مقدمه

باج ‌افزار می‌ تواند یک کسب و کار پرسود باشد که بازده آن از هزاران تا میلیون ‌ها دلار متغیر است. در حالی که ایمیل ‌های فیشینگ همچنان یک تاکتیک محبوب برای معرفی باج‌ افزار به سازمان‌ های هدف هستند، اما این تنها وسیله‌ ای نیست که مجرمان از آن استفاده می ‌کنند. از آنجایی که باج ‌های پرداخت شده می‌ تواند به معنای پول هنگفت باشد، مهاجمان مایلند از هر تکنیکی که در اختیار دارند برای شکستن دفاع محیطی و به حداکثر رساندن آسیب در محیط ها استفاده کنند.

متأسفانه، با وجود بهترین دفاع ‌های محیطی، مجرمان هر از چندی موفق به آلوده کردن دستگاه‌ های هدف می‌ شوند. به همین دلیل است که سازمان ‌ها به یک استراتژی دفاعی نیاز دارند که اثربخشی حمله را به حداقل برساند و انتشار بدافزار در شبکه شما را پس از حضور مهاجم در داخل آن، متوقف کند. اگر سازمان تلاشی برای تقویت دفاعی فراتر از محیط خود انجام نداده باشد، بدافزار احتمالاً به سرعت حرکت کرده و هر دارایی را که می ‌تواند به آن دسترسی پیدا کند، آلوده می‌ سازد.

گسترش جانبی باج ‌افزار

چگونه یک حمله باج ‌افزار اتفاق می ‌افتد؟

تجزیه و تحلیل حملات باج‌ افزار موفقیت ‌آمیز نشان داده است که شیوه‌ های تقسیم ‌بندی ضعیف اغلب در صدر فهرست شکاف‌ های امنیتی است که مانع از توقف یا مهار حمله توسط سازمان می ‌شود.

هنگامی که یک سازمان به باج‌ افزار آلوده می‌ شود، بازیابی محیط می ‌تواند یک چالش باشد. در بسیاری از موارد، فایل‌ های پشتیبان به سرعت پیدا شده و رمزگذاری می‌ شوند و ساده‌ ترین مسیر بازیابی را قطع می ‌کنند. مهاجمان می ‌توانند به این هدف دست یابند و دارایی ‌هایی را که رمزگذاری می ‌کنند، با حرکت جانبی از نقطه ورود به مناطق دیگر که می‌ توانند مشخصات هویتی را با امتیازات ادمین جمع ‌آوری کنند، به حداکثر برسانند. این ممکن است به معنای کنترل‌ کننده دامنه، لپ ‌تاپ یک شخص در دپارتمان IT یا هر تعداد سیستم دیگری باشد که کاربران به طور منظم به آن دسترسی دارند. در نهایت، زمانی که مهاجم آماده است تا باج را صادر کند، حمله معمولاً با یک حرکت سریع به سایر سیستم‌ های حیاتی گسترش می‌ یابد که ممکن است یک روز طول بکشد.

بیایید یک مثال ساده را مرور کنیم که در آن کاربر با کلیک کردن بر روی یک بدافزار، دستگاه خود را آلوده می‌ کند. این بدافزار به مهاجم یک نقطه پرش برای حرکت جانبی به سمت سیستم ‌های حساس ‌تر می ‌دهد. سپس، بدون هیچ مانعی، آن ‌ها می ‌توانند باج‌ افزار را بدون محدودیت در سراسر محیط آزاد کنند.

اما با وجود مرزهای تقسیم‌ بندی خوب، ممکن است هنوز نقطه بازگشتی وجود داشته باشد. در چنین حالتی، توانایی مهاجم برای حرکت جانبی مسدود شده و مانع از پیشروی حمله می‌ شود.

یکی از بهترین دفاع‌ ها در برابر باج ‌افزار، جلوگیری از حرکت جانبی در محیط است. با این حال، تحقق این امر برای ترافیک شرق به غرب با فایروال ‌های سنتی دشوار است.

اگر بتوانید از انتشار بدافزار از نقطه فرود اولیه به مناطق دیگر جلوگیری کنید، تأثیر حمله را تا حد زیادی کاهش می ‌دهید و این امر به شما امکان می ‌دهد از تلاش‌ های گسترده پاکسازی و خرابی کسب ‌و کار که می‌ تواند ناشی از حمله موفق باج ‌افزار باشد، اجتناب کنید.

برخی از رایج ‌ترین را ه‌هایی که دستگاه‌ های شما می‌ توانند به باج ‌افزار آلوده شوند، عبارتند از:

  • ایمیل‌ های اسپم

نویسندگان باج ‌افزار اغلب سعی می ‌کنند شما را فریب دهند تا فایل ‌های مخرب دانلود کنید. این می ‌تواند یک ایمیل با یک فایل پیوست‌ شده باشد که به شما می‌ گوید رسید تحویل، بازپرداخت مالیات یا فاکتور یک بلیط است. ممکن است بگوید که باید پیوست را باز کنید تا اقلام به شما تحویل داده شود یا پول دریافت نمایید.

اگر پیوست را باز کنید، در نهایت بدافزار را روی رایانه خود نصب خواهید کرد.

گاهی اوقات ایمیل مخرب به راحتی قابل تشخیص است. شاید املا و دستور زبان بدی داشته یا از آدرس ایمیلی باشد که قبلاً هرگز ندیده ‌اید. همچنین ممکن است به نظر برسد که این ایمیل‌ ها از طرف یک کسب و کار قانونی یا شخصی که شما می ‌شناسید آمده ‌اند. برخی از بدافزارها می‌ توانند حساب‌ های ایمیل را هک کرده و از آن ‌ها برای ارسال ایمیل ‌های اسپم مخرب به هر مخاطبی که پیدا می ‌کنند، استفاده نمایند.

برای کاهش احتمال آلوده شدن دستگاه کارهای زیر را انجام دهید:

  • اگر مطمئن نیستید که چه کسی ایمیل را برای شما ارسال کرده است یا چیزی درست به نظر نمی ‌رسد، آن را باز نکنید.
  • هرگز روی لینک غیرمنتظره در ایمیل کلیک نکنید. اگر به نظر می‌رسد از سازمانی است که به آن اعتماد یا با آن معامله دارید و فکر می ‌کنید ممکن است قانونی باشد، مرورگر را باز کرده و از طریق بوک ‌مارک ‌ها یا با جستجوی اینترنتی به وب سایت سازمان بروید.
  • پیوست ایمیلی که انتظارش را نداشتید باز نکنید، حتی اگر به نظر می‌ رسد از طرف شخصی است که به او اعتماد دارید.
  • ماکروهای مخرب آفیس

مایکروسافت آفیس دارای یک زبان برنامه ‌نویسی قدرتمند است که به توسعه ‌دهندگان اجازه می‌ دهد تا ابزارهای پیشرفته ‌ای را ایجاد کنند که به شما در بهره‌ وری بیشتر کمک می ‌کند. متأسفانه، مجرمان همچنین می ‌توانند از آن زبان برنامه‌ نویسی برای ایجاد اسکریپت‌ های مخرب جهت نصب بدافزار یا جرایم دیگر، استفاده کنند.

اگر یک فایل آفیس را باز کردید و چنین اعلانی دیدید:

Security Warning        Some active content has been disabled. Click for more details.

آن محتوا را فعال نکنید مگر اینکه مطمئن باشید دقیقاً چه کاری انجام می‌ دهد، حتی اگر به نظر می‌ رسد که فایل از طرف شخصی است که به او اعتماد دارید.

هشدار: یک ترفند محبوب توسط مجرمان این است که به شما بگویند برای سرویسی که هرگز در آن ثبت نام نکرده‌ اید هزینه دریافت خواهید کرد. هنگامی که برای اعتراض با آن ‌ها تماس می ‌گیرید، به شما می‌ گویند که برای لغو سرویس فقط باید یک فایل اکسل ارائه ‌شده را دانلود و برخی از جزئیات را پر کنید. اگر فایل را دانلود و باز کنید اکسل هشداری را که در بالا می  ‌بینید نشان میدهد. اگر Enable Content را انتخاب کنید، ماکروی مخرب اجرا می‌ شود و سیستم شما را آلوده می ‌کند.

  • درایوهای قابل جابجایی آلوده

بسیاری از بدافزارها با آلوده کردن درایوهای قابل جابجایی مانند درایوهای فلش USB یا هارد دیسک ‌های خارجی گسترش می‌ یابند. هنگامی که درایو آلوده را به رایانه شخصی خود متصل می‌ کنید، باج ‌افزار می‌ تواند به طور خودکار نصب شود.

چند کار وجود دارد که می ‌توانید برای جلوگیری از این نوع حمله انجام دهید:

اول و مهم‌ تر از همه، نسبت به هر دستگاه USB که مالک آن نیستید بسیار محتاط باشید. اگر دستگاه USB را پیدا کردید که ظاهرا گم شده یا دور انداخته شده است، از وصل کردن آن به رایانه ‌ای با داده‌ هایی که برایتان مهم است خودداری کنید. گاهی اوقات مهاجمان به عمد دستگاه‌ های USB آلوده را در مناطق محبوب رها می‌ کنند به این امید که کسی آن ‌ها را پیدا و به رایانه ‌اش وصل کند.

اگر آن را وصل نکنید، دستگاه شما نمی ‌تواند آلوده شود. اگر درایو USB را پیدا کردید که ظاهرا گم شده است، ببینید آیا در نزدیکی پذیرش یا جعبه اشیای گمشده وجود دارد که بتوانید آن را تحویل دهید.

دوم، اگر یک دستگاه قابل جابجایی ناشناخته را به رایانه خود وصل می ‌کنید، حتماً فوراً اسکن امنیتی آن را اجرا نمایید.

  • همراه با نرم ‌افزارهای دیگر

برخی از بدافزارها را می ‌توان همزمان با سایر برنامه‌  هایی که دانلود می‌شوند، نصب کرد. این شامل نرم‌ افزارهای وب سایت‌ های شخص ثالث یا فایل‌ های به اشتراک گذاشته شده از طریق شبکه‌ های همتا به همتا می ‌شود.

برخی از برنامه‌ ها همچنین نرم ‌افزار دیگری را نصب می‌ کنند که مایکروسافت آن ‌ها را به‌عنوان نرم ‌افزار بالقوه ناخواسته تشخیص می ‌دهد. این می ‌تواند شامل نوار ابزار یا برنامه ‌هایی باشد که در هنگام مرور وب، تبلیغات اضافی را به شما نشان می‌ دهند. معمولاً می‌ توانید با پاک کردن یک علامت در حین نصب، نصب این نرم ‌افزار اضافی را لغو کنید. Windows Security می ‌تواند به محافظت از شما در برابر برنامه ‌های ناخواسته کمک کند.

برنامه ‌هایی که برای تولید کلیدهای نرم افزاری (keygens) استفاده می ‌شوند، اغلب بدافزارها را همزمان نصب می‌ کنند. نرم ‌افزار امنیتی مایکروسافت بدافزار را در بیش از نیمی از رایانه‌ های شخصی با کلیدهای نصب‌شده پیدا می ‌کند.

از طریق روش‌ های زیر می ‌توانید از نصب بدافزار یا نرم ‌افزارهای ناخواسته خودداری کنید:

  • همیشه نرم ‌افزار را از وب سایت فروشنده رسمی دانلود کنید.
  • مطمئن شوید که اطلاعات مربوط به آنچه که نصب می ‌کنید را خوانده ‌اید. فقط روی OK کلیک نکنید.
  • صفحات وب هک‌ شده یا در معرض خطر

بدافزار می ‌تواند از آسیب ‌پذیری‌ های نرم‌ افزاری شناخته ‌شده برای آلوده کردن رایانه شما استفاده کند. آسیب ‌پذیری مانند درگاهی در نرم‌ افزار است که می ‌تواند بدافزار را به رایانه وارد کند.

وقتی وب سایتی را باز می ‌کنید، این وب سایت می ‌تواند سعی کند از آسیب ‌پذیری‌ های موجود در مرورگر وب شما برای آلوده کردن رایانه به بدافزار استفاده کند. این وب سایت ممکن است مخرب یا یک وب سایت قانونی باشد که به خطر افتاده یا هک شده است.

به همین دلیل بسیار مهم است که همه نرم‌ افزارها و به خصوص مرورگر وب خود را به روز نگه دارید و نرم‌ افزارهایی را که استفاده نمی ‌کنید، حذف کنید. این توصیه شامل افزونه‌ های مرورگر نیز می ‌شود.