باجافزار؛ تهدیدی امنیتی که روزبهروز پیشرفتهتر میشود
باجافزار در تعریف ساده به بدافزاری گفته میشود که دادههای کاربران را مانند گروگان دراختیار میگیرد. امروزه، چنین بدافزارهایی عموما دادهها را رمزنگاری میکنند و در ازای دریافت وجه (عموما بهصورت رمزارز) کلیدهای رمزگشایی را به کاربران میدهند. باجافزار از سال ۲۰۱۳ به دنیای بدافزارها وارد شد و البته در سال گذشته روند کاهش توزیع را در پیش گرفت. از دلایل کاهش توزیع باجافزارها میتوان به دلایلی همچون کاهش کلی بدافزارها در دنیای فناوری و بهبود مؤلفهها و رویکردهای امنیتی اشاره کرد. امروزه، پشتیبانگیری از اطلاعات در میان کاربران دنیای فناوری به روندی جاری تبدیل شده است که سوددهی باجافزارها را تا حدودی برای مجرمان سایبری از بین میبرد. بههرحال، روندهای مذکور علاوهبر کاهش توزیع باجافزارها، به هدفمندتر و شدیدتر شدن آنها هم منجر شدهاند.
روشهای توزیع
اولین باجافزارها با کمپینهای گستردهی ایمیلی و ابزارهای بهرهبرداری توزیع میشدند. رویکردهای اولیه بدون تمرکز خاصی کاربران فردی و سازمانی را هدف قرار میدادند. امروزه، توسعهدهندگان باجافزار ترجیح میدهند برای افزایش درآمد خود، رویکردی هدفمندتر برای توزیع در پیش گیرند.
کارشناسان امنیتی رویکرد مجرمان سایبری را به کسبوکار تشبیه میکنند. کسبوکار آنها نیز مانند هر فعالیت دیگری هزینه دارد. درواقع، هرچه جامعهی هدف حملههای امنیتی بزرگتر باشد، هزینهها هم بیشتر میشوند و درنتیجه، مجرمان باید بهدنبال سوددهی بیشتر از عملیات خود باشند.
کیتهای بهرهبرداری
در برخی حملههای امنیتی، حتی بازکردن وبسایت بدون دانلود فایلی خاص، قابلیت آلودهکردن کاربر را دارد. چنین حملاتی عموما با بهرهبرداری از ضعفهای امنیتی نرمافزارها و سرویسهای مرور وب مانند مرورگر یا جاوا یا فلش انجام میشوند. ابزارهای مدیریت محتوا و توسعهی وب مانند وردپرس و مایکروسافت سیلورلایت هم منابع آسیبپذیریهای امنیتی هستند. درنهایت، برای آلودهکردن کاربران با استفاده از روش مرور وبسایت، باید نرمافزارهای متعدد و راهکارهای خاص زیادی بهکار گرفته شوند؛ به همین دلیل، حجم عمدهای از فعالیت نفوذ و آلودهسازی در کیتهای بهرهبرداری تجمیع میشود. مجرمان سایبری با اجارهکردن ابزارها، روند توزیع بدافزار خود را با سرعت بیشتری اجرا میکنند.
اجارهکردن کیت بهرهبرداری ماهیانه حدود هزار دلار هزینه دربر خواهد داشت؛ درنتیجه، چنین روشهایی برای همهی مجرمان مناسب نیستند. درواقع، تنها افراد و سازمانهایی که انگیزهی مالی یا استراتژیک بسیار زیادی دارند، چنین هزینهای برای نفوذ و بهرهبرداری انجام میدهند.
اریک کلونوسکی، تحلیلگر امنیتی Webroot Principal، درباره کیتهای بهرهبرداری میگوید:
در دههی گذشته، افزایش قیمت شدید در هزینهی بهرهبرداری از آسیبپذیریهای امنیتی را شاهد بودهایم؛ به همین دلیل، احتمالا در آینده با کاهش حملات روز صفر و نفوذهای اطلاعاتی شخصی مواجه خواهیم بود. بدون شک مجرمان مرتبط با دولتها بازهم از کیتهای بهرهبرداری برای هدف قراردادن قربانیهای باارزش استفاده میکنند؛ اما قطعا کاهش یا توقف رخدادهایی همچون حملات Shadowbrokers را شاهد خواهیم بود. نفوذهای اطلاعاتی و درز دادههای مهم در رخدادهای گذشته نقشی حیاتی در بیدارکردن کاربران و سازمانها داشت؛ خصوصا افرادی که به ابزارهای مذکور دسترسی داشتند یا آنها را در جایی رها کرده بودند، هشداری جدی دربرابر خود دیدند.
امروزه، دسترسی به کیتهای توسعهای بهصورت وب یا بدافزار دشوار شده است؛ ازاینرو، عرضهی کیتها کاهش و قیمت آنها افزایش یافته است. درنهایت، تهدید مذکور هیچگاه از بین نمیرود و تنها روند کاهشی را در پیش گرفته است.
کمپینهای ایمیلی
ایمیلهای اسپم از بهترین روشهای توزیع بدافزار هستند. مزیت آنها بهدلیل توانایی هدف قراردادن میلیونها قربانی بهصورت همزمان برای مجرمان سایبری بسیار زیاد است. البته، پیادهسازی چنین کمپینهایی آنچنان آسان نیست و بازهم دشواری و هزینههایی برای مجرمان در پی دارد.
ارسال ایمیلهای انبوه حاوی بدافزار و راضیکردن کاربران به دانلود و نصب، به مراحل متعددی نیاز دارد. عبور از فیلترهای ایمیلی، آمادهکردن پیام فیشینگ جذاب، ساختن ابزارهای نفوذ و بهصورت کلی عبور از دیوارهای امنیتی، نیازمند مهارت و برنامهریزی و هزینه خواهد بود. درنتیجه، اجرای چنین حملاتی هم به تخصص بالا نیاز خواهد داشت و مانند کیتهای بهرهبرداری، اجارهی آنها با افزایش قیمت روبهرو شده است.
حملات هدفمند
مجرمان امنیتی برای هدف قراردادن قربانیهای خود برنامهریزیهای متعددی دارند. آنها باید شرایط و پرداخت شدن یا نشدن باج را بررسی کنند. بههرحال، موفقیت پیادهسازی حملهی باجافزار هم به عوامل متعددی وابسته خواهد بود. مهمترین عوامل مؤثر در این زمینه عبارتاند از:
عوامل گفتهشده نشان میدهند موفقیت حملات امنیتی وابستگی زیادی به شرایط قربانی هدف دارند؛ درنتیجه پیداکردن روشهایی برای کاهش گسترهی هدف کمپینهای ایمیلی و کیتهای توسعه اهمیت بسزایی پیدا میکند. بههرحال، روشهای نفوذ اینچنینی گسترهی عملکردی بازتری دارند و باید حملات هدفمندتری بهجای آنها پیدا کرد.
روش Remote Desktop Protocol
ابزار RDP یکی از پرکاربردترین سیستمهای مایکروسافت محسوب میشود که مدیران عموما از آن برای دسترسی به سرورها و دیگر نقاط اتصال در شبکه استفاده میکنند. وقتی چنین اتصالهایی با رمزعبور یا تنظیمات امنیتی ضعیف برقرار شوند، مجرمان امنیتی امکان نفوذ به آنها را خواهند داشت. حملات مبتنیبر RDP سابقهی طولانی دارند؛ اما متأسفانه دنیای کسبوکار، بهویژه شرکتهای نوپا، هنوز با بیتوجهی با آنها رفتار میکنند.
اخیرا سازمانهای دولتی در ایالات متحده و انگلستان دربارهی حملات RDP هشدارهایی جدی دادهاند؛ حملاتی که قطعا با روشهایی آسان پیشگیریکردنی هستند. ازلحاظ بازار خریدوفروش، مجرمان سطح پایین در دارکوب امکان دسترسی و خرید ماشینهایی را دارند که قبلا دیگر مجرمان هک کردهاند. بهعنوان مثال، در نمونههای متعدد در دارکوب، دسترسی به کامپیوترهایی در فرودگاهها با قیمتهای ناچیز چنددلاری فروخته میشود.
فیشینگ متمرکز
اگر مجرم سایبری یک یا چند قربانی مشخص را هدف قرار داده باشد، روند آسانتری در طراحی ایمیلهای فیشینگ و نفوذ خواهد داشت. چنین روشهایی بهنام فیشینگ نیزهای (Spear Phishing) شناخته میشوند. در بسیاری از پروندههایی که با موضوع باجافزار در اینترنت میخوانیم، از چنین روشی برای نفوذ استفاده میشود.
حملات متمرکز بخت موفقیت بیشتری بههمراه دارند
بدافزارهای ماژولار
بدافزارهای ماژولار به سیستمها در سطوح متعدد حمله میکنند. در چنین حملاتی، بهمحض شروع فعالیت ماشین قربانی، مراحلی برای شناسایی هدف و شرایط انجام میشود و بدافزار هم ارتباط خود را با واحد اصلی برقرار میکند. درنهایت، کدها و بخشهای مخرب در سیستم قربانی بارگذاری میشوند.
بدافزار Trickbot
تروجانی بهنام Trickbot وجود دارد که بیشتر با تمرکز بر شرکتهای بانکی فعالیت میکند. این تروجان بدافزارهایی همچون Bitpaymer را در ماشینهای قربانی نصب میکند. اخیرا در برخی از حملات تروجان مذکور، پیش از اجرای حملات نهایی، ارزش شرکت هدف بررسی میشود. سپس، بدافزاری بهنام Ryuk در سیستمهای قربانی نصب میشود و باارزشترین اطلاعات آنها را رمزنگاری میکند. تیم اجرایی تروجان Trickbot، تنها اهداف بزرگ و سودده را هدف قرار میدهد. بهعلاوه، آنها پیش از حمله امکان تأثیرگذاری عمیق فعالیت خود را نیز بررسی میکنند. تروجان Trickbot را عموما بدافزار ماژولار دیگری بهنام Emotet اجرا و نصب میکند.
روندهای کنونی حملهی باجافزار
همانطورکه گفته شد، حملات باجافزاری بهدلیل افزایش آگاهی کاربران و بهینهسازی سیستمهای امنیتی در حال کاهش هستند. همچنین، روند کنونی دنیای امنیت نشان میدهد حملات جدید با هدفگیری دقیقتر انجام میشوند. ازلحاظ آماری، حملات RDP در دو سال گذشته سهم فراوانی را بهخود اختصاص دادهاند. چنین حملاتی عموما آسیبهایی جدی به قربانی وارد میکنند و درنهایت، به پرداخت باج منجر میشوند. باجافزارهای ماژولار دستهی بعدی هستند که پیش از انجام هرگونه حمله با استفاده از آنها، باید ازلحاظ نفوذ و چگونگی اجرای حمله بررسیهای عمیقی انجام شود.
شاید تصور اولیه بر این باشد که انتخاب اهداف در حملههای باجافزاری بهکمک نیروی انسانی انجام میشود. درحالیکه حملات امنیتی هم تا حد ممکن از برنامههایی برای کاهش نیروی انسانی استفاده میکنند. بهعنوان مثال، بدافزارها عموما سیستمهای مجازی را شناسایی میکنند و در آنها فعال نخواهند شد. افزونبراین، بدافزارهایی همچون Trickbot و Emotet با دزدیدن اطلاعات شخصی کاربران، از آنها برای نفوذ و گسترش خودکار بیشتر استفاده میکنند.
فرایندهای خودکارسازی بیش از همه بهکمک حملههای مبتنیبر RDP میآیند. این سرویسها در سرتاسر اینترنت جستوجو و قربانیان بالقوه را به مجرمان معرفی میکنند. روندهای کنونی نشان میدهد در آینده، افزایش هوشمندی و خودکارسازی در سیستمهای بدافزاری را شاهد خواهیم بود. درنهایت، با توجه به روندهای کنونی و توضیحاتی که دربارهی حملههای باجافزاری داده شد، با وجود کاهش تعداد حملات، اهمیت بهکارگیری رویکردهای امنیتی به قوت خود باقی است. کاربران شخصی و سازمانی با بهکارگیری برخی راهکارها امکان پیشگیری بیشتری دربرابر حملات باجافزاری خواهند داشت که درادامه، به برخی از آنها اشاره میکنیم: