با وجود پیشرفت در امنیت سایبری، باج افزار ها(Ransomware) همچنان تهدیدی برای مشاغل هستند. باج افزارها بسیار متنوع هستند و جلوگیری از حملات آنها نیز بسیار دشوار می باشد به همین دلیل، یک فعالیت مجرمانه پرسود است که میتواند برای هر شرکت بین چند هزار تا چندین میلیون دلار هزینه داشته باشد.
در ادامه مقاله، با خطرناک ترین نمونه های باج افزار آشنا خواهید شد و متوجه خواهید شد که چرا مشاغل سرمایه گذاری زیادی برای جلوگیری از این نوع حملات انجام می دهند.
باج افزار چیست؟
باج افزار، نوعی نرم افزار است که دسترسی به سیستم یا پرونده را تا زمانی که قربانی باج مورد نظر را پرداخت نکند، مسدود می کند. اکثر حملات با رمزگذاری داده ها، آنها را غیرقابل دسترسی می کند. حتی برخی برنامه ها نیز از بوت شدن دستگاه های کاربران جلوگیری می کند.
باج افزارها به طور معمول سیستم را به یکی از روش های زیر آلوده می کنند:
– پیوست یا لینک مخرب در یک ایمیل فیشینگ
– دانلود از یک وب سایت آلوده
– کرم هایی که از آسیب پذیری سیستم سوءاستفاده می کنند.
درادامه نحوه عملکرد حمله یک باج افزار را بررسی خواهیم کرد:
یک کاربر، یک ایمیل فیشینگ دریافت می کند و با کلیک بر روی لینک مخرب دستگاه خود را آلوده می کند. باج افزار بی سر و صدا روی سیستم نصب می شود و داده های مورد نظر را تعیین می کند. این برنامه داده ها را در پس زمینه رمزگذاری می کند. پس از تکمیل رمزگذاری، پیامی از سوی مهاجم جهت دریافت باج برای قربانی ارسال می شود.
معمولاً هکرها درخواست پرداخت با بیت کوین یا ارزهای رمزنگاری شده مشابه را دارند. باج همیشه دارای مهلت زمانی است. اگر قربانی تصمیم بگرد مهلت را نقض کند؛ مهاجم قیمت را افزایش می دهد یا کلید رمزگشایی را حذف می کند.
دادن پول به مهاجم همیشه پایان حمله باج افزار نیست. همچنین، برخی از برنامه ها دستگاه های دیگر را در شبکه آلوده می کنند و حملات بیشتری را امکان پذیر می کنند. نمونه های دیگر باج افزار نیز قربانیان را با بدافزار آلوده می کند. مانند تروجان هایی که اطلاعات ورود به سیستم را سرقت می کنند.
انواع باج افزار ها:
باج افزار کریپتو
باج افزارهای کریپتو یا رمزنگاری(یا قفل های داده) فایل ها را در کامپیوتر رمزگذاری می کنند تا از دسترسی قربانی به داده ها جلوگیری شود. ساده ترین راه برای بازیابی اطلاعات استفاده از کلید رمزگشایی است، چیزی که مهاجمان در ازای باج ارائه می دهند.
باج افزار کریپتو معمولاً همه داده های یک دستگاه را رمزگذاری نمی کند. در عوض، برنامه بی سر و صدا کامپیوتر را برای یافتن اطلاعات ارزشمند اسکن می کند و فقط فایل های مهم را رمزگذاری می کند. اهداف معمولی برای حمله رمزنگاری شده شامل اطلاعات مالی، پروژه های کاری و پرونده های حساس تجاری است.
این نوع باج افزار، کامپیوتر را قفل نمی کند. قربانیان می توانند به استفاده از دستگاه های خود ادامه دهند حتی اگر از پرداخت باج خودداری کنند.
باج افزار قفل کنند یا Locker:
این نوع باج افزار، به جای رمزگذاری فایل های خاص، کل کامپیوتر را قفل می کند. سپس مهاجمان قول می دهند که در صورت پرداخت باج، قفل دستگاه قربانی را باز کنند.
حمله Locker به طور معمول به کاربر اجازه می دهد تا دستگاه را بوت کند. با این حال، دسترسی دستگاه محدود است و قربانی را قادر می سازد تا تنها با مهاجم تعامل داشته باشد.
مهاجمان پشت باج افزار اغلب از مهندسی اجتماعی برای تحت فشار قرار دادن قربانی برای پرداخت باج استفاده می کنند. تقلید از مسئولان دولتی یا سازمان های اجرای قانون یک تاکتیک رایج است.
از استراتژی های پشتیبان گیری برای محافظت از مشاغل خود در برابر حملات باج افزارهای رمزنگاری و قفل کننده استفاده کنید.
نمونه هایی از باج افزارها
1. Reveton(یا تروجان پلیس)
باج افزار Reveton در اواخر سال 2012 ظاهر شدو هکرها Reveton را از طریق سه تاکتیک گسترش دادند.
– بسته های مخرب در وب سایت های ناامن
– کمپین های ایمیل اسپم
– ایمیل های فیشینگ
Reveton هنگامی که داخل کامپیوتر می شود، دستگاه را برای پلاگین های قدیمی یا قابل استفاده اسکن می کند. در صورت ضعف سیستم، برنامه دستگاه را قفل کرده و از دسترسی کاربر به کامپیوتر جلوگیری می کند.
Reveton، به مهندسی اجتماعی متکی است تا قربانیان را تحت فشار قرار دهد تا باج را بپردازند. زیرا مهاجمان اغلب نیروی پلیس را تصور می کنند. پیام باج افزار به طور معمول می گوید، کاربر درگیر فعالیت های غیرقانونی بوده و به قربانی دستور می دهد تا جریمه بپردازد.
مقامات، خالق اصلی این باج افزار را در سال 2013 بازداشت کردند، اما تغییرات مختلف برنامه هنوز فعال است. آخرین نسخه این باج افزار، یک بدافزار سرقت رمزعبور را نصب می کند که پس از پرداخت باج توسط قربانی در سیستم باقی می ماند.
2. CryptoLocker
اولین گزارش CryptoLocker در سپتامبر 2013 اتفاق افتاد. این تروجان، دستگاه هایی که دارای سیستم عامل مایکروسافت ویندوز هستند را هدف قرار داده و از طریق ایمیل آلوده و بات نت Gameover ZeuS پخش شده است.
پس از فعال شدن، CryptoLocker فایل ها را روی درایو محلی و نصب شده با رمزنگاری کلید عمومی RSA رمز گذاری می کند. CryptoLocker اولین باج افزاری بود که داده ها را با کلید متقارن متفاوتی برای هر فایل رمزگذاری کرد. این برنامه توانست تا 70 فرمت مختلف را رمزگذاری کند.
نویسندگان CryptoLocker با موفقیت حدود 9 میلیون دلار را در 9 ماه اخاذی کردند. در ماه مه 2014، وزارت دادگستری ایالات متحده، بات نت Gameover ZeuS را غیرفعال کرد. همچنین مقامات، کلیدهای خصوصی CryptoLocker را نیز کشف کردند که به قربانیان این امکان را می داد تا داده های از دست رفته را با یک ابزار آنلاین ساده بازیابی کنند.
3.CryptoWall
CryptoWall برای اولین بار در اوایل سال 2014 ظاهر شد. این باج افزار از طریق ایمیل های فیشینگ،کیت های سوءاستفاده و تبلیغات مخرب گسترش می یابد. پس از نصب، برنامه:
داده ها را رمزگذاری میکند. نام فایل ها را به هم میریزد تا قربانی را گیج کند. نقاط بازیابی سیستم را حذف می کند. سرور فرمان و کنترل کلیدهای رمزگشایی را ذخیره می کند. بنابراین رمزگشایی محلی غیر ممکن است. یکی از ویژگی های قابل توجه CryptoWall این است که مهاجمان همیشه رمزگشایی یک فایل را به صورت رایگان ارائه می دهند.
باج معمولی 700 دلار است. هزینهای که پس از یک هفته در صورت عدم توجه قربانی به درخواست، 2برابر می شود.
4. TorrentLocker
TorrentLocker یک تروجان باج افزار است در سال 2014 ظاهر شد.
TorrentLocker عمدتاً از طریق کمپین های ایمیلی منتشر شد. کلیک روی پیوست در یک ایمیل آلوده دو پیامد دارد:
-فایل TorrentLocker را روی دستگاه نصب می کند.
– باج افزار، مخاطبین ملی را جمع آوری کرده و ایمیل های بیشتری ارسال می کند.
پس از آلودگی، TorrentLocker قبل از مخفی کردن محتویات از طریق رمزگذاری AES، سیستم را برای برنامه ها و فایل ها اسکن می کند. همچنین، این برنامه restore point های ویندوز را حذف می کند تا از بازیابی سیستم جلوگیری شود. این باج به طور معمول حدود 500 دلار است و قربانی 3روز فرصت دارد تا آن را بپردازد.
با اجرای بهترین شیوه های امنیت ایمیل، در برابر TorrentLocker و باج افزارهای مشابه محافظت کنید.
5. TeslaCrypt
TeslaCrypt یک تروجان باج افزار بود که در فوریه 2015 منتشر شد و گیمرهایی را که از کامپیوترهای ویندوزی استفاده می کردند را هدف قرار داد. این برنامه از طریق بهره برداری Angler Adobe Flash گسترش یافت.
پس از ورود به سیستم، TeslaCrypt فایل های داده ها را جستجو کرده و آنها را با پروتکل AES، رمزگذاری می کرد. TeslaCrypt، 185 نوع داده را در 40 بازی ویدیویی مختلف مورد هدف قرار داد که مهمترین آنها Minecraft و World of Warcraft هستند. باج افزار، ذخیره اطلاعات، حساب کاربری، نقشه های سفارشی و حالت های بازی را رمزگذاری می کند.
برای رمزگشایی پرونده ها، قربانی باید 500 دلار را در قالب بیت کوین بپردازد. همچنین، نسخه های بعدی TeslaCrypt فرمت های JPEG، PDF، Word و سایر پسوندها را رمزگذاری می کند.
در ماه مه 2016، نویسندگان TeslaCrypt با انتشار کلید رمزگشایی اصلی، باج افزار را بستند. بعداً شرکت ESET یک ابزار رمزگشایی رایگان ایجاد کرد که با آن قربانیان میتوانند داده های رمزگذاری شده را بازیابی کنند.
6. SamSam (معروف به Samas یا SamsamCrypt)
SamSam در اواخر سال 2015 ظاهر شد. این باج افزار به هیچ نوع مهندسی اجتماعی متکی نیست. در عوض، SamSam با سوءاستفاده از آسیب پذیری های سیستم در سرورهای میزبان JBoss گسترش می یابد.
به محض ورود به سیستم، مهاجمان دسترسی مدیر(Admin) را به دست می آورند و یک فایل اجرایی(.exe) را اجرا می کنند که داده ها را رمزگذاری می کند. قربانی نیازی به باز کردن پیوست یا برنامه آلوده ندارد.
با گذشت زمان، SamSam تکامل یافت و شروع به بهره برداری از آسیب پذیری ها در موارد زیر کرد:
– پروتکل های دسکتاپ از راه دور(RDP)
– سرورهای تحت وب جاوا
– سرورهای پروتکل انتقال فایل(FTP)
SamSam بیش از 6 میلیون دلار اخاذی کرد و بیش از 30 میلیون دلار خسارت وارد کرد.
آخرین گزارش های عمومی SamSam در اواسط تا اواخر سال 2018 بود. با این حال، هیچ بازداشتی اتفاق نیفتاد و همچنین هیچ اعلام رسمی در مورد لغو برنامه وجود نداشت.
7. Locky
اولین حملات Locky در فوریه 2016 رخ داد که هکرها حدود نیم میلیون ایمیل فاسد را به آدرس های تصادفی ارسال کردند.
Locky با ایمیل های فیشینگ با پیوست های مخرب گسترش می یابد. یک استراتژی معمولی ارسال فاکتورهای جعلی با سند آلوده است.
اگر قربانی سند را باز کند، یک فایل باینری یک تروجان را دانلود می کند که همه پرونده ها را با یک پسوند خاص رمزگذاری می کند. Locky کلیدهای رمز گشایی را در سمت سرور ایجاد می کند و رمزگشایی دستی را غیرممکن می سازد.
Locky می تواند بیش از 160 نوع فایل را رمزگذاری کند. تمرکز برنامه این است که انواع فایل های رایج در تیم های توسعه، مهندسی و QA را هدف قرار دهد. پس از رمزگذاری، قربانی باید Tor را دانلود کرده و برای کسب اطلاعات بیشتر از یک سایت در دارک وب بازدید کند. یک باج معمولی بین 0.5 تا 1 بیت کوین متغیر است.
نسخه بعدی Locky شروع به استفاده از یک پیوست جاوا اسکریپت کرد که در صورت باز شدن فایل توسط کاربر به طور خودکار اجرا شود.
8. Cerber
Cerber در فوریه 2016 ظاهر شد و یک برنامه Ransomware-as-a-Service یا RaaS بود. اشخاص ثالث می توانند از Cerber برای حمله به کاربران و در عوض هزینه استفاده از برنامه را به صاحبان آن بپردازد.
Cerber کاربران آفیس 365 مبتنی بر ابر را با کمپین های فیشینگ هدف قرار داد. به طور معمول، قربانیان ایمیلی با یک فایل آفیس دریافت می کردند. اگر قربانی فایل را باز کند، باج افزار بی سر و صدا داده ها را در پس زمینه رمزگذاری می کند. سپس قربانی، درخواست باج را در یک پوشه رمزگذاری شده یا در پس زمینه دسکتاپ مشاهده خواهد کرد.
در ادامه آمار Cerber را در سال های مختلف مشاهده خواهید کرد:
– در جولای 2016، Cerber بیش از 150،000 قربانی را از طریق 161 کمپین آلوده کرد. مهاجمان در آن سال حدود 2.3 میلیون دلار سرقت کردند.
– در اوایل سال 2017 که اوج حملات بود، Cerber عامل 26 درصد از حملات باج افزارها بود.
– هیچ گزارشی از حملات Cerber در سال 2018 وجود ندارد. مهاجمان به باج افزارهای پیشرفته تر مانند GrandCrab و SamSam مهاجرت کردند.
9. Petya
Petya برنامهای است که برای اولین بار در مارس 2016 اجرا شد. به جای رمزگذاری فایل ها، Petya کل هارد دیسک را رمزگذاری می کند. Petya در درجه اول از طریق بخش های منابع انسانی شرکت های متوسط تا بزرگ منتشر می شود. مهاجمان معمولا برنامه های شغلی جعلی را با فایل های آلوده PDF یا لینک های Dropbox ارسال می کنند.
حمله با آلوده کردن بوت رکورد اصلی کامپیوتر (MBR) شروع می شود. سپس Petya بوت لودر ویندوز را رونویسی کرده و سیستم را دوباره راه اندازی می کند. هنگام راه اندازی، محموله بارگذاری فایل اصلی جدول فایل NTFS را رمزگذاری می کند. قربانی سپس یک درخواست باج می بیند که باید با بیت کوین، آن را پرداخت کند.
سازمان های که با باج افزار مورد حمله قرار می گیرند میتوانند از تداوم تجارت و داده ها با Disaster Recovery به عنوان یک سرویس اطمینان حاصل کنند.
مهاجمان معمولا Petya را با Mischa ترکیب می کنند. یک برنامه ثانویه که در صورت عدم نصب Petya فعال می شود. Mischa اسناد و فایل های اجرایی کاربر را رمزگذاری می کند.
با پیشرفت بهتر شرکت ها در جلوگیری از حملات Petya، برنامه به نسخه های پیچیده تری به نام NotPetya و GoldenEye تبدیل شد.
10. Dharma (معروف به CrySIS)
باج افزار Dharma برای اولین بار در سال 2016 ظاهر شد. اما در اواسط سال 2019 به یک موضوع داغ تبدیل شد. Dharma فقط سیستم های ویندوز را هدف قرار می دهد. این باج افزار دارای سه روش توزیع است:
ایمیل های اسپم:
قربانیان ایمیلی حاوی پیوست آلوده با پسوندی دوگانه را دریافت می کنند. این پیوست ها در تنظیمات پیش فرض ویندوز به عنوان اجرایی(.exe) ظاهر نمی شوند.
فایل های راه اندازی خراب:
برنامه Dharma به عنوان یک فایل راه اندازی برای نرم افزارهای قانونی مطرح می شود.
آسیب پذیری RDP:
مهاجمان نقطه ضعفی را در پروتکل Remote Desktop هدف قرار می دهند. این فرایند مستلزم بروت فورس RDP ویندوز قربانی است. هنگامی که وارد سیستم می شوید، Dharma همه فایل ها را رمزگذاری می کند. این برنامه همچنین، تمام نقاط بازیابی ویندوز را نیز حذف می کند.
نتیجه گیری
شرکت ها نباید خطر باج افزار را نادیده بگیرند. تعداد حملاتی که به صورت روزانه انجام می شود، تضمین می کند که اکثر مشاغل با این تهدید روبرو خواهند شد. به همین دلیل، باید اطمینان حاصل کنید که کسب و کار شما برای چنین سناریویی آمادگی دارد.