مقدمه

باج‌افزار، بدافزاری است که برای ممانعت از دسترسی کاربر یا سازمان به فایل‌های رایانه او طراحی شده است. این بدافزارها با رمزگذاری فایل‌ها و درخواست پرداخت باج برای دریافت کلید رمزگشایی، سازمان‌ها را در موقعیتی قرار می‌دهند که پرداخت باج ساده‌ترین و ارزان‌ترین راه برای دسترسی مجدد به فایل‌هایشان باشد. برخی از انواع باج‌افزار، قابلیت‌های اضافی مانند سرقت داده‌ها را اضافه کرده‌اند تا انگیزه بیشتری برای قربانیان جهت پرداخت باج فراهم کنند.

چرا حملات باج‌افزار رو به افزایش هستند؟

شور و شوق مدرن باج‌افزار با شیوع WannaCry در سال ۲۰۱۷ آغاز شد. این حمله در مقیاس بزرگ و بسیار تبلیغاتی نشان داد که حملات باج‌افزار امکان‌پذیر و سودآور هستند. از آن زمان، ده‌ها نوع باج‌افزار توسعه یافته و در انواع حملات مورد استفاده قرار گرفته است.

همه‌گیری کووید-۱۹ همچنین به افزایش اخیر باج‌افزارها کمک کرد. از آنجایی که سازمان‌ها به سرعت به سمت دورکاری حرکت کردند، شکاف‌هایی در دفاع سایبری آن‌ها ایجاد شد. مجرمان سایبری از این آسیب‌پذیری‌ها برای ارائه باج‌افزار سوء استفاده کرده‌اند که منجر به افزایش حملات باج‌افزاری می‌شود. در سه ماهه سوم ۲۰۲۰، حملات باج‌افزار نسبت به نیمه اول آن سال ۵۰ درصد افزایش یافت.

انواع باج‌افزارهای محبوب در سال ۲۰۲۰-۲۰۲۱

ده ها نوع باج‌افزار وجود دارد که هر کدام ویژگی‌های منحصر به فرد خود را دارند. با این حال، برخی از گروه‌های باج‌افزار پرکارتر و موفق‌تر از سایرین بوده‌اند و این امر آن‌ها را از بقیه متمایز می‌کند.

۱- Ryuk

Ryuk نمونه‌ای از نوع باج‌افزار بسیار هدفمند است. معمولاً از طریق ایمیل‌های فیشینگ هدفدار (Spear Phishing) یا با استفاده از اعتبار کاربری در معرض خطر برای ورود به سیستم‌های سازمانی با استفاده از پروتکل دسکتاپ از راه دور (RDP) ارائه می‌گردد. هنگامی که یک سیستم آلوده شود، Ryuk انواع خاصی از فایل‌ها را رمزگذاری می‌کند (با اجتناب از موارد ضروری برای عملکرد رایانه)، سپس درخواست باج را ارائه می‌دهد.

Ryuk به عنوان یکی از گران‌ترین انواع باج‌افزارهای موجود شناخته شده است. Ryuk به طور متوسط ​​بیش از ۱ میلیون دلار باج می‌خواهد. در نتیجه، مجرمان سایبری پشت Ryuk در درجه اول بر شرکت‌هایی تمرکز می‌کنند که منابع لازم برای برآورده کردن خواسته‌های آن‌ها را دارند.

۲- Maze

باج‌افزار Maze به دلیل اینکه اولین نوع باج‌افزاری است که رمزگذاری فایل و سرقت داده را ترکیب می‌کند، مشهور می‌باشد. هنگامی که قربانیان از پرداخت باج امتناع می‌کردند، Maze داده‌های حساس را از رایانه‌های آن‌ها جمع‌آوری و رمزگذاری می‌کرد. اگر درخواست‌های باج برآورده نمی‌شد، این داده‌ها در معرض دید عموم قرار می‌گرفت یا به بالاترین پیشنهاد فروخته می‌شد. پتانسیل برای نقض داده‌های گران‌قیمت به عنوان انگیزه اضافی برای پرداخت استفاده شد.

گروه پشت باج‌افزار Maze رسما به فعالیت خود پایان داد. با این حال، این بدان معنا نیست که تهدید باج‌افزار کاهش یافته است. برخی از زیرمجموعه‌های Maze به استفاده از باج‌افزار Egregor روی آورده‌اند و اعتقاد بر این است که گونه‌های Egregor، Maze و Sekhmet منبع مشترکی دارند.

۳- REvil (Sodinokibi)

گروه REvil ( که به عنوان Sodinokibi نیز شناخته می‌شود) نوع دیگری از باج‌افزار است که سازمان‌های بزرگ را هدف قرار می‌دهد.

REvil یکی از شناخته‌شده‌ترین خانواده‌های باج‌افزار در شبکه است. گروه باج‌افزار که از سال ۲۰۱۹ توسط گروه روسی زبان REvil اداره می‌شود، مسئول بسیاری از حملات بزرگ مانند “Kaseya” و “JBS” بوده است.

این باج‌افزار در چندین سال گذشته برای عنوان گران‌ترین نوع باج‌افزار با Ryuk رقابت کرده است. گفته می‌شود که این باج‌افزار ۸۰۰ هزار دلار باج خواسته است.

مجرمان سازنده این باج‌افزار از تکنیک Double Extortion برای سرقت داده‌ها از کسب و کارها و در عین حال رمزگذاری فایل‌ها استفاده می‌کنند. این بدان معناست که علاوه بر درخواست باج برای رمزگشایی داده‌ها، مهاجمان ممکن است تهدید کنند که در صورت عدم پرداخت دوم، داده‌های دزدیده‌شده را منتشر خواهند کرد.

۴- Lockbit

LockBit یک بدافزار رمزگذاری داده است که از سپتامبر ۲۰۱۹ در حال کار بوده و اخیراً تبدیل به یک باج‌افزار به عنوان سرویس (Ransomware-as-a-Service) شده است. این باج‌افزار برای رمزگذاری سریع سازمان‌های بزرگ به عنوان راهی برای جلوگیری از شناسایی سریع آن توسط دستگاه‌های امنیتی و تیم‌های IT/SOC توسعه یافته است.

باج‌افزار چگونه کامپیوتر شما را آلوده می‌کند

باج‌افزار باید به یک سیستم هدف دسترسی پیدا کرده، فایل‌ها را در آنجا رمزگذاری کند و از قربانی باج بگیرد.

در حالی که جزئیات پیاده‌سازی از یک باج‌افزار تا باج‌افزار دیگر متفاوت است، همه سه مرحله اساسی یکسان دارند:

مرحله ۱- ناقلین آلودگی و توزیعکنندگان

باج‌افزار نیز مانند هر بدافزاری، می‌تواند به روش‌های مختلف به سیستم‌های سازمان دسترسی پیدا کند. با این حال، اپراتورهای باج‌افزار معمولا چند ناقل خاص را ترجیح می‌دهند.

یکی از آن‌ها ایمیل‌های فیشینگ است. یک ایمیل مخرب ممکن است حاوی لینکی به یک وب‌سایت میزبان دانلود مخرب یا پیوستی باشد که دارای عملکرد دانلودکننده داخلی است. اگر گیرنده ایمیل به دام بیفتد، باج‌افزار در رایانه او دانلود و اجرا می‌شود.

یکی دیگر از ناقلین باج‌افزار محبوب از خدماتی مانند پروتکل دسکتاپ از راه دور (RDP) بهره می‌برد. با RDP، مهاجمی که اعتبار ورود یک کارمند را به سرقت برده یا حدس زده است، می‌تواند از آن‌ها برای احراز هویت و دسترسی از راه دور به رایانه‌ای در شبکه سازمانی استفاده کند. با این دسترسی، مهاجم می‌تواند مستقیماً بدافزار را دانلود کرده و آن را روی دستگاه تحت کنترل خود اجرا نماید.

دیگران ممکن است سعی کنند مستقیماً سیستم‌ها را آلوده کنند، مانند نحوه سوء استفاده WannaCry از آسیب‌پذیری EternalBlue. اکثر انواع باج‌افزار دارای چندین ناقل هستند.

مرحله ۲- رمزگذاری داده‌ها

پس از اینکه باج‌افزار به یک سیستم دسترسی پیدا کرد، می‌تواند رمزگذاری فایل‌های آن را آغاز کند. از آنجایی که قابلیت رمزگذاری در سیستم عامل تعبیه شده است، این کار به سادگی شامل دسترسی به فایل‌ها، رمزگذاری آن‌ها با یک کلید کنترل‌شده توسط مهاجم، و جایگزینی نسخه‌های اصلی با نسخه‌های رمزگذاری‌شده است. اکثر انواع باج‌افزار در انتخاب فایل‌ها برای رمزگذاری جهت اطمینان از ثبات سیستم محتاط هستند. برخی از انواع نیز اقداماتی را برای حذف نسخه‌های پشتیبان و سایه‌ای از فایل‌ها انجام می‌دهند تا بازیابی بدون کلید رمزگشایی دشوارتر شود.

مرحله ۳- تقاضای باج

پس از تکمیل رمزگذاری فایل، باج‌افزار برای باج‌خواهی آماده می‌شود. انواع باج‌افزارهای مختلف این را به روش‌های متعددی اجرا می‌کنند، اما تغییر پس‌زمینه صفحه نمایش به یادداشت باج یا فایل‌های متنی در هر فهرست رمزگذاری‌شده حاوی یادداشت باج، غیرعادی نیست. به طور معمول، این یادداشت‌ها در ازای دسترسی به فایل‌های قربانی، مقدار مشخصی ارز دیجیتال را طلب می‌کنند. اگر باج پرداخت شود، اپراتور باج‌افزار یا یک کپی از کلید خصوصی مورد استفاده برای محافظت از کلید رمزگذاری متقارن یا یک کپی از خود کلید رمزگذاری متقارن ارائه می‌دهد. این اطلاعات را می‌توان در یک برنامه رمزگشا (که توسط مجرم سایبری ارائه می‌شود) وارد کرد که از آن برای معکوس کردن رمزگذاری و بازگرداندن دسترسی به فایل‌های کاربر استفاده می‌کند.

در حالی که این سه مرحله اصلی در همه انواع باج‌افزار وجود دارند، باج‌افزارهای مختلف می‌توانند شامل پیاده‌سازی‌های متفاوت یا مراحل اضافی باشند. برای مثال، باج‌افزاری مانند Maze، اسکن فایل‌ها، اطلاعات رجیستری و سرقت داده‌ها را قبل از رمزگذاری داده‌ها انجام می‌دهد و باج‌افزار WannaCry دستگاه‌های آسیب‌پذیر دیگر را برای آلوده کردن و رمزگذاری اسکن می‌کند.

چگونه آلودگی باج‌افزار فعال را کاهش دهیم

بسیاری از حملات موفق باج‌افزار تنها پس از تکمیل رمزگذاری داده‌ها و نمایش یادداشت باج بر روی صفحه نمایش رایانه آلوده شناسایی می‌شوند. در این مرحله، فایل‌های رمزگذاری‌شده احتمالاً غیرقابل بازیابی هستند، اما برخی اقدامات باید فوراً انجام شوند:

  • قرنطینه کردن دستگاه: برخی از انواع باج‌افزار سعی می‌کنند به درایوهای متصل و سایر دستگاه‌ها سرایت کنند. با حذف دسترسی به سایر اهداف بالقوه، گسترش بدافزار را محدود کنید.
  • رایانه را روشن بگذارید: رمزگذاری فایل‌ها ممکن است رایانه را ناپایدار کند و خاموش کردن رایانه می‌تواند منجر به از دست دادن حافظه شود. رایانه را روشن نگه دارید تا احتمال بازیابی به حداکثر برسد.
  • ایجاد یک نسخه پشتیبان: رمزگشایی فایل‌ها برای برخی از انواع باج‌افزار بدون پرداخت باج امکان‌پذیر است. در صورتی که در آینده راه‌حلی در دسترس باشد یا تلاش ناموفق رمزگشایی به فایل‌ها آسیب برساند، یک کپی از فایل‌های رمزگذاری‌شده روی رسانه‌های قابل جابجایی تهیه کنید.
  • بررسی رمزگشاها: با پروژه No More Ransom بررسی کنید تا ببینید آیا رمزگشای رایگان در دسترس است یا خیر. اگر چنین است، آن را روی یک کپی از داده‌های رمزگذاری‌شده اجرا کنید تا ببینید آیا می‌تواند فایل‌ها را بازیابی کند یا خیر.
  • درخواست کمک: گاهی اوقات رایانه‌ها نسخه‌های پشتیبان فایل‌های ذخیره شده روی خود را سیو می‌کنند. اگر این نسخه‌ها توسط بدافزار پاک نشده باشند، ممکن است یک متخصص بتواند این نسخه‌ها را بازیابی کند.
  • پاک کردن و بازیابی: دستگاه را از یک نسخه پشتیبان تمیز یا نصب سیستم عامل بازیابی کنید. این تضمین می‌کند که بدافزار به طور کامل از دستگاه حذف می‌شود.

سخن پایانی

حملات اخیر باج‌افزار بر توانایی بیمارستان‌ها برای ارائه خدمات حیاتی تأثیر گذاشته، خدمات عمومی را در شهرها فلج کرده و به سازمان‌های مختلف آسیب قابل توجهی وارد کرده است. با انجام اقدامات پیشگیرانه و بالا بردن امنیت سیستم، می‌توانید رایانه خود را از این حملات فاجعه‌بار در امان نگه دارید.

مقالات مرتبط:

  1. با نحوه نفوذ باج ‌افزار به‌صورت کامل آشنا شوید باج‌افزار نوعی بدافزار به شمار می‌رود که مجرمان سایبری از...
  2. باج افزار STOP/Djvu از قربانیان، بیت‌کوین می‌خواهد تیم تحقیقاتی Cyble نوع جدیدی از بدافزار DJVU را که...
  3. چگونه بفهمیم دچار باج افزار شدیم؟ Ransomware یکی از تهدیدهایی است که می تواند گریبانگیر شما...
  4. چرا استفاده از نرم‌ افزار ضد باج ‌افزار تا به این اندازه اهمیت دارد؟ حملات باج‌افزاری به‌عنوان یکی از مؤثرترین و مضرترین حملات بدافزاری...