رنسومور (Ransomware) چیست؟

رنسومور (Ransomware) چیست؟

اگر به حوزه آموزش هک و امنیت علاقمندین در این مقاله قصد داریم به یکی از بدافزارهای معروف در دنیای هک بپردازیم با ما همراه باشید.

رنسومور یک نوع بدافزار (Malware) هست که اطلاعات حساس یا دستگاه قربانی رو به گروگان میگیره و تهدید میکنه که اون رو قفل نگه میداره یا حتی بدتر از اون مگر اینکه قربانی یک مبلغ باج به مهاجم پرداخت کنه.

چطور Ransomware کار خودش رو شروع کرد؟

اولین حملات رنسومور فقط درخواست یک باج در ازای کلید رمزگشایی (Encryption Key) میکردن که برای دسترسی دوباره به داده های آسیب دیده یا استفاده از دستگاه آلوده لازم بود. در اون زمان، با گرفتن نسخه های پشتیبان (Backup) به صورت منظم یا مداوم، سازمان ها میتونستن هزینه های این نوع حملات رو محدود کنن و اغلب از پرداخت باج جلوگیری کنن.

تحول حملات Ransomware: از دوبل تا تریپل اخاذی

در سال های اخیر، حملات رنسومور پیچیده تر شدن و تاکتیک های دوبل اخاذی (Double-Extortion) و تریپل اخاذی (Triple-Extortion) به کار گرفته شده که شرایط رو خیلی سخت تر میکنه. حتی اگر قربانی به دقت از داده هاش نسخه پشتیبان بگیره یا باج اولیه رو پرداخت کنه، باز هم در معرض خطر هست.

• دوبل اخاذی: علاوه بر قفل کردن اطلاعات، تهدید به سرقت و انتشار آنلاین داده های قربانی هم اضافه میشه.
• تریپل اخاذی: علاوه بر تهدید به انتشار اطلاعات، از داده های سرقت شده برای حمله به مشتریان یا شرکای تجاری قربانی هم استفاده میشه.

چرا Ransomware یک تهدید بزرگ سایبری محسوب میشه؟

رنسومور یکی از رایج ترین انواع بدافزارهاست و حملات اون میتونه میلیون ها دلار هزینه روی دست سازمان ها بذاره.

طبق گزارش IBM® X-Force® Threat Intelligence Index در سال 2023، 20 درصد از تمام حملات سایبری ثبت شده شامل رنسومور بوده. این حملات با سرعت زیادی هم انجام میشن؛ به طوری که وقتی هکرها به یک شبکه دسترسی پیدا میکنن، کمتر از چهار روز طول میکشه تا رنسومور رو اجرا کنن. این سرعت بالا به سازمان ها زمان بسیار کمی برای شناسایی و مقابله با حمله میده.

هزینه های واقعی یک حمله Ransomware

هرچند قربانی ها و مذاکره کنندگان تمایلی به افشای مبلغ باج ندارن، اما مهاجمان اغلب درخواست هایی با مبالغ هفت رقمی یا حتی هشت رقمی دارن. با این حال، پرداخت باج تنها بخش کوچکی از هزینه کلی حمله رنسوم‌وره.

بر اساس گزارش IBM Cost of a Data Breach، میانگین هزینه یک نفوذ رنسومور 5.68 میلیون دلار آمریکا هست که این مبلغ شامل پرداخت باج نیست.

با این حال، تیم های امنیت سایبری به تدریج در مقابله با رنسومور قوی تر شدن. طبق گزارش X-Force Threat Intelligence Index، میزان آلودگی به رنسومور بین سال های 2022 تا 2023 حدود 11.5 درصد کاهش پیدا کرده و این کاهش احتمالا به دلیل بهبود در شناسایی و پیشگیری از تهدیدات بوده.

انواع رنسومور (Types of Ransomware)

به طور کلی، دو نوع اصلی از رنسومور وجود داره. رایج ترین نوع، که بهش رنسومور رمزنگاری‌کننده (Encrypting Ransomware) یا کریپتو رنسومور (Crypto Ransomware) میگن، داده های قربانی رو از طریق رمزنگاری به گروگان میگیره. بعد از اون، مهاجم درخواست باج میکنه تا کلید رمزگشایی (Encryption Key) مورد نیاز برای بازیابی داده ها رو در اختیار قربانی بذاره.

نوع کمتر رایج رنسومور به نام رنسومور غیر رمزنگاری‌کننده (Non-Encrypting Ransomware) یا اسکرین لاکر (Screen-Locking Ransomware) شناخته میشه. این نوع، کل دستگاه قربانی رو قفل میکنه، معمولاً با مسدود کردن دسترسی به سیستم عامل. به جای راه‌اندازی عادی دستگاه، صفحه‌ای نمایش داده میشه که درخواست باج رو نشون میده.

زیرشاخه های این دو نوع اصلی رنسومور

لیک‌ور یا داکس‌ور (Leakware or Doxware)

لیک‌ور (Leakware) یا داکس‌ور (Doxware) رنسوموری هست که داده های حساس رو سرقت میکنه یا استخراج (Exfiltrate) میکنه و تهدید به انتشار اونها میکنه. در نسخه های قدیمی تر، لیک‌ور فقط داده ها رو سرقت میکرد و رمزنگاری انجام نمیداد، اما نسخه های جدیدتر معمولاً هم سرقت میکنن و هم رمزنگاری.

رنسومور موبایل (Mobile Ransomware)

رنسومور موبایل شامل تمام انواع رنسومورهایی هست که دستگاه های موبایل رو تحت تاثیر قرار میدن. این نوع رنسومور اغلب از طریق برنامه های مخرب یا دانلودهای ناخواسته (Drive-By Downloads) منتقل میشه. بیشتر رنسومورهای موبایل از نوع غیر رمزنگاری‌کننده هستن، چون بسیاری از دستگاه های موبایل به صورت خودکار از داده ها در فضای ابری (Cloud) پشتیبان میگیرن و این کار رمزنگاری رو بی‌اثر میکنه. به همین دلیل، هکرها بیشتر از اسکرین لاکرها (Screen-Lockers) برای حملات روی موبایل استفاده میکنن.

وایپر (Wipers)

وایپرها (Wipers) یا رنسومورهای مخرب (Destructive Ransomware) تهدید به نابود کردن داده ها در صورت پرداخت نکردن باج میکنن. در بعضی موارد، حتی اگر قربانی باج رو پرداخت کنه، داده ها باز هم از بین میرن. این نوع وایپرها معمولاً توسط دولت ها یا هکتیویست ها (Hacktivists) استفاده میشن و کمتر توسط مجرمان سایبری معمولی به کار گرفته میشن.

اسکرور (Scareware)

اسکرور (Scareware) دقیقاً همون چیزی هست که از اسمش پیداست یک نوع رنسومور که با ترساندن کاربر سعی میکنه اونو وادار به پرداخت باج کنه. این نوع ممکنه خودش رو به عنوان پیامی از یک آژانس اجرای قانون (Law Enforcement Agency) جا بزنه و قربانی رو به ارتکاب جرم متهم کنه و درخواست جریمه کنه.

گاهی اوقات هم ممکنه یک هشدار جعلی از آلودگی به ویروس نمایش بده و قربانی رو تشویق کنه که برای حل مشکل، نرم افزاری رو خریداری کنه که در واقع همون رنسوموره.

در بعضی موارد، اسکرور خودش رنسوموره و با رمزنگاری داده ها یا قفل کردن دستگاه عمل میکنه. در سایر موارد، فقط به عنوان یک بردار حمله (Vector) عمل میکنه و قربانی رو وادار به دانلود رنسومور اصلی میکنه.

چطور رنسومور یک سیستم یا دستگاه رو آلوده میکنه؟

حملات رنسومور میتونن از روش ها یا بردارهای مختلف (Vectors) برای آلوده کردن یک شبکه یا دستگاه استفاده کنن. در ادامه به برخی از رایج ترین بردارهای آلودگی رنسومور اشاره میکنیم:

حملات فیشینگ و مهندسی اجتماعی (Phishing and Social Engineering Attacks)

حملات مهندسی اجتماعی (Social Engineering) قربانی رو فریب میدن تا فایل های اجرایی (Executable Files) آلوده رو دانلود و اجرا کنه که در نهایت منجر به فعال شدن رنسومور میشه. به عنوان مثال، یک ایمیل فیشینگ ممکنه حاوی یک پیوست مخرب باشه که به ظاهر یک فایل بی‌خطر مثل یک فایل .pdf یا یک سند Microsoft Word به نظر میرسه.

این نوع حملات ممکنه کاربران رو به بازدید از یک وب سایت مخرب یا اسکن یک کد QR آلوده ترغیب کنن که از طریق مرورگر قربانی رنسومور رو منتقل میکنه.

آسیب پذیری های سیستم عامل و نرم افزار (Operating System and Software Vulnerabilities)

مجرمان سایبری اغلب از آسیب پذیری های موجود (Exploitable Vulnerabilities) برای تزریق کدهای مخرب به یک دستگاه یا شبکه استفاده میکنن.

آسیب پذیری های روز صفر (Zero-Day Vulnerabilities) که توسط جامعه امنیتی شناسایی نشده یا هنوز وصله (Patch) نشده باشن، تهدید بزرگی محسوب میشن. برخی از گروه های رنسومور اطلاعات مربوط به این آسیب پذیری ها رو از هکرهای دیگه خریداری میکنن تا حملات خودشون رو برنامه ریزی کنن. حتی از آسیب پذیری هایی که برای اونها وصله منتشر شده هم گاهی به عنوان بردار حمله استفاده میشه، مثل حمله WannaCry در سال 2017.

سرقت اطلاعات کاربری (Credential Theft)

مهاجمان سایبری میتونن اطلاعات کاربری مجاز رو سرقت کنن، اونها رو از دارک وب (Dark Web) بخرن یا با حملات Brute-Force رمزهای عبور رو بشکنن. بعد از به دست آوردن این اطلاعات، مهاجمان میتونن مستقیماً وارد شبکه یا سیستم بشن و رنسوم‌ور رو مستقر کنن.

پروتکل دسکتاپ راه دور (Remote Desktop Protocol – RDP) که توسط مایکروسافت برای دسترسی از راه دور به سیستم ها طراحی شده، یکی از اهداف محبوب برای حملات سرقت اطلاعات کاربری توسط مهاجمان رنسومور هست.

بدافزارهای دیگر (Other Malware)

هکرها اغلب از بدافزارهایی که برای حملات دیگه طراحی شدن، برای انتقال رنسوم‌ور به دستگاه استفاده میکنن. به عنوان مثال، مهاجمان از تروجان Trickbot که در ابتدا برای سرقت اطلاعات بانکی طراحی شده بود، برای انتشار نسخه ای از رنسوم‌ور Conti در سال 2021 استفاده کردن.

دانلودهای ناخواسته (Drive-by Downloads)

هکرها میتونن از وب سایت ها برای انتقال رنسومور به دستگاه ها بدون اطلاع کاربر استفاده کنن. کیت های بهره برداری (Exploit Kits) از وب سایت های آلوده برای اسکن مرورگرهای بازدیدکنندگان استفاده میکنن تا آسیب پذیری های موجود در برنامه های وب رو شناسایی کرده و از اونها برای تزریق رنسومور استفاده کنن.

تبلیغات مخرب (Malvertising) هم یکی دیگه از روش های انتقال رنسومور هست. این نوع تبلیغات دیجیتال در ظاهر قانونی به نظر میرسن اما توسط هکرها آلوده شدن و حتی اگر کاربر روی اون تبلیغ کلیک نکنه، میتونن دستگاه رو آلوده کنن.

رنسومور به عنوان سرویس (Ransomware as a Service – RaaS)

مجرمان سایبری الزاماً نیازی ندارن که خودشون رنسوم‌ور بسازن تا از این بردارهای حمله استفاده کنن. برخی از توسعه‌دهندگان رنسومور، کد بدافزار خودشون رو از طریق یک مدل به نام رنسومور به عنوان سرویس (RaaS) در اختیار سایر مجرمان سایبری قرار میدن.

در این مدل، مجرم سایبری که بهش همکار (Affiliate) گفته میشه، از این کد برای انجام حمله استفاده میکنه و مبلغ باج دریافتی رو با توسعه‌دهنده تقسیم میکنه. این یک همکاری دوطرفه و سودآوره؛ همکارها میتونن از اخاذی سود ببرن بدون اینکه خودشون بدافزار توسعه بدن و توسعه‌دهنده‌ها هم میتونن بدون نیاز به اجرای حملات جدید، سود بیشتری به دست بیارن.

چطور رنسومور به عنوان سرویس توزیع میشه؟

توزیع‌کنندگان رنسومور میتونن بدافزار خودشون رو از طریق بازارهای دیجیتال در دارک وب (Dark Web) بفروشن. اونها همچنین میتونن مستقیماً از طریق انجمن‌های آنلاین (Online Forums) یا مسیرهای مشابه، همکارها (Affiliates) رو جذب کنن.

گروه‌های بزرگ رنسومور مبالغ قابل توجهی برای جذب همکارها سرمایه‌گذاری کردن تا افراد بیشتری رو به همکاری با خودشون ترغیب کنن.

مراحل یک حمله رنسومور (Stages of a Ransomware Attack)

یک حمله رنسومور معمولاً از این مراحل عبور میکنه

مرحله 1: دسترسی اولیه

برای باج افزار، رایج ترین روش های حملات باج افزاری شامل فیشینگ (Phishing)، بهره برداری از آسیب پذیری ها (vulnerability exploitation) و نقض پروتکل های دسترسی از راه دور مانند RDP (Remote Desktop Protocol) هستند.

مرحله 2: پس از بهره برداری

بسته به روش دسترسی اولیه، هکرها ممکنه یک ابزار دسترسی از راه دور واسطه (RAT) یا بدافزارهای دیگه رو برای کمک به دست آوردن موقعیت در سیستم هدف نصب کنن.

مرحله 3: درک و گسترش

در این مرحله سوم، حمله کنندگان تمرکز میکنن بر روی درک سیستم محلی و دامنه ای که در حال حاضر میتونن به اون دسترسی داشته باشن. حمله کنندگان همچنین تلاش میکنن به سیستم ها و دامنه های دیگه دسترسی پیدا کنن که به این فرایند حرکت جانبی (lateral movement) گفته میشه.

مرحله 4: جمع آوری داده ها و استخراج

در این مرحله، اپراتورهای باج افزار تمرکز خودشون رو تغییر میدن و به شناسایی داده های با ارزش و استخراج (دزدیدن) اونها می پردازن، معمولاً با دانلود یا صادر کردن یک کپی برای خودشون.

در حالی که حمله کنندگان ممکنه هر داده ای که به اون دسترسی دارن رو استخراج کنن، معمولاً تمرکز اونها روی داده های با ارزش تره مثل اطلاعات ورود (login credentials)، اطلاعات شخصی مشتریان، مالکیت معنوی که میتونن برای تهدید دوتایی (double-extortion) از اونها استفاده کنن.

مرحله 5: استقرار و ارسال یادداشت

باج افزار کریپتو (Crypto ransomware) شروع به شناسایی و رمزگذاری فایل ها میکنه. برخی از باج افزارهای کریپتو همچنین ویژگی های بازگردانی سیستم (system restore) رو غیرفعال میکنن یا پشتیبان ها رو در کامپیوتر یا شبکه قربانی حذف یا رمزگذاری میکنن تا فشار بیشتری برای پرداخت کلید رمزگشایی وارد بشه.

باج افزارهای غیر رمزنگار (Non-encrypting ransomware) صفحه دستگاه رو قفل میکنن، دستگاه رو با پنجره های پاپ آپ پر میکنن یا به نوعی از استفاده قربانی از دستگاه جلوگیری میکنن.

بعد از اینکه فایل ها رمزگذاری شدن یا دستگاه غیر قابل استفاده شد، باج افزار قربانی رو از آلودگی مطلع میکنه. این اطلاعیه معمولاً از طریق یک فایل .txt که روی دسکتاپ کامپیوتر قرار داده میشه یا از طریق یک پنجره پاپ آپ به قربانی میرسه.

یادداشت باج شامل دستورالعمل هایی برای پرداخت باج میشه، معمولاً با ارز دیجیتال یا روشی مشابه که قابل ردیابی نباشه. پرداخت در ازای دریافت کلید رمزگشایی یا بازگردانی عملیات معمولی هست.

مراحل قابل توجه باج افزارها

تا به امروز، محققان امنیت سایبری هزاران نوع متفاوت از باج افزارها یا «خانواده ها» رو شناسایی کردن که هر کدوم دارای امضاهای کد و عملکردهای خاص خودشون هستند.

چندین نوع باج افزار به ویژه به دلیل میزان تخریبی که ایجاد کردن، تأثیری که در توسعه باج افزارها داشتن یا تهدیداتی که امروزه دارن ایجاد میکنن، قابل توجه هستن.

CryptoLocker

اولین بار در سپتامبر 2013 ظاهر شد، CryptoLocker به طور گسترده ای به عنوان آغازگر دوران مدرن باج افزار شناخته میشه.

CryptoLocker از طریق یک بات نت (یک شبکه از کامپیوترهای ربوده شده) پخش شد و یکی از اولین خانواده های باج افزار بود که به شدت فایل های کاربران رو رمزگذاری کرد. این باج افزار حدود 3 میلیون دلار از قربانیان خودش اخاذی کرد تا اینکه در سال 2014 به دنبال یک تلاش بین المللی از سوی مقامات قانونی متوقف شد.

موفقیت CryptoLocker باعث شد کپی های زیادی از اون ساخته بشه و راه رو برای نسخه هایی مثل WannaCry، Ryuk و Petya هموار کرد.

WannaCry

اولین کرم رمزنگار برجسته باج افزاری که میتونه خودشو به سایر دستگاه ها در یک شبکه گسترش بده WannaCry بیش از 200,000 کامپیوتر در 150 کشور رو مورد حمله قرار داد. کامپیوترهای آسیب دیده به دلیل اینکه مدیران شبکه به پچ کردن آسیب پذیری EternalBlue در ویندوز مایکروسافت بی توجه بودن، در معرض خطر قرار گرفته بودن.

علاوه بر رمزگذاری داده های حساس، باج افزار WannaCry تهدید کرد که فایل ها رو پاک میکنه اگر قربانی ها پرداخت رو در عرض هفت روز انجام ندن. این حمله یکی از بزرگترین حملات باج افزاری تاکنون باقی مونده و هزینه های تخمینی آن به 4 میلیارد دلار میرسه.

Petya و NotPetya

برخلاف سایر باج افزارهای رمزگذاری، Petya به جای رمزگذاری فایل های جداگانه، جدول سیستم فایل (File System Table) را رمزگذاری میکنه و باعث میشه که کامپیوتر آلوده نتونه ویندوز رو بوت کنه.

نسخه ای به شدت اصلاح شده از Petya، به نام NotPetya، در یک حمله سایبری گسترده، عمدتاً علیه اوکراین در سال 2017 استفاده شد. NotPetya یک پاک کننده (Wiper) بود که حتی بعد از پرداخت باج هم امکان باز کردن قفل سیستم ها رو نداشت.

Ryuk

برای اولین بار در سال 2018 مشاهده شد و حملات باج افزاری به اهداف با ارزش بالا رو به یک روش رایج تبدیل کرد. میزان باج در این حملات معمولاً بیش از 1 میلیون دلار آمریکا بود. Ryuk میتونه فایل های پشتیبان و قابلیت های بازیابی سیستم (System Restore) رو شناسایی و غیرفعال کنه. در سال 2021، یک نسخه جدید از Ryuk با قابلیت کرم رمزنگار (Cryptoworm) ظاهر شد.

DarkSide

DarkSide توسط گروهی که گمان میره از روسیه فعالیت میکنه، اجرا میشد. این باج افزار در 7 می 2021 به خط لوله کلونیال (Colonial Pipeline) حمله کرد. این حمله به عنوان بدترین حمله سایبری علیه زیرساخت های حیاتی ایالات متحده شناخته میشه و باعث شد که خط لوله ای که 45٪ از سوخت سواحل شرقی آمریکا رو تأمین میکرد، موقتاً از کار بیفته.

علاوه بر اجرای حملات مستقیم، گروه DarkSide، باج افزار خودش رو از طریق مدل RaaS (Ransomware-as-a-Service) به دیگران اجاره میده.

Locky

Locky یک باج افزار رمزگذار هست که از یک روش خاص برای آلوده کردن سیستم ها استفاده میکنه. این باج افزار ماکروهای مخفی (Macros) در پیوست های ایمیل (فایل های Microsoft Word) رو به کار میگیره که مثل یک فاکتور واقعی به نظر میان. زمانی که کاربر فایل Microsoft Word رو دانلود و باز کنه، ماکروهای مخرب، payload باج افزار رو مخفیانه روی دستگاه اجرا میکنن.

REvil

REvil که با نام های Sodin یا Sodinokibi هم شناخته میشه، مدل RaaS (Ransomware-as-a-Service) در توزیع باج افزارها رو محبوب کرد.

این باج افزار که در حملات به اهداف بزرگ (Big-game hunting) و اخاذی دو مرحله ای (Double-extortion) به کار میره، مسئول حملات سال 2021 به JBS USA و Kaseya Limited بود. شرکت JBS بعد از مختل شدن کل عملیات پردازش گوشت گاو در آمریکا، باجی معادل 11 میلیون دلار پرداخت کرد. همچنین بیش از 1000 مشتری نرم افزار Kaseya دچار قطعی و اختلال جدی شدند.

سرویس امنیت فدرال روسیه (FSB) اعلام کرد که در اوایل سال 2022، گروه REvil رو متلاشی و چندین عضو اون رو دستگیر کرده.

Conti

گروه Conti اولین بار در سال 2020 مشاهده شد و یکی از بزرگ ترین طرح های RaaS رو اجرا کرد، به طوری که هکرها به جای دریافت درصدی از باج، به طور منظم حقوق دریافت میکردن.

یکی از ویژگی های منحصر به فرد Conti، روش اخاذی دو مرحله ای اون بود، به این صورت که اگه قربانی باج رو پرداخت نمیکرد، گروه Conti تهدید میکرد که دسترسی به شبکه قربانی رو به سایر هکرها میفروشه.

پس از لو رفتن پیام های داخلی گروه در سال 2022، Conti منحل شد، اما بسیاری از اعضای سابق اون هنوز در دنیای جرایم سایبری فعال هستن. بر اساس گزارش X-Force Threat Intelligence Index، برخی از اعضای سابق Conti در توسعه باج افزارهای معروف امروزی مثل BlackBasta، Royal و Zeon نقش دارن.

LockBit

بر اساس گزارش X-Force Threat Intelligence Index، LockBit در سال 2023 یکی از رایج ترین باج افزارها بوده. یکی از ویژگی های جالب LockBit، رویکرد تجاری توسعه دهندگان اون هست. گروه LockBit درست مثل شرکت های قانونی که استارتاپ ها رو خریداری میکنن، بدافزارهای دیگه رو تصاحب و از اون ها استفاده میکنه.

در فوریه 2024، برخی از وب سایت های LockBit توسط نهادهای قانونی توقیف شد و دولت آمریکا یکی از رهبران ارشد این گروه رو تحریم کرد، اما با این حال، حملات این گروه همچنان ادامه داره.

پرداخت های باج

میزان درخواست باج در حملات مختلف بسیار متغیر هست و بسیاری از قربانیان ترجیح میدن مبلغی که پرداخت کردن رو فاش نکنن، به همین دلیل تعیین یک میانگین دقیق برای پرداخت باج دشوار هست. با این حال، تخمین ها نشون میده که بیشتر پرداخت ها در محدوده شش رقمی بالا تا هفت رقمی پایین (صدها هزار تا چند میلیون دلار) قرار داره.

بر اساس گزارش IBM Definitive Guide to Ransomware، در برخی موارد، مهاجمان مبالغی تا 80 میلیون دلار درخواست کردن.

نکته مهم اینه که درصد قربانیانی که باج پرداخت میکنن، در سال های اخیر به شدت کاهش پیدا کرده. طبق داده های شرکت Coveware، در سال 2023 تنها 37٪ از قربانیان باج پرداخت کردن، در حالی که در سال 2020 این رقم 70٪ بود.

کارشناسان معتقدن که آمادگی بهتر در برابر جرایم سایبری، از جمله سرمایه گذاری بیشتر در پشتیبان گیری از داده ها، برنامه های واکنش به حادثه و فناوری های پیشگیری و شناسایی تهدیدها، یکی از دلایل اصلی این کاهش بوده.

توصیه های نهادهای اجرای قانون

نهادهای فدرال اجرای قانون در آمریکا به طور قاطع توصیه میکنن که قربانیان باج افزار، از پرداخت باج خودداری کنن. طبق گزارش کارگروه مشترک تحقیقات سایبری ملی آمریکا (NCIJTF) که از 20 آژانس فدرال برای بررسی تهدیدات سایبری تشکیل شده:

“FBI پرداخت باج به مجرمان سایبری رو توصیه نمیکنه. پرداخت باج میتونه مهاجمان رو به هدف قرار دادن سازمان های دیگه تشویق کنه، سایر مجرمان رو به توزیع باج افزار ترغیب کنه و فعالیت های غیرقانونی رو تأمین مالی کنه. همچنین، پرداخت باج هیچ تضمینی برای بازیابی فایل های قربانی ایجاد نمیکنه.”

نهادهای اجرای قانون توصیه میکنن که قربانیان باج افزار قبل از هرگونه پرداخت، حمله رو به مراجع مربوطه مثل مرکز شکایات جرایم اینترنتی FBI (IC3) گزارش بدن.

در برخی موارد، قربانیان حملات باج افزاری موظف هستن که آلودگی سیستم های خودشون رو گزارش بدن، حتی اگر باج پرداخت نکنن. به عنوان مثال، قوانین HIPAA معمولاً از نهادهای فعال در حوزه بهداشت و درمان میخواد که هرگونه نشت داده، از جمله حملات باج افزاری رو به وزارت بهداشت و خدمات انسانی آمریکا گزارش بدن.

پرداخت باج در برخی شرایط میتونه غیرقانونی باشه.

دفتر کنترل دارایی های خارجی آمریکا (OFAC) اعلام کرده که پرداخت باج به مهاجمانی که در کشورهایی تحت تحریم اقتصادی آمریکا مثل کره شمالی یا ایران فعالیت میکنن، نقض قوانین OFAC محسوب میشه. افرادی که این مقررات رو نقض کنن، ممکنه با جریمه های مالی، مجازات های مدنی یا اتهامات کیفری مواجه بشن.

علاوه بر این، برخی ایالت های آمریکا مثل فلوریدا و کارولینای شمالی، پرداخت باج توسط سازمان های دولتی ایالتی رو غیرقانونی اعلام کردن.

حفاظت و واکنش در برابر باج افزار

کارشناسان امنیت سایبری و نهادهای فدرالی مثل آژانس امنیت سایبری و امنیت زیرساخت ها (CISA) و سرویس مخفی ایالات متحده (US Secret Service) توصیه میکنن که سازمان ها برای مقابله با تهدیدات باج افزاری، اقدامات پیشگیرانه انجام بدن. این اقدامات شامل موارد زیر میشه:

• نگهداری از نسخه های پشتیبان (Backups) از داده های حساس و تصاویر سیستم، ترجیحاً روی هارد درایوها یا سایر دستگاه هایی که تیم IT میتونه در زمان حمله باج افزاری اون ها رو از شبکه جدا کنه.
• به روزرسانی منظم (Patching) نرم افزارها و سیستم عامل ها برای مقابله با حملات باج افزاری که از آسیب پذیری های نرم افزاری سوءاستفاده میکنن.
• استفاده از ابزارهای امنیت سایبری مثل:
  • نرم افزارهای ضد بدافزار (Antimalware)
  • ابزارهای مانیتورینگ شبکه (Network Monitoring Tools)
  • پلتفرم های شناسایی و واکنش به تهدیدات در نقاط پایانی (EDR – Endpoint Detection and Response)
  • سیستم های مدیریت اطلاعات و رویدادهای امنیتی (SIEM – Security Information and Event Management)
    این ابزارها به تیم های امنیتی کمک میکنن تا باج افزارها رو در لحظه متوقف کنن.
• آموزش امنیت سایبری برای کارکنان تا بتونن حملات فیشینگ، مهندسی اجتماعی و سایر روش هایی که به آلودگی باج افزاری منجر میشن رو شناسایی و از اون ها اجتناب کنن.
• اجرای سیاست های کنترل دسترسی (Access Control Policies) از جمله:
  • احراز هویت چند عاملی (MFA – Multifactor Authentication)
  • تقسیم بندی شبکه (Network Segmentation)
  • مدیریت هویت و دسترسی (IAM – Identity and Access Management)
    این اقدامات میتونن مانع رسیدن باج افزار به داده های حساس بشن و از انتشار کرم های رمزنگار (Cryptoworms) در سایر دستگاه های شبکه جلوگیری کنن.
• برنامه های رسمی واکنش به حادثه (Incident Response Plans) که به تیم های امنیتی کمک میکنن تا نفوذهای امنیتی رو سریع تر شناسایی و برطرف کنن.

طبق گزارش هزینه های نقض داده (Cost of a Data Breach Report)، سازمان هایی که برنامه های رسمی و تیم های اختصاصی واکنش به حادثه دارن، به طور میانگین 54 روز سریع تر از سازمان های بدون این برنامه ها، حملات رو شناسایی میکنن. این کاهش زمان شناسایی، هزینه های رفع مشکل رو کاهش داده و به طور متوسط نزدیک به 1 میلیون دلار صرفه جویی مالی ایجاد میکنه.

اگرچه ابزارهای رمزگشایی (Decryptor Tools) برای برخی از انواع باج افزارها از طریق پروژه هایی مثل No More Ransom در دسترس هستن، اما رفع آلودگی یک حمله باج افزاری فعال معمولاً نیاز به یک راهکار چندوجهی داره.

برای مشاهده یک نمونه برنامه واکنش به حملات باج افزاری، مطابق با مدل چرخه واکنش به حادثه موسسه ملی استاندارد و فناوری (NIST – National Institute of Standards and Technology)، میتونید به راهنمای جامع امنیتی IBM Security Definitive Guide to Ransomware مراجعه کنید.

خط زمانی مختصر باج افزار

1989: اولین باج افزار مستند، به نام “AIDS Trojan” یا “P.C. Cyborg” از طریق دیسک های فلاپی منتشر شد. این بدافزار فهرست فایل های کامپیوتر قربانی رو مخفی میکرد و برای نمایش مجدد اون ها 189 دلار درخواست میکرد. چون این بدافزار فقط نام فایل ها رو رمزگذاری میکرد نه خود فایل ها، کاربران به راحتی میتونستن بدون پرداخت باج، آسیب رو برطرف کنن.

1996: در حین تجزیه و تحلیل AIDS Trojan، دانشمندان کامپیوتر Adam L. Young و Moti Yung هشدار دادن که نسل های آینده بدافزارها میتونن از رمزنگاری پیشرفته تر برای گروگان گرفتن داده های حساس استفاده کنن.

2005: بعد از تعداد کمی حمله باج افزاری در اوایل دهه 2000، افزایش چشمگیری در تعداد آلودگی های باج افزاری اتفاق افتاد که بیشتر در روسیه و اروپای شرقی متمرکز بود. اولین نمونه های استفاده از رمزنگاری نامتقارن (Asymmetric Encryption) در باج افزارها ظاهر شدن. این پیشرفت، روش های موثرتری برای باج گیری ارائه داد و باعث شد که مجرمان سایبری بیشتری شروع به انتشار باج افزار در سراسر جهان کنن.

2009: ظهور ارزهای دیجیتال، به ویژه بیت کوین (Bitcoin)، روش پرداخت های غیرقابل ردیابی رو برای مجرمان سایبری فراهم کرد و باعث شد که فعالیت های باج افزاری به طور قابل توجهی افزایش پیدا کنن.

2013: دوران مدرن باج افزارها با ظهور CryptoLocker آغاز شد. این حمله، نسل جدیدی از حملات باج افزاری پیچیده مبتنی بر رمزنگاری رو معرفی کرد که پرداخت ها رو از طریق ارز دیجیتال دریافت میکردن.

2015: باج افزار Tox مدل “باج افزار به عنوان سرویس” (RaaS – Ransomware-as-a-Service) رو معرفی کرد.

2017: WannaCry، اولین کرم رمزنگار خودانتشار (Self-replicating Cryptoworm) به طور گسترده مورد استفاده قرار گرفت.

2018: باج افزار Ryuk، روش “شکار اهداف بزرگ” (Big-game ransomware hunting) رو محبوب کرد.

2019: حملات باج افزاری “اخاذی دو مرحله ای (Double-extortion)” و “اخاذی سه مرحله ای (Triple-extortion)” رواج پیدا کردن. تقریباً تمام حوادث باج افزاری که تیم واکنش به حادثه IBM Security X-Force® از سال 2019 بررسی کرده، شامل اخاذی دو مرحله ای بوده.

2022: روش “سرقت مکالمه” (Thread Hijacking) به عنوان یکی از بردارهای اصلی انتشار باج افزار ظهور کرد. در این روش، مجرمان سایبری خودشون رو وارد مکالمات آنلاین قانونی قربانی میکنن تا بدافزار رو پخش کنن.

2023: با بهبود دفاع ها در برابر باج افزار، بسیاری از گروه های باج افزاری استراتژی های خودشون رو گسترش دادن و از تاکتیک های جدید اخاذی استفاده کردن. به طور خاص، گروه هایی مثل LockBit و اعضای سابق Conti، شروع به استفاده از بدافزارهای سرقت اطلاعات (Infostealer Malware) کردن که بهشون اجازه میده داده های حساس رو بدزدن و گروگان بگیرن، بدون اینکه نیازی به قفل کردن کل سیستم قربانی باشه.

در انتها اگر این مطلب براتون مفید و کاربردی بود نظرات و سوالاتتون رو با ما به اشتراک بگذارین.