باج افزار یا Ransomware

باج افزار (Ransomware) چیست؟

به طور متوسط روزانه 4 هزار باج افزار (Ransomware) به سیستم های کامپیوتری و شبکه‌ها حمله می‌کنند. باج افزارها متنوع‌ترین نرم افزارهای مخرب هستند که حدود 39 درصد از بدافزارهایی که تاکنون شناسایی شده است را تشکیل می‌دهند. درحقیقت، باج افزار یک مشکل مهم و اغلب ترسناک است زیرا تمام فایل‌ها و داده‌های کاربر گروگان گرفته می‌شود تا زمانی که مبلغ باج خواهی پرداخت شود. این مشکل مانند زمانی است مجرمان فرزند یک خانواده را گروگان می گیرند و در ازای جان او، درخواست پول می‌کنند. با این مثال ساده  وارد دنیای باج افزارها می‌شویم.

تعریف باج افزار

باج افزار (Ransomware) نوعی نرم افزار مخرب است که تهدید به انتشار یا مسدود کردن دسترسی به داده‌ها یا سیستم کامپیوتری می‌کند. این بدافزار معمولاً با رمزگذاری اطلاعات یا سیستم از کاربر می‌خواهد هزینه‌ای را بابت باز کردن قفل داده‌ها پرداخت کند. در بسیاری از موارد، تقاضای باج با یک مهلت همراه است. اگر قربانی به موقع آن را پرداخت نکند، داده‌ها برای همیشه از بین می‌روند یا هزینه باج افزایش می‌یابد.

هر دستگاهی که به اینترنت متصل باشد، در خطر تبدیل شدن به قربانی باج افزارها است. اگر یک شرکت دارای شبکه برای اتصال کامپیوترها به یکدیگر باشد، باج افزار می‌تواند اسناد مهم و پرونده‌های سیستمی را رمزگذاری کند. اگر دستگاهی به اینترنت متصل می‌شود، باید با جدیدترین آنتی ویروس‌های امنیتی به روز شود و باید دارای بدافزارهایی باشد که باج افزار را شناسایی و متوقف می‌کند. سیستم عامل‌های قدیمی مانند ویندوز اکس‌پی (XP) که کمتر استفاده می‌شوند در معرض خطر بیشتری قرار دارند.

به طور کلی، مجرمان سایبری به هر مصرف کننده یا هر شغلی حمله می‌کنند و قربانیان از همه صنایع را هدف قرار می‌دهند. چندین آژانس دولتی از جمله اف‌بی‌آی (FBI) توصیه می‌کنند که مردم از پرداخت مبلغ باج برای جلوگیری از تشویق چرخه باج افزارها جلوگیری کنند. علاوه بر این، نیمی از قربانیانی که باج می‌دهند، احتمال دارد از حملات باج افزارهای مکرر رنج ببرند، به ویژه اگر این بدافزار از سیستم آنها پاک نشده باشد!

باج افزار (Ransomware)تاریخچه حملات باج افزار

باج‌افزارها اولین بار در سال 1989 مشاهده شدند که از ویروس ایدز برای اخاذی از کاربران استفاده می‌کردند. نحوه پرداخت این حمله از طریق پست به پاناما انجام شد، در آن زمان یک کلید رمزگشایی نیز برای کاربر پست می‌شد. در سال 1996، باج افزار با عنوان اخاذی کریپتووایرال (Cryptoviral Extortion) شناخته که توسط موتی یونگ و آدام یانگ از دانشگاه کلمبیا معرفی شد.

اخاذی کریپتووایرال توانست پیشرفت، قدرت و ایجاد ابزارهای رمزنگاری مدرن را نشان ‌دهد. یونگ و یانگ اولین حمله رمزنگاری را در کنفرانس امنیت و حریم خصوصی IEEE 1996  ارائه کردند. ویروس آنها حاوی کلید عمومی مهاجم بود و پرونده‌های قربانی را رمزگذاری می‌کرد. سپس این بدافزار قربانی را ترغیب می‌کرد تا متن رمزنگاری نامتقارنی را برای مهاجم ارسال کند تا رمزگشایی را با پرداخت هزینه بازگرداند.

مهاجمان در طول این سال‌ها با درخواست پرداخت‌هایی که تقریباً غیرممکن بود، خلاقیت خود را افزایش دادند. این مهم به مجرمان سایبری کمک می‌کند تا ناشناس بمانند. به عنوان مثال، باج افزار معروف فوسوب (Fusob) از قربانیان می‌خواهد که از کارت‌های هدیه اپل آیتونز (Apple iTunes) به جای ارزهای معمولی مانند دلار برای پرداخت باج استفاده کنند.

حملات باج افزاری با رشد ارزهای رمزپایه مانند بیت کوین محبوبیت خود را افزایش دادند.ارز رمزنگاری شده (مزارز) یک پول دیجیتال است که از تکنیک‌های رمزگذاری برای تأیید و ایمن سازی تراکنش‌ها استفاده می‌کند. فراتر از بیت کوین، ارزهای رمزنگاری شده دیگری نیز مانند اتریوم و لایت کوین وجود دارند که مهاجمان از آن ها استفاده می‌کنند.

یکی از معروف‌ترین ویروس‌ها حمله به بیمارستان یادبود پرسبیترینیسم (Presbyterian) است. این حمله آسیب‌ها و خطرات احتمالی باج افزار را برجسته کرد. آزمایشگاه‌ها، داروخانه‌ها و اورژانس مورد حمله قرار گرفتند. باج افزارها تقریباً در تمام جهان به کاربران خانگی و سازمان‌ها حمله می‌کنند و از آنها تنها طلب یک چیز را دارند، پرداخت پول در ازای بازگرداندن اطلاعات!

نمونه‌هایی از باج افزار

با آگاهی از حملات باج افزارهای اصلی سازمان‌ها می‌توانند پایه و اساس محکمی از تاکتیک‌ها، سوء استفاده‌ها و ویژگی‌های اکثر حملات باج افزاری را به دست آورند. در حالی که تغییرات زیادی در کد، اهداف و عملکرد باج افزار وجود دارند، نوآوری در حملات باج افزارها به طور معمول افزایش یافته است.

انواع باج افزارها به شرح زیر هستند:

واناکرای (WannaCry)

یک سوء استفاده قدرتمند از مایکروسافت انجام داد که برای ایجاد یک کرم باج افزار جهانی که بیش از 250 هزار سیستم را قبل از قطع شدن یک کیل سوئیچ (killswitch) برای جلوگیری از گسترش آن، آلوده کرد.

کریپتو لاکر (CryptoLocker)

این یکی از اولین نسل باج افزارهای فعلی بود که برای پرداخت نیاز به رمزنگاری (بیت کوین) داشت و ‌هارد دیسک کاربر و درایوهای شبکه متصل را رمزگذاری می‌کرد. کریپتو لاکر از طریق یک ایمیل با یک فایل پیوست که ادعا می‌کرد اعلان‌های ردیابی FedEx و UPS است، منتشر می‌شد. اما گزارش‌های مختلف نشان می‌دهند که بیش از 27 میلیون دلار توسط کریپتو لاکر اخاذی شده است.

Ransomwareپِتیا (Petya)

این یکی از مخرب‌ترین حملات باج افزارها محسوب می‌شود. پتیا پرونده اصلی بوت سیستم مایکروسافت ویندوز را آلوده و رمزگذاری می‌کند. پتیا از همان آسیب پذیری واناکرای برای گسترش سریع استفاده و برای لغو تغییرات، درخواست پرداخت بیت کوین را دارد.

بد ربیت (Bad Rabbit)

این باج افزار به عنوان پسر عموی پتیا شناخته می‌شود و از کد مشابه استفاده می‌کند. به نظر می‌رسید بدرابیت روسیه و اوکراین و بیشتر شرکت‌های رسانه‌ای را تحت تأثیر قرار داده است. برخلاف پتیا، بدربیت در صورت پرداخت باج اجازه رمزگشایی را می‌دهد. اکثر موارد نشان می‌دهند که این باج افزار از طریق به روزرسانی جعلی فلش پلیر وارد سیستم می‌شود.

رویل (REvil)

رویل توسط گروهی از مهاجمان با انگیزه مالی نوشته شده است. این باج افزار داده‌های مربوطه را قبل از رمزگذاری استخراج می‌کند تا قربانیان هدف را مجبور به پرداخت باج کند. این حمله اغلب ناشی از اختلال در مدیریت فناوری اطلاعات است که برای زیرساخت‌های ویندوز و مک استفاده می‌شود.

ریوک (Ryuk)

ریوک یک برنامه باج افزار دستی است که عمدتاً در فیشینگ هدف‌دار (Spear Phishing) استفاده می‌شود. اهداف با دقت بالایی شناسایی و انتخاب خواهند شد. پیام های ایمیل به قربانیان منتخب ارسال و همه فایل‌های میزبانی شده بر روی سیستم آنها آلوده شده و رمزگذاری می‌شوند.

نحوه کار باج افزار

باج افزار نوعی بدافزار است که برای اخاذی از قربانیان طراحی می شود و دسترسی به داده‌های سیستم‌های آن‌ها را مسدود می‌کند. دو نوع رایج باج افزار، رمزگذار و قفل صفحه هستند. رمزگذارها همانطور که از نامشان پیداست، داده‌ها را بر روی یک سیستم رمزگذاری کرده و دسترسی به محتوا تنها با داشتن رمز میسر می‌باشد.

از طرف دیگر، قفل‌های صفحه به سادگی دسترسی به سیستم را با یک صفحه نمایش قفل مسدود می‌کنند و انگار سیستم رمزگذاری شده است. قربانیان از طریق صفحه قفل برای خرید ارز رمزنگاری شده مانند بیت‌کوین جهت پرداخت هزینه باج، مطلع می‌شوند. پس از پرداخت باج، مشتریان کلید رمزگشایی را دریافت می‌کنند و ممکن است اقدام به رمزگشایی فایل‌های خود کنند.

رمزگشایی کامل همه اطلاعات تضمین نمی‌شود زیرا وجود داده‌های متعدد میزان موفقیت برای رمزگشایی را کاهش می‌دهد. گاهی اوقات قربانیان هرگز رمز را دریافت نمی کنند! برخی حملات حتی پس از پرداخت باج و انتشار داده‌ها، بدافزار دیگری را روی سیستم نصب می‌کنند.

باج افزارها به طور فزاینده‌ای کاربران تجاری را مورد هدف قرار می‌دهند زیرا مشاغل اغلب بیشتر از کاربران خانگی برای باز کردن قفل داده‌ها و از سرگیری عملیات روزانه هزینه پرداخت می‌کنند. باج افزارهای سازمانی معمولاً با یک ایمیل مخرب شروع به کار می‌کنند. یک کاربر مشکوک یک فایل پیوست شده را باز می‌کند یا بر روی آدرس اینترنتی کلیک می‌کند.

در این مرحله، یک عامل باج افزار نصب می‌شود و شروع به رمزگذاری فایل‌های کلیدی در کامپیوتر قربانی می‌کند. پس از رمزگذاری داده‌ها، باج افزار پیامی را در دستگاه آلوده نمایش می‌دهد. این پیام توضیح می‌دهد که چه اتفاقی افتاده است و چگونه می‌توان به مهاجمان پول پرداخت کرد. در صورت پرداخت به قربانیان، باج افزار قول می‌دهد که برای باز کردن قفل داده‌های خود کدی را ارسال کند.

نحوه کار باج افزارتاثیرات تجاری آلوده شدن به باج افزار

کسب و کارهایی که قربانی باج افزار می‌شوند، می‌توانند به اندازه میلیون‌ها تومان داده‌های خود را از دست بدهند. مهاجمان با دسترسی به داده‌ها با تهدید به انتشار اطلاعات و افشای نقض داده‌ها، قربانیان را بابت باج خواهی تهدید می‌کنند، بنابراین سازمان‌هایی که مبلغ باج را سریع پرداخت نمی‌کنند، ممکن است عوارض جانبی دیگری مانند آسیب به برند و دعاوی حقوقی را تجربه کنند.

باج افزار بهره وری را متوقف می‌کند، بنابراین اولین قدم مهار آن است. تجزیه و تحلیل، ریشه آسیب پذیری را مشخص می‌کند اما هرگونه تآخیر در بازیابی بر بهره وری و درآمد کسب و کارها تأثیر می‌گذارد.

دلیل گسترش باج افزارها در ایمیل

با توجه به اینکه افراد بیشتری در خانه کار می‌کنند، باج افزارها استفاده خود از فیشینگ (Phishing) را افزایش دادند. فیشینگ نقطه شروع اولیه برای ویروس باج افزار است. ایمیل فیشینگ کاربران دارای امتیاز کم و کاربران دارای امتیاز بالا را هدف قرار می‌دهد. ایمیل برای استفاده ارزان و آسان است، بنابراین راهی مناسب برای مهاجمان برای انتشار باج افزار ایجاد می‌کند.

اسناد معمولاً از طریق ایمیل ارسال می‌شوند، بنابراین کاربران به فکر باز کردن یک فایل در پیوست ایمیل هستند. سپس با باز کردن ایمیل ماکرو مخرب اجرا می‌شود، باج افزار را در دستگاه محلی بارگیری می‌کند و سپس اثرات منفی خود را ارائه می‌دهد. سهولت در انتشار باج افزار در ایمیل باعث می‌شود تا مجرمان از ایمیل برای باج خواهی استفاده کنند.

باج افزارها در گوشی‌های همراه

تا زمانی که کریپتولاکر و سایر باج افزارهای مشابه در سال 2014 به اوج خود رسیدند، این بدافزارها در مقیاس وسیعی در دستگاه‎‌های تلفن همراه دیده شدند. باج افزار موبایل معمولاً پیامی مبتنی بر قفل شدن گوشی را نشان می‌دهد. در این پیام آمده است که قفل گوشی پس از پرداخت هزینه باز می‌شود. باج افزار موبایل اغلب از طریق اپلیکیشن‌های مخرب گسترش پیدا می‌کند. برای بازیابی دسترسی به تلفن همراه باید گوشی را در حالت ایمن (Safe Mode) بوت کرده و برنامه آلوده را حذف کرد.

عدم پرداخت پول به باج افزارها

پس از رمزگشایی باج افزارها، یک صفحه به کاربر نشان می‌دهند که فایل‌ها رمزگذاری شده و مقدار پولی که باید پرداخت شود را مشخص می‌کنند. معمولاً زمان مشخصی برای پرداخت به قربانی داده می‌شود یا مبلغ باج افزایش می‌یابد. مهاجمان همچنین تهدید می‌کنند که هویت مشاغل را افشا کرده و اعلام می‌کنند که اطلاعات آنها را عمومی می‌کنند.

بزرگ‌ترین خطر پرداخت مبلغ و عدم دریافت رمز عبور برای رمزگشایی داده‌ها است! در اینگونه موارد سازمان پول هنگفتی را پرداخت کرده است ولی نتوانسته است رمزی دریافت کند. اکثر کارشناسان از پرداخت باج برای جلوگیری از تداوم پرداخت‌های مالی به مهاجمان خودداری می‌کنند، اما بسیاری از سازمان‌ها مجبور به این کار می‌شوند. نویسندگان باج افزار، نیاز به پرداخت ارزهای رمزنگاری شده دارند، بنابراین انتقال پول قابل برگشت نیست.

نحوه پاسخگویی به حمله باج افزار

باج افزار پیامی را مبتنی با دستورالعمل پرداخت و اطلاعات مربوط به اتفاقات بعدی در مورد پرونده‌های قفل شده را به کاربر نمایش می‌دهد. برای مدیران مهم است که سریع از خود واکنش نشان بدهند زیرا برخی از باج افزارها سعی می‌کنند به سایر نقاط شبکه گسترش یافته و فایل‌های مهم را پیدا کنند. شما می‌توانید چند مرحله اساسی را برای پاسخ صحیح به باج افزار انجام دهید اما توجه داشته باشید که مداخله متخصصین این حوزه معمولاً برای تجزیه و تحلیل ریشه‌های اصلی، پاکسازی و تحقیقات مورد نیاز است.

مراحل کار به شرح زیر هستند:

  • تعیین کنید که کدام سیستم‌ها تحت تاثیر قرار می‌گیرند. شما باید سیستم‌ها را ایزوله کنید (جدا کنید) تا آنها نتوانند بقیه سیستم‌ها را آلوده کنند. این مرحله بخش مهمی از پاسخگویی به حمله باج افزارها است که آسیب را به حداقل می‌رساند.
  • سیستم‌ها را جدا کنید و در صورت لزوم آنها را خاموش کنید. باج افزار به سرعت در شبکه پخش می‌شود، بنابراین هر سیستم باید با غیرفعال کردن دسترسی به شبکه یا خاموش کردن آنها قطع شود.
  • بازسازی سیستم‌ها را در اولویت قرار دهید تا بحرانی‌ترین آنها سریع‌تر به حالت عادی بازگردند.
  • تهدید را از شبکه ریشه کن کنید. مهاجمان ممکن است از درهای پشتی استفاده کنند، بنابراین ریشه کنی باید توسط یک متخصص مورد اعتماد انجام شود. متخصص نیاز به دسترسی به گزارش‌ها دارد تا تجزیه و تحلیل علت ریشه‌ای آسیب در همه سیستم‌های آلوده شناسایی شود.
  • ارتقاهای امنیتی سیستم‌ها را در دستور کار داشته باشید. معمول است که باج افزار حمله دوم را انجام می‌دهد. اگر آسیب پذیری ناشی از بدافزار شناسایی نشد، سیستم دوباره تحت حمله قرار می‌گیرد.

پاسخگویی به Ransomwareتهدیدهای جدید باج افزار

نویسندگان باج افزارها دائماً کد را به انواع جدیدی تغییر می‌دهند تا از شناخته شدن جلوگیری کنند. مدیران و توسعه دهندگان ضد بدافزار باید از این روش‌های جدید پیروی کنند تا تهدیدها قبل از انتشار سریع در شبکه را تشخیص دهند.

در اینجا چند تهدید جدید وجود دارند:

  • بارگذاری جانبی DLL: بدافزار سعی می‌کند با استفاده از ‌DLL‌ها و سرویس‌هایی که شبیه توابع قانونی هستند، ناشناخته بمانند.
  • سرور و هاست وب سایت: باج افزار در هاست مشترک می‌تواند بر همه سایت‌های میزبانی شده روی سرور تأثیر بگذارد. باج افزارهایی مانند ریوک وبسایت‌های میزبانی شده را هدف قرار می‌دهند و عمدتاً از ایمیل‌های فیشینگ استفاده می‌کنند.
  • ترجیح دادن هدف‌دار فیشینگ بر فیشینگ استاندارد: به جای ارسال بدافزار به هزاران هدف، مهاجمان برای دسترسی به شبکه با امتیاز بالا، اهداف مورد نظر را شناسایی می‌کنند.
  • حملات راس (Raas): معرفی راس منجر به افزایش حملات باج افزارها شده است.

یکی از دلایل اصلی افزایش تهدیدات با استفاده از باج افزار، کار از راه دور (دورکاری یا فریلنسری) است. بیماری همه گیر کرونا روش جدیدی برای شیوه کار کردن در سطح جهانی معرفی کرد. نیروی کار خانگی در برابر تهدیدها بسیار آسیب پذیرتر است.

کاربران خانگی از امنیت سایبری لازم برای محافظت در برابر حملات پیچیده‌ برخوردار نیستند و بسیاری از این کاربران از دستگاه‌های شخصی خود استفاده می‌کنند. از آنجا که باج افزار از شبکه برای حمله استفاده می‌کند، کامپیوتر‌های شخصی آلوده به بدافزار نیز می‌توانند سیستم‌های سازمانی متصل به شبکه را آلوده سازند.

پیشگیری، تشخیص و حذف باج افزارها

اگر مهاجمی دستگاه شما را رمزگذاری کند و باج بخواهد، هیچ تضمینی وجود ندارد که رمز عبور را ارسال کند! برای این کار دو مرحله مهم وجود دارند که باید انجام دهید:

  • نرم افزار امنیتی نصب کنید.
  • از داده‌های مهم خود (فایل‌ها، اسناد، عکس‌ها، فیلم‌ها و غیره) نسخه پشتیبان تهیه کنید.

اگر با یک مشکل باج افزار مواجه شدید، قانون شماره یک این است که هرگز باج را پرداخت نکنید. با پرداخت هزینه مجرمان سایبری را تشویق می‌کنید تا حملات بیشتری را علیه شما یا شخص دیگری انجام دهند. از ابزارهای امنیتی مانند فایروال‌های محافظت از ایمیل استفاده کنید. نصب آنتی ویروس‌های قوی و معتبر راه دیگری برای مقابله با خطرات باج افزارها است.

سیستم‌های تشخیص نفوذ (IDS) گاهی اوقات برای تشخیص و کنترل باج افزارها استفاده خواهند شد. همچنین، آموزش دادن به کارکنان و کسب اطلاعات در این زمینه تنها یکی از چندین لایه دفاعی برای محافظت در برابر باج افزارها است. بیمارستان‌ها، سازمان‌های امنیتی و نظامی، بانک‌ها، شرکت‌های بزرگ، صنایع خدماتی و همه کسب و کارهایی که اطلاعات با ارزش دارند، در معرض خطر باج افزارها قرار دارند.

راه‌های جلوگیری از ورود باج افزار

  • به ایمیل های ناشناس پاسخ ندهید یا ایمیل‌هایی را که در قسمت اسپم (Spam) قرار دارند را باز نکنید.
  • تنها از وبسایت‌های امن با پروتکل HTTPS و شناخته شده استفاده کنید.
  • قبل از آنلاین شدن، از وجود آنتی ویروس و فایروال مؤثر مطمئن شوید.
  • در صورتی امکان از Antispyware استفاده کنید.
  • به طور منظم از اطلاعات خود نسخه پشتیبان تهیه کنید.
  • محصولات امنیتی هنگامی که همراه با ابزارهای مدیریت دستگاه تلفن همراه (MDM) استفاده می‌شوند، می‌توانند اپلیکیشن‌ها را در دستگاه‌های کاربران تجزیه و تحلیل کرده و بلافاصله به کاربران در مورد برنامه‌هایی که ممکن است گوشی را به خطر بیندازند، هشدار دهند.
  • ابزارهای مانیتورینگ می‌توانند فعالیت‌های غیرمعمول دسترسی به فایل، ویروس‌ها، ترافیک شبکه و مقدار کارکرد CPU را تشخیص دهند. این کارها احتمالاً برای جلوگیری از فعال شدن باج افزار انجام می‌شوند.

کلام آخر

باج افزار معمولاً به عنوان یک بدافزار متفاوت از ویروس طبقه بندی می‌شوند. اولین گونه‌های باج افزار در اواخر دهه 1980 توسعه یافتند و تا به امروز به بلوغ کامل خود رسیده‌اند. امروزه، نویسندگان باج افزار به قربانیان که اغلب کاربران خانگی و هستند، دستور می‌دهند که برای بازیابی اطلاعات به پرداخت از طریق ارز دیجیتال یا کارت اعتباری روی بیاورند؛ اما برای تشخیص و مقابله با باج افزارها، هر کاربر خانگی و سازمانی باید از متخصصین برای پشتیبانی و خدمات امنیتی کمک بگیرد.

 

منابع :

https://www.proofpoint.com/

https://www.malwarebytes.com

 

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *