انواع حملات باج افزار

باج‌افزار نوعی بدافزار (نرم‌افزار مخرب) است که توسط مجرمان اینترنتی مورد استفاده قرار می‌گیرد. اگر رایانه یا شبکه‌ای به باج‌افزار آلوده شده باشد، باج‌افزار دسترسی به سیستم را مسدود می‌کند یا داده‌های آن را رمزگذاری می‌کند. مجرمان اینترنتی در ازای آزادسازی اطلاعات از قربانیان خود باج می‌گیرند. به‌منظور محافظت در برابر آلودگی باج‌افزار، مراقبت هوشیاری و نرم‌افزار امنیتی توصیه می‌شود. قربانیان حملات باج‌افزار پس از آلودگی سه گزینه دارند: آن‌ها می‌توانند باج را پرداخت کنند، یا سعی در حذف بدافزار داشته باشند و یا این‌که دستگاه را دوباره راه‌اندازی کنند. حملات باج‌افزار که غالبا توسط تروجان‌های زورگیر اتفاق می‌افتد شامل Remote Desktop Protocol، ایمیل‌های فیشینگ و آسیب‌پذیری‌های نرم‌افزار است. بنابراین یک حمله باج‌افزار می‌تواند افراد و شرکت‌ها را مورد هدف قرار دهد.

شناسایی حملات باج‌افزار- ایجاد یک تمایز اساسی

به‌طور خاص دو نوع باج‌افزار بسیار محبوب هستند:

  • باج‌افزار قفل کننده: این نوع بدافزار عملکردهای اساسی رایانه را مسدود می‌کند. به‌عنوان مثال، ممکن است دسترسی به دسک‌تاپ دچار مشکل شود، به‌طوری که ماوس و صفحه کلید تا حدی غیرفعال هستند. در این حالت شما می‌توانید برای پرداخت هزینه با پنجره حاوی تقاضای باج ارتباط برقرار کنید. در غیر این‌صورت، رایانه کار نمی‌کند. اما خبر خوبی وجود دارد: بدافزار قفل کننده معمولا فایل‌های مهم را مورد هدف قرار نمی‌دهد. در این حالت تخریب کامل داده‌های شما بعید است.
  • باج‌افزار رمزنگاری: هدف این باج‌افزار، رمزگذاری داده‌های مهم شما، مانند اسناد، تصاویر و فیلم‌ها است، اما تداخل در عملکردهای اساسی رایانه ایجاد نمی‌کند. این موضوع باعث نگرانی می‌شود زیرا کاربران می‌توانند فایل‌های خود را ببینند اما نمی‌توانند به آن‌ها دسترسی داشته باشند. توسعه‌دهندگان رمزنگاری اغلب به تقاضای باج خود یک شمارش معکوس با این موضوع اضافه می‌کنند که اگر تا پایان مهلت مقرر هزینه را پرداخت نکنید، تمام پرونده‌های شما حذف می‌شوند. باتوجه به تعداد کاربرانی که اقدام به پشتیبان‌گیری در فضای ابری یا دستگاه‌های ذخیره‌سازی فیزیکی خارجی نکرده‌اند، باج‌افزار رمزنگاری می‌تواند تاثیرات مخربی داشته باشد. در نتیجه بسیاری از قربانیان برای پس گرفتن فایل‌های خود، اقدام به پرداخت باج می‌کنند.
    اکنون که می‌دانید باج‌افزار چیست و با دو نوع اصلی آن نیز آشنا شدید، در ادامه با چند نمونه معروف آشنا خواهید شد که به شما کمک می‌کند تا خطرات ناشی از حملات باج‌افزار را شناسایی کنید.

آشنایی با سایر باج افزارها

  • Locky

Locky باج‌افزاری است که برای اولین بار در سال 2016 توسط گروهی از هکرهای سازمان‌یافته برای حمله استفاده شد. Locky بیش از 160 نوع فایل را رمزگذاری کرده و از طریق ایمیل‌های جعلی با پیوست آلوده منتشر شده است. کاربران تحت تاثیر ترفند ایمیل قرار گرفتند و باج‌افزار را روی رایانه‌های خود نصب کردند. این روش گسترش، فیشینگ (phishing) نام دارد. باج‌افزار Locky انواع فایل‌هایی را مورد هدف قرار داده که اغلب توسط طراحان، توسعه‌دهندگان، مهندسان و آزمایش‌کنندگان مورد استفاده قرار گرفته‌اند.

  • WannaCry

WannaCry یکی از حملات باج‌افزار بوده که در سال 2017 به بیش از 150 کشور گسترش یافت. این هدف برای سواستفاده از آسیب‌پذیری امنیتی در ویندوز بود که توسط NSA ایجاد شده و توسط گروه هکر Shadow Brokers منتشر شد. WannaCry 230000 کامپیوتر در سراسر جهان را تحت تاثیر قرار داده است. این حمله به یک سوم کل بیمارستان‌های NHS در انگلیس ضربه زد و خسارت تخمینی 92 میلیون پوندی را به‌همراه داشت. کاربران قفل شدند و هزینه قابل پرداخت در بیت‌کوین درخواست شد. این حمله مسئله سیستم‌های منسوخ را آشکار کرد، زیرا هکر از آسیب‌پذیری سیستم عاملی که در زمان حمله از مدت‌ها قبل یک آسیب برای آن وجود داشته است، سواستفاده کرد. خسارت مالی ناشی از WannaCry در سراسر جهان تقریبا 4 میلیارد دلار بود.

  • Bad Rabbit

Bad Rabbit یکی از انواع حملات باج‌افزار از سال 2017 بوده که از طریق حملات اصطلاحا drive-by گسترش یافت. برای انجام حملات از وب‌سایت‌های ناامن استفاده شده است. در یک حمله باج‌افزار توسط درایو، کاربر از یک وب‌سایت واقعی بازدید می‌کند، غافل از این‌که توسط هکرها به خطر افتاده است. برای اکثر حملات مربوط به درایو، تمام چیزی که لازم است این است که کاربر صفحه‌ای را که از طریق آن به خطر افتاده، فراخوانی کند. در این حالت، اجرای یک نصب کننده که حاوی بدافزار است منجربه آلودگی می‌شود. به این حالت چکاننده بدافزار (malware dropper) می‌گویند. Bad Rabbit از کاربر درخواست اجرای نصب جعلی Adobe Flash را کرده و به این ترتیب کامپیوتر با بدافزار آلوده شده.

  • Ryuk

Ryuk یک تروجان رمزگذاری است که در آگوست 2018 گسترش یافت و عملکرد بازیابی سیستم عامل‌های ویندوز را غیرفعال کرد. این امر امکان بازیابی اطلاعات رمزگذاری شده بدون نسخه پشتیبان خارجی را غیرممکن می‌کند. Ryuk دیسک‌های سخت شبکه را نیز رمزگذاری می‌کند. تاثیر این حمله باج‌افزاری بسیار زیاد بود و بسیاری از سازمان‌های ایالات متحده که هدف حمله قرار گرفتند، مبلغ باج درخواست شده را پرداخت کردند. خسارت کلی بیش از 640000 دلار تخمین زده شده است.

  • Shade/Troldesh

حمله باج‌افزار Shade یا Troldesh در سال 2015 رخ داد و از طریق ایمیل‌های هرزنامه (اسپم) حاوی پیوندهای آلوده یا فایل‌های پیوست گسترش یافت. جالب است که مهاجمان Troldesh به‌طور مستقیم از طریق ایمیل با قربانیان خود ارتباط برقرار کردند. قربانیانی که با آن‌ها رابطه خوبی برقرار کرده بودند تخفیف دریافت کردند!

  • Jigsaw

Jigsaw یکی از حملات باج‌افزار است که از سال 2016 آغاز شده است. عملکرد این باج‌افزار برای دریافت باج بسیار شبیه به نحوه مجازات در فیلم ترسناک و محبوب اره (saw) بود. در این فیلم، قربانیان که گروگان بودند اگر معمای طرح شده را در یک بازه زمانی حل نمی‌کردند عواقب ناگواری را باید تحمل می‌کردند. به همین شکل با گذشت هر ساعت اضافی باج پرداخت نشده، باج‌افزار Jigsaw فایل‌های بیشتری را پاک می‌کرد. استفاده از تصویر فیلم ترسناک باعث ایجاد استرس بیشتر در بین کاربران شد.

  • CryptoLocker

CryptoLocker باج‌افزاری است که برای اولین بار در سال 2007 مشاهده شد و از طریق پیوست‌های ایمیل آلوده گسترش یافت. این باج‌افزار به جستجوی داده‌های مهم در رایانه‌های آلوده و رمزگذاری آن‌ها پرداخت. حدود 500000 کامپیوتر تحت تاثیر قرار گرفتند. سازمان‌های اجرای قانون و شرکت‌های امنیتی در نهایت موفق شدند کنترل شبکه‌ای از رایانه‌های خانگی ربوده شده در سراسر جهان را که برای گسترش CryptoLocker استفاده می‌شد، به‌دست بگیرند. این امر امکان رهگیری اطلاعات ارسال شده را برای آژانس‌ها و شرکت‌ها به همراه داشت. در نهایت، پورتالی آنلاین ایجاد شد تا قربانیان بتوانند یک کلید برای باز کردن قفل اطلاعات خود به‌دست آورند. در نتیجه اطلاعات آن‌ها بدون پرداخت باج به مجرم، آزاد می‌شد.

  • Petya

Petya یکی از انواع حملات باج‌افزار است که در سال 2016 اتقاف افتاد و در سال 2017 با عنوان GoldenEye دوباره زنده شد. این باج‌افزار مخرب به‌جای رمزگذاری برخی فایل‌ها، تمام دیسک سخت قربانی را رمزگذاری کرد. این کار با رمزنگاری Master File Table (MFT) انجام شد که دسترسی به فایل‌های روی دیسک سخت را غیرممکن می‌کرد.
نوع دیگر Petya، Petya 2.0 است که در برخی جنبه‌های اصلی متفاوت است. از نظر نحوه حمله، هر دو برای دستگاه به یک اندازه خطرناک هستند.

  • GoldenEye

احیای Petya به‌عنوان GoldenEye منجربه آلوده شدن باج‌افزاری در سراسر جهان در سال 2017 شد. GoldenEye معروف به “هم‌نژاد کشنده‌ی” WannaCry بیش از 2000 هدف از جمله تولیدکنندگان برجسته نفت در روسیه و چندین بانک را مورد حمله قرار داد. GoldenEye پرسنل نیروگاه هسته‌ای Chernobyl را وادار کرد تا پس از قفل شدن در رایانه‌های ویندوزی، میزان تابش در آن‌جا را به‌طور دستی بررسی کنند.

  • GandCrab

GandCrab باج‌افزاری است که ادعا کرد وب‌کم قربانی را هک کرده و خواستار باج شده است. اگر هزینه پرداخت نشود، تصاویر خصوصی قربانی به‌صورت آنلاین منتشر می‌شود. باج‌افزار GandCrab پس از اولین حضور در سال 2018، به توسعه در نسخه‌های مختلف ادامه داد. به‌عنوان بخشی از طرح “No More Ransom” ارائه‌دهندگان امنیت و آژانس‌های پلیس، ابزاری را برای رمزگشایی باج‌افزار تهیه کردند تا به قربانیان کمک کنند اطلاعات حساس خود را از GandCrab بازیابی کنند.

  • B0r0nt0k

B0r0nt0k یک باج‌افزار رمزنگاری است که به‌طور خاص بر روی سرورهای مبتنی بر ویندوز و لینوکس تمرکز دارد. این باج‌افزار مضر، فایل‌های سرور لینوکس را رمزگذاری کرده و پسوند فایل “rontok.” را ضمیمه می‌کند. این بدافزار نه تنها فایل‌ها را تهدید می‌کند بلکه در تنظیمات راه‌اندازی نیز تغییراتی ایجاد می‌کند.

  • Dharma Brrr

Brrr باج‌افزار جدید Dharma است که به‌صورت دستی توسط هکرهایی نصب می‌شود که سپس سرویس‌های دسک‌تاپ متصل به اینترنت را هک می‌کنند. به‌محض این‌که باج‌افزار توسط هکر فعال شود، شروع به رمزگذاری فایل‌هایی می‌کند که می‌یابد.

  • FAIR RANSOMWARE

FAIR RANSOMWARE باج‌افزاری است که هدف آن رمزگذاری داده‌ها است. با استفاده از یک الگوریتم قدرتمند، تمام اسناد و فایل‌های خصوصی قربانی رمزگذاری می‌شوند. فایل‌هایی که با این بدافزار رمزگذاری شده‌اند پسوند فایل “FAIR RANSOMWARE” به آن‌ها اضافه شده است.

  • MADO

MADO نوع دیگری از باج‌افزار رمزنگاری است که داده‌هایی که توسط این باج‌افزار رمزگذاری شده‌اند پسوند mado. می‌گیرند و بنابراین دیگر نمی‌توانند باز شوند.

  • وردپرس

باج‌افزار وردپرس، همان‌طور که از نامش مشخص است، پرونده‌های وب‌سایت وردپرس را هدف قرار می‌دهد. وب‌سایت های آلوده از وردپرس نسخه ۴.۸.۹ تا ۵.۱.۱ استفاده کرده و معمولاً CMS  تاریخ گذشته یا نرم افزارهای سمت سرور آن‌ها دلیل اصلی وجود رخنه‌های امنیتی بوده‌اند.

  • Wolverine

Wolverine Solutions Group (تامین کننده خدمات بهداشتی) در سپتامبر 2018 قربانی حمله باج‌افزار شد. بدافزار مربوطه تعداد زیادی از فایل‌های این شرکت را رمزگذاری کرد و باز کردن آن‌ها را برای بسیاری از کارمندان غیرممکن کرد. خوشبختانه، متخصصان توانستند داده‌ها را در 3 اکتبر رمزگشایی و بازیابی کنند. با این حال بسیاری از داده‌های بیماران در این حمله به خطر افتاد. نام، آدرس، داده‌های پزشکی و سایر اطلاعات شخصی می‌توانست به دست مجرمان سایبری بیافتد.

نتیجه گیری

حملات باج‌افزار ظاهر مختلفی دارند و در هر شکل و نوعی وجود دارند. برای برآورد اندازه و میزان حمله، لازم است همیشه مواردی که در معرض خطر است یا داده‌هایی را که می‌توان حذف یا منتشر کرد، در نظر بگیرید. صرف نظر از نوع باج‌افزار، تهیه نسخه پشتیبان از داده‌ها از قبل و به‌کارگیری صحیح نرم‌افزارهای امنیتی می‌تواند شدت حمله را به‌میزان قابل توجهی کاهش دهد.