باج‌افزار؛ تهدیدی امنیتی که روزبه‌روز پیشرفته‌تر می‌شود

باج‌افزار در تعریف ساده به بدافزاری گفته می‌شود که داده‌های کاربران را مانند گروگان دراختیار می‌گیرد. امروزه، چنین بدافزارهایی عموما داده‌ها را رمزنگاری می‌کنند و در ازای دریافت وجه (عموما به‌صورت رمزارز) کلیدهای رمزگشایی را به کاربران می‌دهند. باج‌افزار از سال ۲۰۱۳ به دنیای بدافزارها وارد شد و البته در سال گذشته روند کاهش توزیع را در پیش گرفت. از دلایل کاهش توزیع باج‌افزارها می‌توان به دلایلی همچون کاهش کلی بدافزارها در دنیای فناوری و بهبود مؤلفه‌ها و رویکردهای امنیتی اشاره کرد. امروزه، پشتیبان‌گیری از اطلاعات در میان کاربران دنیای فناوری به روندی جاری تبدیل شده است که سوددهی باج‌افزارها را تا حدودی برای مجرمان سایبری از بین می‌برد. به‌هرحال، روندهای مذکور علاوه‌بر کاهش توزیع با‌ج‌افزارها، به هدفمندتر و شدیدتر شدن آن‌ها هم منجر شده‌اند.

اولین باج‌افزارها با کمپین‌های گسترده‌ی ایمیلی و ابزارهای بهره‌برداری توزیع می‌شدند. رویکردهای اولیه بدون تمرکز خاصی کاربران فردی و سازمانی را هدف قرار می‌دادند. امروزه، توسعه‌دهندگان باج‌افزار ترجیح می‌دهند برای افزایش درآمد خود، رویکردی هدفمندتر برای توزیع در پیش گیرند.

کارشناسان امنیتی رویکرد مجرمان سایبری را به کسب‌وکار تشبیه می‌کنند. کسب‌وکار آن‌ها نیز مانند هر فعالیت دیگری هزینه دارد. درواقع، هرچه جامعه‌ی هدف حمله‌های امنیتی بزرگ‌تر باشد، هزینه‌ها هم بیشتر می‌شوند و درنتیجه، مجرمان باید به‌دنبال سوددهی بیشتر از عملیات خود باشند.

کیت‌های بهره‌برداری

در برخی حمله‌های امنیتی، حتی بازکردن وب‌سایت بدون دانلود فایلی خاص، قابلیت آلوده‌کردن کاربر را دارد. چنین حملاتی عموما با بهره‌برداری از ضعف‌های امنیتی نرم‌افزارها و سرویس‌های مرور وب مانند مرورگر یا جاوا یا فلش انجام می‌شوند. ابزارهای مدیریت محتوا و توسعه‌ی وب مانند وردپرس و مایکروسافت سیلورلایت هم منابع آسیب‌پذیری‌های امنیتی هستند. درنهایت، برای آلوده‌کردن کاربران با استفاده از روش مرور وب‌سایت، باید نرم‌افزارهای متعدد و راهکارهای خاص زیادی به‌کار گرفته شوند؛ به‌ همین دلیل، حجم عمده‌ای از فعالیت نفوذ و آلوده‌سازی در کیت‌های بهره‌برداری تجمیع می‌شود. مجرمان سایبری با اجاره‌کردن ابزارها، روند توزیع بدافزار خود را با سرعت بیشتری اجرا می‌کنند.

اجاره‌کردن کیت بهره‌برداری ماهیانه حدود هزار دلار هزینه دربر خواهد داشت؛ درنتیجه، چنین روش‌هایی برای همه‌ی مجرمان مناسب نیستند. درواقع، تنها افراد و سازمان‌هایی که انگیزه‌ی مالی یا استراتژیک بسیار زیادی دارند، چنین هزینه‌ای برای نفوذ و بهره‌برداری انجام می‌دهند.

اریک کلونوسکی، تحلیلگر امنیتی Webroot Principal، درباره کیت‌های بهره‌برداری می‌گوید:

در دهه‌ی گذشته، افزایش قیمت شدید در هزینه‌ی بهره‌برداری از آسیب‌پذیری‌های امنیتی را شاهد بوده‌ایم؛ به‌ همین دلیل، احتمالا در آینده با کاهش حملات روز صفر و نفوذهای اطلاعاتی شخصی مواجه خواهیم بود. بدون شک مجرمان مرتبط با دولت‌ها بازهم از کیت‌های بهره‌برداری برای هدف قراردادن قربانی‌های باارزش استفاده می‌کنند؛ اما قطعا کاهش یا توقف رخدادهایی همچون حملات Shadowbrokers را شاهد خواهیم بود. نفوذهای اطلاعاتی و درز داده‌های مهم در رخدادهای گذشته نقشی حیاتی در بیدارکردن کاربران و سازمان‌ها داشت؛ خصوصا افرادی که به ابزارهای مذکور دسترسی داشتند یا آن‌ها را در جایی رها کرده بودند، هشداری جدی دربرابر خود دیدند.

امروزه، دسترسی به کیت‌های توسعه‌ای به‌صورت وب یا بدافزار دشوار شده است؛ ازاین‌رو، عرضه‌ی کیت‌ها کاهش و قیمت آن‌ها افزایش یافته است. درنهایت، تهدید مذکور هیچ‌گاه از بین نمی‌رود و تنها روند کاهشی را در پیش گرفته است.

کمپین‌های ایمیلی

ایمیل‌های اسپم از بهترین روش‌های توزیع بدافزار هستند. مزیت آن‌ها به‌دلیل توانایی هدف قراردادن میلیون‌ها قربانی به‌صورت هم‌زمان برای مجرمان سایبری بسیار زیاد است. البته، پیاده‌سازی چنین کمپین‌هایی آن‌چنان آسان نیست و بازهم دشواری و هزینه‌هایی برای مجرمان در پی دارد.

ارسال ایمیل‌های انبوه حاوی بدافزار و راضی‌کردن کاربران به دانلود و نصب، به مراحل متعددی نیاز دارد. عبور از فیلترهای ایمیلی، آماده‌کردن پیام فیشینگ جذاب، ساختن ابزارهای نفوذ و به‌صورت کلی عبور از دیوارهای امنیتی، نیازمند مهارت و برنامه‌ریزی و هزینه خواهد بود. درنتیجه، اجرای چنین حملاتی هم به تخصص بالا نیاز خواهد داشت و مانند کیت‌های بهره‌برداری، اجاره‌ی آن‌ها با افزایش قیمت روبه‌رو شده است.

حملات هدفمند

مجرمان امنیتی برای هدف قراردادن قربانی‌های خود برنامه‌ریزی‌های متعددی دارند. آن‌ها باید شرایط و پرداخت شدن یا نشدن باج را بررسی کنند. به‌هرحال، موفقیت پیاده‌سازی حمله‌ی باج‌افزار هم به عوامل متعددی وابسته خواهد بود. مهم‌ترین عوامل مؤثر در این زمینه عبارت‌اند از:

عوامل گفته‌شده نشان می‌دهند موفقیت حملات امنیتی وابستگی زیادی به شرایط قربانی هدف دارند؛ درنتیجه پیداکردن روش‌هایی برای کاهش گستره‌ی هدف کمپین‌های ایمیلی و کیت‌های توسعه اهمیت بسزایی پیدا می‌کند. به‌هرحال، روش‌های نفوذ این‌چنینی گستره‌ی عملکردی بازتری دارند و باید حملات هدفمندتری به‌جای آن‌ها پیدا کرد.

روش Remote Desktop Protocol

ابزار RDP یکی از پرکاربردترین سیستم‌های مایکروسافت محسوب می‌شود که مدیران عموما از آن برای دسترسی به سرورها و دیگر نقاط اتصال در شبکه استفاده می‌کنند. وقتی چنین اتصال‌هایی با رمزعبور یا تنظیمات امنیتی ضعیف برقرار شوند، مجرمان امنیتی امکان نفوذ به آن‌ها را خواهند داشت. حملات مبتنی‌بر RDP سابقه‌ی طولانی دارند؛ اما متأسفانه دنیای کسب‌وکار، به‌ویژه شرکت‌های نوپا، هنوز با بی‌توجهی با آن‌ها رفتار می‌کنند.

اخیرا سازمان‌های دولتی در ایالات متحده و انگلستان درباره‌ی حملات RDP هشدارهایی جدی داده‌اند؛ حملاتی که قطعا با روش‌هایی آسان پیشگیری‌کردنی هستند. ازلحاظ بازار خریدوفروش، مجرمان سطح پایین در دارک‌وب امکان دسترسی  و خرید ماشین‌هایی را دارند که قبلا دیگر مجرمان هک کرده‌اند. به‌عنوان مثال، در نمونه‌های متعدد در دارک‌وب، دسترسی به کامپیوترهایی در فرودگاه‌ها با قیمت‌های ناچیز چنددلاری فروخته می‌شود.

فیشینگ متمرکز

اگر مجرم سایبری یک یا چند قربانی مشخص را هدف قرار داده باشد، روند آسان‌‌تری در طراحی ایمیل‌های فیشینگ و نفوذ خواهد داشت. چنین روش‌هایی به‌نام فیشینگ نیزه‌ای (Spear Phishing) شناخته می‌شوند. در بسیاری از پرونده‌هایی که با موضوع باج‌افزار در اینترنت می‌خوانیم، از چنین روشی برای نفوذ استفاده می‌شود.

بدافزارهای ماژولار به سیستم‌ها در سطوح متعدد حمله می‌کنند. در چنین حملاتی، به‌محض شروع فعالیت ماشین قربانی، مراحلی برای شناسایی هدف و شرایط انجام می‌شود و بدافزار هم ارتباط خود را با واحد اصلی برقرار می‌کند. درنهایت، کدها و بخش‌های مخرب در سیستم قربانی بارگذاری می‌شوند.

بدافزار Trickbot

تروجانی به‌نام Trickbot وجود دارد که بیشتر با تمرکز بر شرکت‌های بانکی فعالیت می‌کند. این تروجان بدافزارهایی همچون Bitpaymer را در ماشین‌‌های قربانی نصب می‌کند. اخیرا در برخی از حملات تروجان مذکور، پیش از اجرای حملات نهایی، ارزش شرکت هدف بررسی می‌شود. سپس، بدافزاری به‌نام Ryuk در سیستم‌های قربانی نصب می‌شود و باارزش‌ترین اطلاعات آن‌ها را رمزنگاری می‌کند. تیم اجرایی تروجان Trickbot، تنها اهداف بزرگ و سودده را هدف قرار می‌دهد. به‌علاوه، آن‌ها پیش از حمله امکان تأثیرگذاری عمیق فعالیت خود را نیز بررسی می‌کنند. تروجان Trickbot را عموما بدافزار ماژولار دیگری به‌نام Emotet اجرا و نصب می‌کند.

روندهای کنونی حمله‌ی باج‌افزار

همان‌طورکه گفته شد، حملات باج‌افزاری به‌‌دلیل افزایش آگاهی کاربران و بهینه‌سازی سیستم‌های امنیتی در حال کاهش هستند. همچنین، روند کنونی دنیای امنیت نشان می‌دهد حملات جدید با هدف‌گیری دقیق‌تر انجام می‌شوند. ازلحاظ آماری، حملات RDP در دو سال گذشته سهم فراوانی را به‌خود اختصاص داده‌اند. چنین حملاتی عموما آسیب‌هایی جدی به قربانی وارد می‌کنند و درنهایت، به پرداخت باج منجر می‌شوند. باج‌افزارهای ماژولار دسته‌ی بعدی هستند که پیش از انجام هرگونه حمله با استفاده از آن‌ها، باید ازلحاظ نفوذ و چگونگی اجرای حمله بررسی‌های عمیقی انجام شود.

شاید تصور اولیه بر این باشد که انتخاب اهداف در حمله‌های باج‌افزاری به‌کمک نیروی انسانی انجام می‌شود. درحالی‌که حملات امنیتی هم تا حد ممکن از برنامه‌هایی برای کاهش نیروی انسانی استفاده می‌کنند. به‌عنوان مثال، بدافزارها عموما سیستم‌های مجازی را شناسایی می‌کنند و در آن‌ها فعال نخواهند شد. افزون‌براین، بدافزارهایی همچون Trickbot و Emotet با دزدیدن اطلاعات شخصی کاربران، از آن‌ها برای نفوذ و گسترش خودکار بیشتر استفاده می‌کنند.

فرایندهای خودکارسازی بیش از همه به‌کمک حمله‌های مبتنی‌بر RDP می‌آیند. این سرویس‌ها در سرتاسر اینترنت جست‌وجو و قربانیان بالقوه را به مجرمان معرفی می‌کنند. روندهای کنونی نشان می‌دهد در آینده، افزایش هوشمندی و خودکارسازی در سیستم‌های بدافزاری را شاهد خواهیم بود. درنهایت، با توجه به روندهای کنونی و توضیحاتی که درباره‌ی حمله‌های باج‌افزاری داده شد، با وجود کاهش تعداد حملات، اهمیت به‌کارگیری رویکردهای امنیتی به قوت خود باقی است. کاربران شخصی و سازمانی با به‌کارگیری برخی راهکارها امکان پیشگیری بیشتری دربرابر حملات باج‌افزاری خواهند داشت که درادامه، به برخی از آن‌ها اشاره می‌کنیم: