باج گیر

باج افزار RaaS چیست و چرا خطرناک است؟

پوشیده نیست که باج افزار (ransomware ) سریعا به خطرناک­ترین تهدید برای سازمان­ها تبدیل می­شود. تعداد حملات باج افزار به صورت چشمگیری در حال افزایش است، که عمدتا ناشی از پاندمی کرونا است. به­ صورت جهانی، حملات باج افزار در سال 2020 به بیش از 60% افزایش یافت که 158% آن در آمریکای شمالی بود و ادارۀ فدرال تحقیقات (FBI) 20 % بیشتر شکایات از باج افزار دریافت کرد. در نیمۀ اول سال 2020، حملات باج افزار در مقایسه با دورۀ زمانی مشابه در سال گذشته به 151% افزایش یافت.

یکی از دلایلی که حملۀ باج افزار فراوان شده است، افزایش RaaS یا باج افزار به­عنوان سرویس است. این مساله به چگونگی انجام حملات و استقرار باج افزار در شبکه ها است که شانس موفقیت را افزایش می دهد.  ما این توسعه باج‌افزار جدید را بررسی می‌کنیم و نکاتی را در مورد اینکه چگونه می‌توانید بهتر از خود دفاع کنید به شما ارائه می‌کنیم.

باج افزار به چه صورت عمل می­کند؟

باج‌افزار تا حد زیادی از طریق Exploit-kit ها ساخته میشود. ابزاری که می‌توان از طریق انجمن‌های هکری و Dark Web خریداری کرد. باج افزار Hermes مثال خوبی است. اکسپلویت کیت ها، حاوی بدافزار، روتکیت‌ها و باج‌افزار هستند که معمولاً به منظور استفاده از یکی از آسیب‌پذیری های موجود ساخته می‌شوند که به بدافزار اجازه می‌دهد تا شبکه را آلوده کند. این امر به خریدار این امکان را می دهد که تلاش کند تا سازمان را با یک بدافزار آلوده کند در صورتی که سازمان آسیب‌پذیری های مربوطه را اصلاح نکرده باشد٬ اما هکرها می‌توانند از انواع دیگر حملات مانند فیشینگ برای نفوذ استفاده کنند.

بسته به اکسپلویت کیتی که یک هکر میتواند خریداری کند، هکر می­تواند حملۀ مخربی را ترتیب دهد که این حمله ممکن است شامل باج افزار کدگذاری شده در یک فایل مخرب باشد که پاداش های تمام افرادی که فایل را دانلود کرده اند را گرداوری می­کند. در هر حال، این نوع از باج افزار بطور گسترده­ای بدلیل نبود کارایی دچار رکود شده است.

مدل قدیمی نفوذ مربوط به ارسال ایمیل‌های فیشینگ است  با این امید که فردی یک پیوست مخرب را دانلود کند، که اغلب کار نمی‌کند. ضد فیشینگ، AV، شناسایی بدافزار، فیلترهای هرزنامه می توانند این نوع حملات باج افزار را در مراحل مختلف زنجیره حمله متوقف کنند.

حتی در مقابل با باج افزار کالا (commodity ransomware) مانند هرمس، داشتن فایل پشتیبان  (Backup File) برای مواجهه با حملات باج افزار کافی است.

از آن جایی که باج افزار در دسترس تمامی خریداران قرار دارد، محققان امنیت توانستند کلیدهای کشف رمز (Decryption keys) را توسعه دهند و هدف­ها را از باج افزار دور کنند، بدون آن که آنها را وادار به پرداخت باج به حمله کنندگان کنند و در عوض، توسعه­دهندگان باج افزار را وادار می­کنند که فایل های مخرب خود را بطور پیوسته به روز رسانی کنند (بدلیل اینکه آنتی ویروس ها آنها را شناسایی کرده اند، پس باید تغییراتی در آنها داده شود تا دوباره هکر ها بتوانند از آنها استفاده ببرند).

و نتیجه میگیریم حملات باج افزار چندان کارامد و موثر نبودند و هکرها باید روش دیگری را پیدا کنند.

توصیف باج افزار به عنوان سرویس

خطرناک ترین گروه های باج گیر تصمیم گرفتند موثرترین باج افزار خود را خصوصی کنند و یک قدم فراتر بروند. به جای اینکه آن را بفروشند و به عاملین بد اجازه دهند آزادانه از آنها استفاده کنند، تصمیم گرفتند باج افزار را به صورت یک وب سرویس لایسنس دار در بیاورند، و به صورت درصدی هزینه ها را با خریداران این سرویس های مخرب تقسیم کنند.

این بدان معناست که یک عامل بد خدمات گروه‌های هکر را به طور کامل برون‌سپاری می‌کند– این موضوع تغییری اساسی در نحوه انجام حملات باج‌افزار به شمار میرود.

گروه‌های هکر به‌جای استفاده از این ابزار در حملات فیشینگ و هرزنامه‌ها، یا به سازمان‌های هدف نفوذ می‌کنند یا باج‌افزار را در اهدافی که عوامل مخرب قبلاً راه خود را پیدا کرده‌اند، مستقر می‌کنند.

این مساله دو مزیت برای حمله کننده های باج افزار به همراه دارد:

سازمان­هایی که قبلا به خطر افتاده ­اند:  این حملات حملاتی با سبک سنتی نیستند بلکه حملات هدفمند تری هستند که یک سازمان به خطر افتاده را آلوده می‌کنند و شانس موفقیت را افزایش می‌دهند. و از آنجا که عوامل مخرب در حال حاضر در محیط یک شرکت هستند، احتمال بیشتری وجود دارد که باج افزارها بخش بزرگتری از شبکه سازمان را تحت‌تاثیر قرار دهد.

هیچ کلید رمزگشایی در دسترس وجود ندارد: امنیت سایبری به اطلاعات بستگی دارد. این واقعیت که باج گیر  در چنین مقیاس وسیعی مورد استفاده قرار می‌گرفت، امکان توسعه کلیدهای رمزگشایی را برای محققان امنیتی فراهم کرد. با این حال، باج‌افزار خیلی در دسترس نیست و تنها در برابر سازمان‌ها به‌طور کم استفاده می‌شود که این مسئله ساخت کلیدهای رمزگشایی را دشوارتر می‌کند.

باج افزار Ryuk مثال خوبی برای این موضوع است. این باج افزار که فقط توسط گروه هکر WIZARD SPIDER مجوز داده شده است، اشتراکات زیادی با هرمس دارد، اما تنها شرکت های بزرگ را با این باج گیر هدف قرار می دهد. و از آنجایی که به طور گسترده برای خرید در دسترس نیست، ویژگی های مخصوص به قربانی را برای هر حمله ایجاد می کند که ایجاد یک کلید رمزگشایی برای آن را بسیار دشوارتر می کند.

 

RaaS احتمالا به هنجار جدید تبدیل می­شود

متاسفانه، این توسعۀ جدید احتمالا حفظ می­شود. روش جدید، مزایای بیشتری برای متهاجمان دارد. هکر مخرب به دنبال آن است تا سازمانی را آلوده کند که احتمال موفقیت در آن بالاتر است و گروه باج افزار بدون انجام دادن کار بیشتر قادر به انجام حمله و سرقت اطلاعات است.

در نتیجه، قبلاً دیده‌ایم که گروه‌های باج‌افزار مدل کارتلی را اتخاذ کرده و با گروه‌های باج‌افزاری کوچک‌تر کار می‌کنند و شبکه‌ای سازمان‌یافته از مجرمان باج‌افزار را ایجاد می‌کنند. موفقیت مشاهده شده این مدل به این دلیل است که احتمالاً این مدل باقی می ماند و در آینده نزدیک افزایش می یابد.

این مساله بخشی از این دلیل است که حملات باج افزار بسیار افزایش یافته است و ما شاهد پرداخت های بزرگتر و بزرگتر هستیم. متوسط پرداخت باج افزار به طور چشمگیری افزایش یافت و به بیش از 300 هزار دلار در سال 2020 رسید که نشان دهنده افزایش 171 درصدی است.

سازمان­ها همچنان می­توانند از خودشان در برابر RaaS محافظت کنند.

با وجود این تحولات جدید، این بدان معنا نیست که سازمان ها در برابر این سبک از حملات درمانده هستند. خوشبختانه، سازمان ها می توانند از ابزارها، فرآیندها و راه حل های موجود برای محافظت از خود در برابر باج افزار استفاده کنند.

در اینجا چند زمینه وجود دارد که باید آنها را در اولویت قرار دهید.

دفاع سنتی در مقابل باج افزار را متوقف نکنید

فیلترهای هرزنامه، AV، و ابزارهای تشخیص و حذف ضد بدافزار به اندازه کافی موثر بوده اند تا مجرمان را مجبور به اتخاذ روش های دیگر کنند و حتی ممکن است مانع از اجرای باج افزار در محیط شما شوند. این ابزارها و همچنین برنامه های آموزشی آگاهی امنیتی باید همچنان مورد استفاده قرار گیرند و اولویت بندی شوند.

همیشه نسخه­ های پشتیبان همراه داشته باشید

اگر می‌توانید از فایل‌های خود نسخه پشتیبان تهیه کنید یا محیط خود را به مرحله قبل از آلودگی باج گیر برگردانید، برای شروع فرآیند بازیابی نیازی به پرداخت باج ندارید. اطمینان حاصل کنید که پشتیبان‌های شما کاملاً از شبکه اصلی شما جدا شده‌اند تا از آلودگی جلوگیری کنید.

 

 

روی ابزارهای نظارت و شناسایی سرمایه گذاری کنید

 

پیش درآمد این حملات باج گیر جدید، نفوذ است. اگر بتوانید ورود یک فرد غیرمجاز به شبکه خود را شناسایی کنید، می توانید از حمله جلوگیری کرده و به طور بالقوه آنها را قبل از اینکه آسیبی وارد کند از محیط خود بیرون کنید.

تا حد امکان از قطعه بندی شبکه استفاده کنید

این موضوع همیشه در برابر باج افزار کار کرده و هنوز هم جواب می دهد. اگر یک سیستم قطعه بندی شبکه مقاوم دارید، باید بتوانید از آلوده کردن باج‌افزارها به مهم‌ترین دارایی‌های تجاری‌تان جلوگیری کنید و حتی از تهدیدهای اخاذی یا نشت داده‌ها جلوگیری کنید.

طرح پاسخ آماده داشته باشید

سازمان­ها باید برای مقابله با حملات باج افزار آمادگی کامل داشته باشد. یعنی باید یک طرح واکنش به حادثه ساخته شود و حتی در مواردی ممکن است بخواهید از یک شریک بررسی قضایی در سازمان استفاده کنید که در صورت خطر می تواند به سازمان کمک کنند.

ظهور RaaS بسیار نگران کننده است، اما اصول، روش ها، ابزارها و سیستم های امنیتی هنوز هم قابلیت های دفاعی، شناسایی و پاسخ قوی را ارائه می دهند. این اولویت های مهم را نادیده نگیرید و شرکای اهرمی را در نظر بگیرید که می توانند در قسمت تشخیص و پاسخ کمک کنند.

در این لینک درباره decryptor که به بیش از 1400 شرکت در 83 کشور کمک کرد تا فایل های خود را بازیابی کنند و بیش از 550 میلیون دلار باج پرداخت نشده را ذخیره کنند، بیشتر بیاموزید.