آن است. تجزیه و تحلیل، ریشه آسیب پذیری را مشخص میکند اما هرگونه تآخیر در بازیابی بر بهره وری و درآمد کسب و کارها تأثیر میگذارد.
دلیل گسترش باج افزارها در ایمیل
با توجه به اینکه افراد بیشتری در خانه کار میکنند، باج افزارها استفاده خود از فیشینگ (Phishing) را افزایش دادند. فیشینگ نقطه شروع اولیه برای ویروس باج افزار است. ایمیل فیشینگ کاربران دارای امتیاز کم و کاربران دارای امتیاز بالا را هدف قرار میدهد. ایمیل برای استفاده ارزان و آسان است، بنابراین راهی مناسب برای مهاجمان برای انتشار باج افزار ایجاد میکند.
اسناد معمولاً از طریق ایمیل ارسال میشوند، بنابراین کاربران به فکر باز کردن یک فایل در پیوست ایمیل هستند. سپس با باز کردن ایمیل ماکرو مخرب اجرا میشود، باج افزار را در دستگاه محلی بارگیری میکند و سپس اثرات منفی خود را ارائه میدهد. سهولت در انتشار باج افزار در ایمیل باعث میشود تا مجرمان از ایمیل برای باج خواهی استفاده کنند.
باج افزارها در گوشیهای همراه
تا زمانی که کریپتولاکر و سایر باج افزارهای مشابه در سال 2014 به اوج خود رسیدند، این بدافزارها در مقیاس وسیعی در دستگاههای تلفن همراه دیده شدند. باج افزار موبایل معمولاً پیامی مبتنی بر قفل شدن گوشی را نشان میدهد. در این پیام آمده است که قفل گوشی پس از پرداخت هزینه باز میشود. باج افزار موبایل اغلب از طریق اپلیکیشنهای مخرب گسترش پیدا میکند. برای بازیابی دسترسی به تلفن همراه باید گوشی را در حالت ایمن (Safe Mode) بوت کرده و برنامه آلوده را حذف کرد.
عدم پرداخت پول به باج افزارها
پس از رمزگشایی باج افزارها، یک صفحه به کاربر نشان میدهند که فایلها رمزگذاری شده و مقدار پولی که باید پرداخت شود را مشخص میکنند. معمولاً زمان مشخصی برای پرداخت به قربانی داده میشود یا مبلغ باج افزایش مییابد. مهاجمان همچنین تهدید میکنند که هویت مشاغل را افشا کرده و اعلام میکنند که اطلاعات آنها را عمومی میکنند.
بزرگترین خطر پرداخت مبلغ و عدم دریافت رمز عبور برای رمزگشایی دادهها است! در اینگونه موارد سازمان پول هنگفتی را پرداخت کرده است ولی نتوانسته است رمزی دریافت کند. اکثر کارشناسان از پرداخت باج برای جلوگیری از تداوم پرداختهای مالی به مهاجمان خودداری میکنند، اما بسیاری از سازمانها مجبور به این کار میشوند. نویسندگان باج افزار، نیاز به پرداخت ارزهای رمزنگاری شده دارند، بنابراین انتقال پول قابل برگشت نیست.
نحوه پاسخگویی به حمله باج افزار
باج افزار پیامی را مبتنی با دستورالعمل پرداخت و اطلاعات مربوط به اتفاقات بعدی در مورد پروندههای قفل شده را به کاربر نمایش میدهد. برای مدیران مهم است که سریع از خود واکنش نشان بدهند زیرا برخی از باج افزارها سعی میکنند به سایر نقاط شبکه گسترش یافته و فایلهای مهم را پیدا کنند. شما میتوانید چند مرحله اساسی را برای پاسخ صحیح به باج افزار انجام دهید اما توجه داشته باشید که مداخله متخصصین این حوزه معمولاً برای تجزیه و تحلیل ریشههای اصلی، پاکسازی و تحقیقات مورد نیاز است.
مراحل کار به شرح زیر هستند:
- تعیین کنید که کدام سیستمها تحت تاثیر قرار میگیرند. شما باید سیستمها را ایزوله کنید (جدا کنید) تا آنها نتوانند بقیه سیستمها را آلوده کنند. این مرحله بخش مهمی از پاسخگویی به حمله باج افزارها است که آسیب را به حداقل میرساند.
- سیستمها را جدا کنید و در صورت لزوم آنها را خاموش کنید. باج افزار به سرعت در شبکه پخش میشود، بنابراین هر سیستم باید با غیرفعال کردن دسترسی به شبکه یا خاموش کردن آنها قطع شود.
- بازسازی سیستمها را در اولویت قرار دهید تا بحرانیترین آنها سریعتر به حالت عادی بازگردند.
- تهدید را از شبکه ریشه کن کنید. مهاجمان ممکن است از درهای پشتی استفاده کنند، بنابراین ریشه کنی باید توسط یک متخصص مورد اعتماد انجام شود. متخصص نیاز به دسترسی به گزارشها دارد تا تجزیه و تحلیل علت ریشهای آسیب در همه سیستمهای آلوده شناسایی شود.
- ارتقاهای امنیتی سیستمها را در دستور کار داشته باشید. معمول است که باج افزار حمله دوم را انجام میدهد. اگر آسیب پذیری ناشی از بدافزار شناسایی نشد، سیستم دوباره تحت حمله قرار میگیرد.
تهدیدهای جدید باج افزار
نویسندگان باج افزارها دائماً کد را به انواع جدیدی تغییر میدهند تا از شناخته شدن جلوگیری کنند. مدیران و توسعه دهندگان ضد بدافزار باید از این روشهای جدید پیروی کنند تا تهدیدها قبل از انتشار سریع در شبکه را تشخیص دهند.
در اینجا چند تهدید جدید وجود دارند:
- بارگذاری جانبی DLL: بدافزار سعی میکند با استفاده از DLLها و سرویسهایی که شبیه توابع قانونی هستند، ناشناخته بمانند.
- سرور و هاست وب سایت: باج افزار در هاست مشترک میتواند بر همه سایتهای میزبانی شده روی سرور تأثیر بگذارد. باج افزارهایی مانند ریوک وبسایتهای میزبانی شده را هدف قرار میدهند و عمدتاً از ایمیلهای فیشینگ استفاده میکنند.
- ترجیح دادن هدفدار فیشینگ بر فیشینگ استاندارد: به جای ارسال بدافزار به هزاران هدف، مهاجمان برای دسترسی به شبکه با امتیاز بالا، اهداف مورد نظر را شناسایی میکنند.
- حملات راس (Raas): معرفی راس منجر به افزایش حملات باج افزارها شده است.
یکی از دلایل اصلی افزایش تهدیدات با استفاده از باج افزار، کار از راه دور (دورکاری یا فریلنسری) است. بیماری همه گیر کرونا روش جدیدی برای شیوه کار کردن در سطح جهانی معرفی کرد. نیروی کار خانگی در برابر تهدیدها بسیار آسیب پذیرتر است.
کاربران خانگی از امنیت سایبری لازم برای محافظت در برابر حملات پیچیده برخوردار نیستند و بسیاری از این کاربران از دستگاههای شخصی خود استفاده میکنند. از آنجا که باج افزار از شبکه برای حمله استفاده میکند، کامپیوترهای شخصی آلوده به بدافزار نیز میتوانند سیستمهای سازمانی متصل به شبکه را آلوده سازند.
پیشگیری، تشخیص و حذف باج افزارها
اگر مهاجمی دستگاه شما را رمزگذاری کند و باج بخواهد، هیچ تضمینی وجود ندارد که رمز عبور را ارسال کند! برای این کار دو مرحله مهم وجود دارند که باید انجام دهید:
- نرم افزار امنیتی نصب کنید.
- از دادههای مهم خود (فایلها، اسناد، عکسها، فیلمها و غیره) نسخه پشتیبان تهیه کنید.
اگر با یک مشکل باج افزار مواجه شدید، قانون شماره یک این است که هرگز باج را پرداخت نکنید. با پرداخت هزینه مجرمان سایبری را تشویق میکنید تا حملات بیشتری را علیه شما یا شخص دیگری انجام دهند. از ابزارهای امنیتی مانند فایروالهای محافظت از ایمیل استفاده کنید. نصب آنتی ویروسهای قوی و معتبر راه دیگری برای مقابله با خطرات باج افزارها است.
سیستمهای تشخیص نفوذ (IDS) گاهی اوقات برای تشخیص و کنترل باج افزارها استفاده خواهند شد. همچنین، آموزش دادن به کارکنان و کسب اطلاعات در این زمینه تنها یکی از چندین لایه دفاعی برای محافظت در برابر باج افزارها است. بیمارستانها، سازمانهای امنیتی و نظامی، بانکها، شرکتهای بزرگ، صنایع خدماتی و همه کسب و کارهایی که اطلاعات با ارزش دارند، در معرض خطر باج افزارها قرار دارند.
راههای جلوگیری از ورود باج افزار
- به ایمیل های ناشناس پاسخ ندهید یا ایمیلهایی را که در قسمت اسپم (Spam) قرار دارند را باز نکنید.
- تنها از وبسایتهای امن با پروتکل HTTPS و شناخته شده استفاده کنید.
- قبل از آنلاین شدن، از وجود آنتی ویروس و فایروال مؤثر مطمئن شوید.
- در صورتی امکان از Antispyware استفاده کنید.
- به طور منظم از اطلاعات خود نسخه پشتیبان تهیه کنید.
- محصولات امنیتی هنگامی که همراه با ابزارهای مدیریت دستگاه تلفن همراه (MDM) استفاده میشوند، میتوانند اپلیکیشنها را در دستگاههای کاربران تجزیه و تحلیل کرده و بلافاصله به کاربران در مورد برنامههایی که ممکن است گوشی را به خطر بیندازند، هشدار دهند.
- ابزارهای مانیتورینگ میتوانند فعالیتهای غیرمعمول دسترسی به فایل، ویروسها، ترافیک شبکه و مقدار کارکرد CPU را تشخیص دهند. این کارها احتمالاً برای جلوگیری از فعال شدن باج افزار انجام میشوند.
کلام آخر
باج افزار معمولاً به عنوان یک بدافزار متفاوت از ویروس طبقه بندی میشوند. اولین گونههای باج افزار در اواخر دهه 1980 توسعه یافتند و تا به امروز به بلوغ کامل خود رسیدهاند. امروزه، نویسندگان باج افزار به قربانیان که اغلب کاربران خانگی و هستند، دستور میدهند که برای بازیابی اطلاعات به پرداخت از طریق ارز دیجیتال یا کارت اعتباری روی بیاورند؛ اما برای تشخیص و مقابله با باج افزارها، هر کاربر خانگی و سازمانی باید از متخصصین برای پشتیبانی و خدمات امنیتی کمک بگیرد.
منابع :
بدون دیدگاه