باج‌افزار؛ تهديدي امنيتي كه روزبه‌روز پيشرفته‌تر مي‌شود

امنيت و حريم خصوصي
فناوري
دوشنبه ۴ شهريور ۱۳۹۸ - ۱۳:۰۰
مطالعه 7 دقيقه
مرجع متخصصين ايران
مهدي زارع سريزدي
مرجع متخصصين ايران
باج‌افزارها امروزه به يكي از بزرگ‌ترين تهديدهاي امنيتي دنياي فناوري تبديل شده‌اند كه هزينه‌هاي زيادي براي افراد و شركت‌هاي قرباني به‌همراه دارند.
تبليغات

باج‌افزار در تعريف ساده به بدافزاري گفته مي‌شود كه داده‌هاي متخصصان را مانند گروگان دراختيار مي‌گيرد. امروزه، چنين بدافزارهايي عموما داده‌ها را رمزنگاري مي‌كنند و در ازاي دريافت وجه (عموما به‌صورت رمزارز) كليدهاي رمزگشايي را به متخصصان مي‌دهند. باج‌افزار از سال ۲۰۱۳ به دنياي بدافزارها وارد شد و البته در سال گذشته روند كاهش توزيع را در پيش گرفت. از دلايل كاهش توزيع باج‌افزارها مي‌توان به دلايلي همچون كاهش كلي بدافزارها در دنياي فناوري و بهبود مؤلفه‌ها و رويكردهاي امنيتي اشاره كرد. امروزه، همراه‌گيري از اطلاعات در ميان متخصصان دنياي فناوري به روندي جاري تبديل شده است كه سوددهي باج‌افزارها را تا حدودي براي مجرمان سايبري از بين مي‌برد. به‌هرحال، روندهاي مذكور علاوه‌بر كاهش توزيع با‌ج‌افزارها، به هدفمندتر و شديدتر شدن آن‌ها هم منجر شده‌اند.

مقاله‌هاي مرتبط:

روش‌هاي توزيع

اولين باج‌افزارها با كمپين‌هاي گسترده‌ي رايانامهي و ابزارهاي بهره‌برداري توزيع مي‌شدند. رويكردهاي اوليه بدون تمركز خاصي متخصصان فردي و سازماني را هدف قرار مي‌دادند. امروزه، توسعه‌دهندگان باج‌افزار ترجيح مي‌دهند براي افزايش درآمد خود، رويكردي هدفمندتر براي توزيع در پيش گيرند.

متخصص كارشناسان امنيتي رويكرد مجرمان سايبري را به كسب‌وكار تشبيه مي‌كنند. كسب‌وكار آن‌ها نيز مانند هر فعاليت ديگري هزينه دارد. درواقع، هرچه جامعه‌ي هدف حمله‌هاي امنيتي بزرگ‌تر باشد، هزينه‌ها هم بيشتر مي‌شوند و درنتيجه، مجرمان بايد به‌دنبال سوددهي بيشتر از عمليات خود باشند.

كيت‌هاي بهره‌برداري

در برخي حمله‌هاي امنيتي، حتي بازكردن وب‌سايت بدون دانلود فايلي خاص، قابليت آلوده‌كردن متخصص را دارد. چنين حملاتي عموما با بهره‌برداري از ضعف‌هاي امنيتي نرم‌افزارها و سرويس‌هاي مرور وب مانند مرورگر يا جاوا يا فلش انجام مي‌شوند. ابزارهاي مديريت محتوا و توسعه‌ي وب مانند وردپرس و مايكروسافت سيلورلايت هم منابع آسيب‌پذيري‌هاي امنيتي هستند. درنهايت، براي آلوده‌كردن متخصصان با استفاده از روش مرور وب‌سايت، بايد نرم‌افزارهاي متعدد و راهكارهاي خاص زيادي به‌كار گرفته شوند؛ به‌ همين دليل، حجم عمده‌اي از فعاليت نفوذ و آلوده‌سازي در كيت‌هاي بهره‌برداري تجميع مي‌شود. مجرمان سايبري با اجاره‌كردن ابزارها، روند توزيع بدافزار خود را با سرعت بيشتري اجرا مي‌كنند.

مرجع متخصصين ايران wannacry Ransomware

اجاره‌كردن كيت بهره‌برداري ماهيانه حدود هزار دلار هزينه دربر خواهد داشت؛ درنتيجه، چنين روش‌هايي براي همه‌ي مجرمان مناسب نيستند. درواقع، تنها افراد و سازمان‌هايي كه انگيزه‌ي مالي يا استراتژيك بسيار زيادي دارند، چنين هزينه‌اي براي نفوذ و بهره‌برداري انجام مي‌دهند.

اريك كلونوسكي، تحليلگر امنيتي Webroot Principal، درباره كيت‌هاي بهره‌برداري مي‌گويد:

در دهه‌ي گذشته، افزايش ارزش شديد در هزينه‌ي بهره‌برداري از آسيب‌پذيري‌هاي امنيتي را شاهد بوده‌ايم؛ به‌ همين دليل، احتمالا در آينده با كاهش حملات روز صفر و نفوذهاي اطلاعاتي شخصي مواجه خواهيم بود. بدون شك مجرمان مرتبط با دولت‌ها بازهم از كيت‌هاي بهره‌برداري براي هدف قراردادن قرباني‌هاي باارزش استفاده مي‌كنند؛ اما قطعا كاهش يا توقف رخدادهايي همچون حملات Shadowbrokers را شاهد خواهيم بود. نفوذهاي اطلاعاتي و درز داده‌هاي مهم در رخدادهاي گذشته نقشي حياتي در بيداركردن متخصصان و سازمان‌ها داشت؛ خصوصا افرادي كه به ابزارهاي مذكور دسترسي داشتند يا آن‌ها را در جايي رها كرده بودند، هشداري جدي دربرابر خود ديدند.

امروزه، دسترسي به كيت‌هاي توسعه‌اي به‌صورت وب يا بدافزار دشوار شده است؛ ازاين‌رو، عرضه‌ي كيت‌ها كاهش و ارزش آن‌ها افزايش يافته است. درنهايت، تهديد مذكور هيچ‌گاه از بين نمي‌رود و تنها روند كاهشي را در پيش گرفته است.

كمپين‌هاي رايانامهي

رايانامه‌هاي اسپم از بهترين روش‌هاي توزيع بدافزار هستند. مزيت آن‌ها به‌دليل توانايي هدف قراردادن ميليون‌ها قرباني به‌صورت هم‌زمان براي مجرمان سايبري بسيار زياد است. البته، پياده‌سازي چنين كمپين‌هايي آن‌چنان آسان نيست و بازهم دشواري و هزينه‌هايي براي مجرمان در پي دارد.

مرجع متخصصين ايران hack

ارسال رايانامه‌هاي انبوه حاوي بدافزار و راضي‌كردن متخصصان به دانلود و نصب، به مراحل متعددي نياز دارد. عبور از فيلترهاي رايانامهي، آماده‌كردن پيام فيشينگ جذاب، ساختن ابزارهاي نفوذ و به‌صورت كلي عبور از ديوارهاي امنيتي، نيازمند مهارت و برنامه‌ريزي و هزينه خواهد بود. درنتيجه، اجراي چنين حملاتي هم به تخصص بالا نياز خواهد داشت و مانند كيت‌هاي بهره‌برداري، اجاره‌ي آن‌ها با افزايش ارزش روبه‌رو شده است.

حملات هدفمند

مجرمان امنيتي براي هدف قراردادن قرباني‌هاي خود برنامه‌ريزي‌هاي متعددي دارند. آن‌ها بايد شرايط و پرداخت شدن يا نشدن باج را مطالعه كنند. به‌هرحال، موفقيت پياده‌سازي حمله‌ي باج‌افزار هم به عوامل متعددي وابسته خواهد بود. مهم‌ترين عوامل مؤثر در اين زمينه عبارت‌اند از:

  • كشور محل فعاليت قرباني: GDP كشوري كه قرباني در آن زندگي مي‌كند، روي موفقيت كمپين تأثير دارد. قطعا متخصصان كشورهاي ثروتمند، تمايل و احتمال بيشتري براي پرداخت باج دارند.
  • اهميت داده‌هاي رمزنگاري‌شده
  • هزينه‌اي كه قطع فعاليت‌ها براي قرباني به‌همراه دارد.
  • سيستم‌عامل متخصص: به‌عنوان مثال آمار WebRoot احتمال هدف قرارگرفتن متخصصان ويندوز ۷ را در مقايسه با ويندوز ۱۰، دوبرابر عنوان مي‌كند.
  • شخص يا كسب‌وكار بودن قرباني: قطعا قربانيان كسب‌وكاري احتمال بيشتري در پرداخت باج دارند و هزينه‌هاي بيشتري هم متقبل مي‌شوند.

    • عوامل گفته‌شده نشان مي‌دهند موفقيت حملات امنيتي وابستگي زيادي به شرايط قرباني هدف دارند؛ درنتيجه پيداكردن روش‌هايي براي كاهش گستره‌ي هدف كمپين‌هاي رايانامهي و كيت‌هاي توسعه اهميت بسزايي پيدا مي‌كند. به‌هرحال، روش‌هاي نفوذ اين‌چنيني گستره‌ي عملكردي بازتري دارند و بايد حملات هدفمندتري به‌جاي آن‌ها پيدا كرد.

    روش Remote Desktop Protocol

    ابزار RDP يكي از پركاربردترين سيستم‌هاي مايكروسافت محسوب مي‌شود كه مديران عموما از آن براي دسترسي به سرورها و ديگر نقاط اتصال در شبكه استفاده مي‌كنند. وقتي چنين اتصال‌هايي با رمزعبور يا تنظيمات امنيتي ضعيف برقرار شوند، مجرمان امنيتي امكان نفوذ به آن‌ها را خواهند داشت. حملات مبتني‌بر RDP سابقه‌ي طولاني دارند؛ اما متأسفانه دنياي كسب‌وكار، به‌ويژه شركت‌هاي نوپا، هنوز با بي‌توجهي با آن‌ها رفتار مي‌كنند.

    مرجع متخصصين ايران باج‌افزار / Ransomware

    اخيرا سازمان‌هاي دولتي در ايالات متحده و انگلستان درباره‌ي حملات RDP هشدارهايي جدي داده‌اند؛ حملاتي كه قطعا با روش‌هايي آسان پيشگيري‌كردني هستند. ازلحاظ بازار خريدوفروش، مجرمان سطح پايين در دارك‌وب امكان دسترسي  و خريد ماشين‌هايي را دارند كه قبلا ديگر مجرمان هك كرده‌اند. به‌عنوان مثال، در نمونه‌هاي متعدد در دارك‌وب، دسترسي به كامپيوترهايي در فرودگاه‌ها با ارزش‌هاي ناچيز چنددلاري فروخته مي‌شود.

    فيشينگ متمركز

    اگر مجرم سايبري يك يا چند قرباني مشخص را هدف قرار داده باشد، روند آسان‌‌تري در طراحي رايانامه‌هاي فيشينگ و نفوذ خواهد داشت. چنين روش‌هايي به‌نام فيشينگ نيزه‌اي (Spear Phishing) شناخته مي‌شوند. در بسياري از پرونده‌هايي كه با موضوع باج‌افزار در اينترنت مي‌خوانيم، از چنين روشي براي نفوذ استفاده مي‌شود.

    حملات متمركز بخت موفقيت بيشتري به‌همراه دارند

    بدافزارهاي ماژولار

    بدافزارهاي ماژولار به سيستم‌ها در سطوح متعدد حمله مي‌كنند. در چنين حملاتي، به‌محض شروع فعاليت ماشين قرباني، مراحلي براي شناسايي هدف و شرايط انجام مي‌شود و بدافزار هم ارتباط خود را با واحد اصلي برقرار مي‌كند. درنهايت، كدها و بخش‌هاي مخرب در سيستم قرباني بارگذاري مي‌شوند.

    بدافزار Trickbot

    تروجاني به‌نام Trickbot وجود دارد كه بيشتر با تمركز بر شركت‌هاي بانكي فعاليت مي‌كند. اين تروجان بدافزارهايي همچون Bitpaymer را در ماشين‌‌هاي قرباني نصب مي‌كند. اخيرا در برخي از حملات تروجان مذكور، پيش از اجراي حملات نهايي، ارزش شركت هدف مطالعه مي‌شود. سپس، بدافزاري به‌نام Ryuk در سيستم‌هاي قرباني نصب مي‌شود و باارزش‌ترين اطلاعات آن‌ها را رمزنگاري مي‌كند. تيم اجرايي تروجان Trickbot، تنها اهداف بزرگ و سودده را هدف قرار مي‌دهد. به‌علاوه، آن‌ها پيش از حمله امكان تأثيرگذاري عميق فعاليت خود را نيز مطالعه مي‌كنند. تروجان Trickbot را عموما بدافزار ماژولار ديگري به‌نام Emotet اجرا و نصب مي‌كند.

    روندهاي كنوني حمله‌ي باج‌افزار

    همان‌طوركه گفته شد، حملات باج‌افزاري به‌‌دليل افزايش آگاهي متخصصان و بهينه‌سازي سيستم‌هاي امنيتي در حال كاهش هستند. همچنين، روند كنوني دنياي امنيت نشان مي‌دهد حملات جديد با هدف‌گيري دقيق‌تر انجام مي‌شوند. ازلحاظ آماري، حملات RDP در دو سال گذشته سهم فراواني را به‌خود اختصاص داده‌اند. چنين حملاتي عموما آسيب‌هايي جدي به قرباني وارد مي‌كنند و درنهايت، به پرداخت باج منجر مي‌شوند. باج‌افزارهاي ماژولار دسته‌ي بعدي هستند كه پيش از انجام هرگونه حمله با استفاده از آن‌ها، بايد ازلحاظ نفوذ و چگونگي اجراي حمله مطالعه‌هاي عميقي انجام شود.

    مرجع متخصصين ايران باج افزار

    شايد تصور اوليه بر اين باشد كه انتخاب اهداف در حمله‌هاي باج‌افزاري به‌كمك نيروي انساني درحالي‌كه حملات امنيتي هم تا حد ممكن از برنامه‌هايي براي كاهش نيروي انساني استفاده مي‌كنند. به‌عنوان مثال، بدافزارها عموما سيستم‌هاي مجازي را شناسايي مي‌كنند و در آن‌ها فعال نخواهند شد. افزون‌براين، بدافزارهايي همچون Trickbot و Emotet با دزديدن اطلاعات شخصي متخصصان، از آن‌ها براي نفوذ و گسترش خودكار بيشتر استفاده مي‌كنند.

    فرايندهاي خودكارسازي بيش از همه به‌كمك حمله‌هاي مبتني‌بر RDP مي‌آيند. اين سرويس‌ها در سرتاسر اينترنت جست‌وجو و قربانيان بالقوه را به مجرمان معرفي مي‌كنند. روندهاي كنوني نشان مي‌دهد در آينده، افزايش هوشمندي و خودكارسازي در سيستم‌هاي بدافزاري را شاهد خواهيم بود. درنهايت، با توجه به روندهاي كنوني و توضيحاتي كه درباره‌ي حمله‌هاي باج‌افزاري داده شد، با وجود كاهش تعداد حملات، اهميت به‌كارگيري رويكردهاي امنيتي به قوت خود باقي است. متخصصان شخصي و سازماني با به‌كارگيري برخي راهكارها امكان پيشگيري بيشتري دربرابر حملات باج‌افزاري خواهند داشت كه درادامه، به برخي از آن‌ها اشاره مي‌كنيم:

  • امن‌كردن اتصال RDP
  • سياست‌گذاري صحيح در انتخاب رمزهاي عبور، به‌ويژه در مباحثه اتصالات RDP و از طرف مديران سيستم
  • به‌روزرساني منظم نرم‌افزارها و سرويس‌ها
  • همراه‌گيري منظم از اطلاعات: نكته‌ي مهم اينكه فايل‌هاي همراه نبايد به فايل‌هاي اصلي متصل باشند؛ زيرا صورت امكان نفوذ و رمزنگاري آن‌ها بازهم براي مجرمان وجود خواهد داشت.
  • اگر به شما حملات رمزنگاري شد، شايد بتوانيد از ابزارهايي براي رمزگشايي استفاده كنيد. پيش از تلاش براي پرداخت باج، نگاهي به ابزارهاي موجود يا راهكارهاي ديگر براي رمزگشايي اطلاعات بيندازيد.

    • مقاله رو دوست داشتي؟
    انديشه متخصصينت چيه؟
    تبليغات
    جديد‌ترين مطالب روز

    هم انديشي ها

    تبليغات

    با چشم باز خريد كنيد
    اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران شما را براي انتخاب بهتر و خريد ارزان‌تر راهنمايي مي‌كند
    ورود به بخش محصولات
    موبايل
    تبلت
    لپ‌تاپ
    تلويزيون
    ساعت هوشمند
    هدفون
    هارد
    كنسول بازي
    كارت گرافيك
    پردازنده
    مانيتور
    SSD
    دوربين‌
    پاوربانك
    شارژر
    اسپيكر