مقدمه
باجافزار، بدافزاری است که برای ممانعت از دسترسی کاربر یا سازمان به فایلهای رایانه او طراحی شده است. این بدافزارها با رمزگذاری فایلها و درخواست پرداخت باج برای دریافت کلید رمزگشایی، سازمانها را در موقعیتی قرار میدهند که پرداخت باج سادهترین و ارزانترین راه برای دسترسی مجدد به فایلهایشان باشد. برخی از انواع باجافزار، قابلیتهای اضافی مانند سرقت دادهها را اضافه کردهاند تا انگیزه بیشتری برای قربانیان جهت پرداخت باج فراهم کنند.
چرا حملات باجافزار رو به افزایش هستند؟
شور و شوق مدرن باجافزار با شیوع WannaCry در سال ۲۰۱۷ آغاز شد. این حمله در مقیاس بزرگ و بسیار تبلیغاتی نشان داد که حملات باجافزار امکانپذیر و سودآور هستند. از آن زمان، دهها نوع باجافزار توسعه یافته و در انواع حملات مورد استفاده قرار گرفته است.
همهگیری کووید-۱۹ همچنین به افزایش اخیر باجافزارها کمک کرد. از آنجایی که سازمانها به سرعت به سمت دورکاری حرکت کردند، شکافهایی در دفاع سایبری آنها ایجاد شد. مجرمان سایبری از این آسیبپذیریها برای ارائه باجافزار سوء استفاده کردهاند که منجر به افزایش حملات باجافزاری میشود. در سه ماهه سوم ۲۰۲۰، حملات باجافزار نسبت به نیمه اول آن سال ۵۰ درصد افزایش یافت.
انواع باجافزارهای محبوب در سال ۲۰۲۰-۲۰۲۱
ده ها نوع باجافزار وجود دارد که هر کدام ویژگیهای منحصر به فرد خود را دارند. با این حال، برخی از گروههای باجافزار پرکارتر و موفقتر از سایرین بودهاند و این امر آنها را از بقیه متمایز میکند.
۱- Ryuk
Ryuk نمونهای از نوع باجافزار بسیار هدفمند است. معمولاً از طریق ایمیلهای فیشینگ هدفدار (Spear Phishing) یا با استفاده از اعتبار کاربری در معرض خطر برای ورود به سیستمهای سازمانی با استفاده از پروتکل دسکتاپ از راه دور (RDP) ارائه میگردد. هنگامی که یک سیستم آلوده شود، Ryuk انواع خاصی از فایلها را رمزگذاری میکند (با اجتناب از موارد ضروری برای عملکرد رایانه)، سپس درخواست باج را ارائه میدهد.
Ryuk به عنوان یکی از گرانترین انواع باجافزارهای موجود شناخته شده است. Ryuk به طور متوسط بیش از ۱ میلیون دلار باج میخواهد. در نتیجه، مجرمان سایبری پشت Ryuk در درجه اول بر شرکتهایی تمرکز میکنند که منابع لازم برای برآورده کردن خواستههای آنها را دارند.
۲- Maze
باجافزار Maze به دلیل اینکه اولین نوع باجافزاری است که رمزگذاری فایل و سرقت داده را ترکیب میکند، مشهور میباشد. هنگامی که قربانیان از پرداخت باج امتناع میکردند، Maze دادههای حساس را از رایانههای آنها جمعآوری و رمزگذاری میکرد. اگر درخواستهای باج برآورده نمیشد، این دادهها در معرض دید عموم قرار میگرفت یا به بالاترین پیشنهاد فروخته میشد. پتانسیل برای نقض دادههای گرانقیمت به عنوان انگیزه اضافی برای پرداخت استفاده شد.
گروه پشت باجافزار Maze رسما به فعالیت خود پایان داد. با این حال، این بدان معنا نیست که تهدید باجافزار کاهش یافته است. برخی از زیرمجموعههای Maze به استفاده از باجافزار Egregor روی آوردهاند و اعتقاد بر این است که گونههای Egregor، Maze و Sekhmet منبع مشترکی دارند.
۳- REvil (Sodinokibi)
گروه REvil ( که به عنوان Sodinokibi نیز شناخته میشود) نوع دیگری از باجافزار است که سازمانهای بزرگ را هدف قرار میدهد.
REvil یکی از شناختهشدهترین خانوادههای باجافزار در شبکه است. گروه باجافزار که از سال ۲۰۱۹ توسط گروه روسی زبان REvil اداره میشود، مسئول بسیاری از حملات بزرگ مانند “Kaseya” و “JBS” بوده است.
این باجافزار در چندین سال گذشته برای عنوان گرانترین نوع باجافزار با Ryuk رقابت کرده است. گفته میشود که این باجافزار ۸۰۰ هزار دلار باج خواسته است.
مجرمان سازنده این باجافزار از تکنیک Double Extortion برای سرقت دادهها از کسب و کارها و در عین حال رمزگذاری فایلها استفاده میکنند. این بدان معناست که علاوه بر درخواست باج برای رمزگشایی دادهها، مهاجمان ممکن است تهدید کنند که در صورت عدم پرداخت دوم، دادههای دزدیدهشده را منتشر خواهند کرد.
۴- Lockbit
LockBit یک بدافزار رمزگذاری داده است که از سپتامبر ۲۰۱۹ در حال کار بوده و اخیراً تبدیل به یک باجافزار به عنوان سرویس (Ransomware-as-a-Service) شده است. این باجافزار برای رمزگذاری سریع سازمانهای بزرگ به عنوان راهی برای جلوگیری از شناسایی سریع آن توسط دستگاههای امنیتی و تیمهای IT/SOC توسعه یافته است.
باجافزار چگونه کامپیوتر شما را آلوده میکند
باجافزار باید به یک سیستم هدف دسترسی پیدا کرده، فایلها را در آنجا رمزگذاری کند و از قربانی باج بگیرد.
در حالی که جزئیات پیادهسازی از یک باجافزار تا باجافزار دیگر متفاوت است، همه سه مرحله اساسی یکسان دارند:
مرحله ۱- ناقلین آلودگی و توزیعکنندگان
باجافزار نیز مانند هر بدافزاری، میتواند به روشهای مختلف به سیستمهای سازمان دسترسی پیدا کند. با این حال، اپراتورهای باجافزار معمولا چند ناقل خاص را ترجیح میدهند.
یکی از آنها ایمیلهای فیشینگ است. یک ایمیل مخرب ممکن است حاوی لینکی به یک وبسایت میزبان دانلود مخرب یا پیوستی باشد که دارای عملکرد دانلودکننده داخلی است. اگر گیرنده ایمیل به دام بیفتد، باجافزار در رایانه او دانلود و اجرا میشود.
یکی دیگر از ناقلین باجافزار محبوب از خدماتی مانند پروتکل دسکتاپ از راه دور (RDP) بهره میبرد. با RDP، مهاجمی که اعتبار ورود یک کارمند را به سرقت برده یا حدس زده است، میتواند از آنها برای احراز هویت و دسترسی از راه دور به رایانهای در شبکه سازمانی استفاده کند. با این دسترسی، مهاجم میتواند مستقیماً بدافزار را دانلود کرده و آن را روی دستگاه تحت کنترل خود اجرا نماید.
دیگران ممکن است سعی کنند مستقیماً سیستمها را آلوده کنند، مانند نحوه سوء استفاده WannaCry از آسیبپذیری EternalBlue. اکثر انواع باجافزار دارای چندین ناقل هستند.
مرحله ۲- رمزگذاری دادهها
پس از اینکه باجافزار به یک سیستم دسترسی پیدا کرد، میتواند رمزگذاری فایلهای آن را آغاز کند. از آنجایی که قابلیت رمزگذاری در سیستم عامل تعبیه شده است، این کار به سادگی شامل دسترسی به فایلها، رمزگذاری آنها با یک کلید کنترلشده توسط مهاجم، و جایگزینی نسخههای اصلی با نسخههای رمزگذاریشده است. اکثر انواع باجافزار در انتخاب فایلها برای رمزگذاری جهت اطمینان از ثبات سیستم محتاط هستند. برخی از انواع نیز اقداماتی را برای حذف نسخههای پشتیبان و سایهای از فایلها انجام میدهند تا بازیابی بدون کلید رمزگشایی دشوارتر شود.
مرحله ۳- تقاضای باج
پس از تکمیل رمزگذاری فایل، باجافزار برای باجخواهی آماده میشود. انواع باجافزارهای مختلف این را به روشهای متعددی اجرا میکنند، اما تغییر پسزمینه صفحه نمایش به یادداشت باج یا فایلهای متنی در هر فهرست رمزگذاریشده حاوی یادداشت باج، غیرعادی نیست. به طور معمول، این یادداشتها در ازای دسترسی به فایلهای قربانی، مقدار مشخصی ارز دیجیتال را طلب میکنند. اگر باج پرداخت شود، اپراتور باجافزار یا یک کپی از کلید خصوصی مورد استفاده برای محافظت از کلید رمزگذاری متقارن یا یک کپی از خود کلید رمزگذاری متقارن ارائه میدهد. این اطلاعات را میتوان در یک برنامه رمزگشا (که توسط مجرم سایبری ارائه میشود) وارد کرد که از آن برای معکوس کردن رمزگذاری و بازگرداندن دسترسی به فایلهای کاربر استفاده میکند.
در حالی که این سه مرحله اصلی در همه انواع باجافزار وجود دارند، باجافزارهای مختلف میتوانند شامل پیادهسازیهای متفاوت یا مراحل اضافی باشند. برای مثال، باجافزاری مانند Maze، اسکن فایلها، اطلاعات رجیستری و سرقت دادهها را قبل از رمزگذاری دادهها انجام میدهد و باجافزار WannaCry دستگاههای آسیبپذیر دیگر را برای آلوده کردن و رمزگذاری اسکن میکند.
چگونه آلودگی باجافزار فعال را کاهش دهیم
بسیاری از حملات موفق باجافزار تنها پس از تکمیل رمزگذاری دادهها و نمایش یادداشت باج بر روی صفحه نمایش رایانه آلوده شناسایی میشوند. در این مرحله، فایلهای رمزگذاریشده احتمالاً غیرقابل بازیابی هستند، اما برخی اقدامات باید فوراً انجام شوند:
- قرنطینه کردن دستگاه: برخی از انواع باجافزار سعی میکنند به درایوهای متصل و سایر دستگاهها سرایت کنند. با حذف دسترسی به سایر اهداف بالقوه، گسترش بدافزار را محدود کنید.
- رایانه را روشن بگذارید: رمزگذاری فایلها ممکن است رایانه را ناپایدار کند و خاموش کردن رایانه میتواند منجر به از دست دادن حافظه شود. رایانه را روشن نگه دارید تا احتمال بازیابی به حداکثر برسد.
- ایجاد یک نسخه پشتیبان: رمزگشایی فایلها برای برخی از انواع باجافزار بدون پرداخت باج امکانپذیر است. در صورتی که در آینده راهحلی در دسترس باشد یا تلاش ناموفق رمزگشایی به فایلها آسیب برساند، یک کپی از فایلهای رمزگذاریشده روی رسانههای قابل جابجایی تهیه کنید.
- بررسی رمزگشاها: با پروژه No More Ransom بررسی کنید تا ببینید آیا رمزگشای رایگان در دسترس است یا خیر. اگر چنین است، آن را روی یک کپی از دادههای رمزگذاریشده اجرا کنید تا ببینید آیا میتواند فایلها را بازیابی کند یا خیر.
- درخواست کمک: گاهی اوقات رایانهها نسخههای پشتیبان فایلهای ذخیره شده روی خود را سیو میکنند. اگر این نسخهها توسط بدافزار پاک نشده باشند، ممکن است یک متخصص بتواند این نسخهها را بازیابی کند.
- پاک کردن و بازیابی: دستگاه را از یک نسخه پشتیبان تمیز یا نصب سیستم عامل بازیابی کنید. این تضمین میکند که بدافزار به طور کامل از دستگاه حذف میشود.
سخن پایانی
حملات اخیر باجافزار بر توانایی بیمارستانها برای ارائه خدمات حیاتی تأثیر گذاشته، خدمات عمومی را در شهرها فلج کرده و به سازمانهای مختلف آسیب قابل توجهی وارد کرده است. با انجام اقدامات پیشگیرانه و بالا بردن امنیت سیستم، میتوانید رایانه خود را از این حملات فاجعهبار در امان نگه دارید.
Leave A Comment