سیر تکامل باجافزارها؛ از تروجان ایدز تا اخاذی سهگانه
این روزها اخبار متعددی دربارهی حملات جدید باجافزاری میشنویم. در ابتدا باج درخواستی تنها به چند صد دلار محدود میشد؛ اما امروزه به میلیونها دلار رسیده است؛ اما چطور به نقطهای رسیدیم که دادهها و خدمات خود را در ازای باج حفظ کنیم و تنها به خاطر یک حمله، میلیونها دلار پرداخت کنیم؟ آیا میتوان امیدوار بود که این روند روزی به پایان خواهد رسید؟
اولین باجافزار
یکی از دستاوردهای دکتر جوزف ال. پاپ در زمینهی زیستشناسی، استفاده از نرمافزار کامپیوتری برای تقاضای باج بود. پاپ در دسامبر ۱۹۸۹ با استفاده از پست، نزدیک به ۲۰ هزار فلاپی دیسک را با برچسب «اطلاعات ایدز- دیسک مقدماتی» در میان صدهای مؤسسهی پژوهشی پزشکی ۹۰ کشور جهان منتشر کرد. هر دیسک حاوی پرسشنامهای تعاملی بود که ریسک ابتلا به ایدز را بر اساس پاسخها ارزیابی میکرد. در کنار این پرسشنامه باجافزاری به نام AIDS Trojan قرار داشت. این باجافزار فایلهای کامپیوتر کاربران را پس از چند مرتبه ریبوت رمزنگاری میکرد.
پرینترهای متصل به کامپیوترهای آلوده برای ارسال حوالههای بانکی، چک صندوق یا سفارش پول بینالمللی به مبلغ ۱۸۹ دلار به ادارهی پست پاناما، دستورالعملهایی چاپ کردند. پاپ قصد داشت دو میلیون دیسک دیگر ارسال کند؛ اما در راه بازگشت به آمریکا در سمینار ایدز سازمان جهانی بهداشت دستگیر شد. با تمام شواهدی که علیه دکتر پاپ وجود داشت، او هرگز محکوم نشد. خوشبختانه کد دکتر پاپ شامل رمزنگاری متقارن بود و متخصصان کامپیوتر آن زمان ابزار رمزگشایی لازم را برای خنثی کردن این باجافزار در اختیار داشتند. بین سالهای ۱۹۹۱ تا ۲۰۰۴ هیچ حملهی باجافزاری قابل توجهی رخ نداد؛ اما برخی این سکوت را آرامش قبل از طوفان میدانستند.
پیشرفت فناوری و تکامل باجافزارها
مجرمان سایبری در اوایل دههی ۲۰۰۰ به سه مزیت عمده دسترسی داشتند که دکتر پاپ از آنها محروم بود:
۱. سیستم ارسال فوق سریع و بهینهای که میلیونها کامپیوتر را در سراسر جهان به یکدیگر وصل میکند (شبکهی جهانی وب).
۲. دسترسی به ابزار رمزنگاری باثبات نامتقارن که رمزگشایی آنها تقریبا غیر ممکن بود.
۳. پلتفرم پرداختی که سرعت، گمنامی و قابلیت خودکارسازی وظایف رمزگشایی را تضمین میکرد (مثل بیتکوین).
در ادامه به خلاصهای از رویدادهای کلیدی در تاریخچهی باجافزارها اشاره شده است:
- ۲۰۰۶: Archiveus از RSA-1024 برای رمزنگاری فایلها استفاده کرد؛ به این ترتیب رمزگشایی از فایلها غیر ممکن میشد. قربانیها برای دریافت رمز عبور مجبور به خرید مجموعهای از کالاها از یک داروخانهی آنلاین شدند.
- ۲۰۰۸: با اختراع بیتکوین باجگیرندگان میتوانستند آدرسهای پرداخت منحصربهفردی برای هر قربانی ایجاد کنند. در نتیجه بیتکوین به اولویت پرداخت آنها تبدیل شد.
- ۲۰۱۱: بیتکوین رشد کرد و تعداد حملات باجافزاری هم بهصورت نمایی افزایش یافت: ۳۰ هزار آلودگی در سهماههی اول و دوم ۲۰۱۱ گزارش شد. این آمار تا انتهای سهماههی سوم دو برابر شد.
- ۲۰۱۲: Reveton مانند ویروس Vundo عمل میکرد و از روشهای ترسناکی برای پرداخت قربانیها استفاده میکرد. کرم Reveton پس از رمزنگاری فایلها، خود را در نقش پلیس جا میزد و به قربانی هشدار میداد که به دلیل دانلود یا استفاده از نرمافزار غیر قانونی مرتکب جرم شده است.
- سپس سیتادل (Citadel) به میدان آمد. ابزاری برای توسعه و توزیع بدافزار و مدیریت باتنتها و در نهایت گسترش باجافزار با برنامههای پرداخت به ازای نصب. مجرمان سایبری میتوانند مبلغی صوری را برای نصب باجافزار خود روی کامپیوترهای آلوده به بدافزار پرداخت کنند.
- ۲۰۱۳-۲۰۱۵: ترکیبی از رمزنگاری بیتی RSA-2048 دارای کلید عمومی و سروریهای C&C روی شبکهی Tor که از شبکهی بات Gameover Zeus برای توزیع استفاده میکند، CryptLocker را به یکی از تهاجمیترین باجافزارها تبدیل کرد.
- تروجان موبایل Svpeng که در اصل برای سرقت اطلاعات کارت پرداخت طراحی شده بود در سال ۲۰۱۴ به شکل باجافزار به تکامل رسید. قربانیها از دسترسی به گوشیهای خود مسدود شده و به خاطر دسترسی به پورنوگرافی کودکان مورد اتهام قرار میگرفتند.
- در می ۲۰۱۵ باجافزار بهعنوان سرویس (RaaS) کار خود را آغاز کرد. اپراتورهای این سرویس، ۲۰ درصد از پرداختهای باج بیتکوینی را در بر میگرفتند.
- ۲۰۱۶: Ransom32 که بهطور کامل در جاوا اسکریپت، HTML و CSS توسعه یافت، از اولین نوع باجافزار «یک بار بنویس همه را آلوده کن» است که میتواند دستگاههای ویندوز، لینوکس و macOS را آلوده کند.
- Locky از طریق حملات فیشینگ با استفاده از پیوستهای آلودهی مایکروسافت ورد توزیع شد. در زمان اوج روزانه نزدیک به ۱۰۰ هزار دستگاه را آلوده میکرد.
- KeRanger اولین باجافزاری است که فایلهای مک و سیستم بازیابی مک را هدف قرار داد و قابلیت system restore که امکان بازگشت به وضعیت غیر رمزنگاری را میداد، غیر فعال کرد.
- ۲۰۱۷: WannyCry و Petya باجافزارها را به مرکز توجه بازگرداندند. WannaCry نوعی cryptoworm است که بهصورت نیمهخودکار تکثیر و بهصورت خودکار از طریق آسیبپذیریهای سیستمهای هدف توزیع میشود.
- WannaCry در اوایل سال ۲۰۱۷ بیش از ۲۵۰ هزار دستگاه را در سراسر جهان آلوده کرد و قابلتوجهترین حملهی باجافزاری تاریخ با ضرر مالی نزدیک به ۴ میلیارد دلار در سراسر جهان بود.
- NotPetya (گونهای از اولین Petya مربوط به سال ۲۰۱۶)، کریپتوورم دیگری است که از آسیبپذیریهای مشابه WannaCry با وجود بهروزرسانیهای امنیتی استفاده میکند. هردو باجافزار بر خطرات سیستمهای بدون پشتیبان و ضرورت نصب بهروزرسانیهای امنیتی تأکید دارند.
- ۲۰۱۸: ransomcloud ثابت کرد حسابهای ایمیل مثل Office 365 هم در معرض باجافزار قرار دارند. خوشبختانه این اثبات توسط یک هکر کلاهسفید انجام شد (هکر بیخطری که صرفا باگهای امنیتی را نشان میدهد).
- گمنامی بیتکوین دیگر قابل ضمانت نیست به همین دلیل مجرمان سایبری به رمزارزهای دیگر کوچ کردهاند. انواع جدید مثل Annabelle و AVCrypt و نسخهی جدید SamSam شامل امکانات پیشرفتهای برای جلوگیری از کشف شدن و اختلال در اقدامات پس از حمله هستند.
- ۲۰۱۹: باجگیرندگان حملات دومرحلهای را آغاز کردند که شامل بدافزاری برای برداشت دادهها همراه با باجافزار است. باجافزاری مثل MegaCortex مخصوص شبکههای سازمانی طراحی شد و از کنترلکنندههای دامنه برای توزیع استفاده کرد.
اخیرا پژوهشگرهای امنیت و حملهکنندهها از ماشینهای مجازی برای مخفی ساختن فعالیت رمزنگاری باجافزاری روی فایلها و پوشههای میزبان استفاده میکنند و به این ترتیب برنامههای آنتیویروس نمیتوانند آنها را کشف کنند.
تکامل روشهای باجافزاری
امروزه حملهکنندگان باجافزاری به لطف پیشرفتهای فناوری تهاجمیتر شدهاند و از روشهای خلاقانهای برای بهبود موفقیت پرداخت باج استفاده میکنند. مجرمان سایبری تمرکز خود را روی زیرساختهای اساسی و سازمانهای بزرگتر قرار دادهاند. برای مثال در سال ۲۰۱۶ تعدادی از بیمارستانها از جمله مرکز درمانی هالیوود، بیمارستان اوتاوا، بیمارستان متدیست کنتاکی و تعدادی از موارد دیگر هدف حملات باجافزاری قرار گرفتند. در تمام این حملات دستگاههای بیمارستان قفل یا فایلهای پزشکی رمزنگاری شدند و زندگی بیماران به خطر افتاد. برخی بیمارستانها خوششانس بودند و از سیاستهای بازیابی و پشتیبانگیری استفاده کرده بودند؛ اما متأسفانه برخی دیگر برای بازیابی سرویسهای درمانی خود مجبور به پرداخت باج شدند.
در مارس ۲۰۱۸ بسیاری از سرویسهای آنلاین شهر آتلانتا پس از حملهای باجافزاری آفلاین شدند. باج ۵۵ هزار دلاری بیتکوین پرداخت نشد؛ اما هزینههای بازیابی به ۲.۶ میلیون دلار رسید. در ماه می ۲۰۲۱، باجافزار DarkSide زیرساختهای ضروری را غیر فعال کرد که مسئول تحویل ۴۵ درصد از بنزین مصرفی یک هفتهی ۱۳ ایالت آمریکا بودند. شرکت Colonial Pipeline قربانی این حمله بود و برای بازیابی سیستمهای خود مبلغ ۴٫۴ میلیون دلار را پرداخت کرد. پرداختهای کلان اینچنینی همچنان ادامه دارند و حملهکنندگان را حتی به سمت روشهای خلاقانهای برای استفاده از باجافزارها سوق میدهند.
حمله باجافزاری به بیمارستانها میتواند به قیمت جان افراد تمام شوند
روش دیگری به نام Encrypt and Exfiltrate هم وجود دارد. بر اساس این روش حملهکنندهها نقاط ضعف شبکه را میشناسند و از آنها برای برداشت دادهها استفاده میکنند. حملهکنندهها علاوه بر رمزنگاری فایل قربانی، دادههای حساس را به سرقت میبرند و در صورت دریافت نکردن باج، آنها را منتشر میکنند؛ بنابراین حتی اگر سازمان بتواند با استفاده از بکاپ مانع از حملهی باجافزاری شود، نمیتواند از نشت دادههایش جلوگیری کند.
واستامو (Vastaamo)، کلینیک روانپزشکی فنلاندی با حدود ۴۰ هزار بیمار، قربانی یکی از جدیدترین روشها به نام Triple Extorition (اخاذی سهگانه) بود. در این نوع حمله فایلهای پزشکی رمزنگاری میشوند و برای دریافت رمز عبور، باج کلانی لازم است؛ اما حملهکنندگان دادههای بیماران را هم به سرقت میبرند. بیماران واستامو در فاصلهی کوتاهی پس از حملهی اولیه ایمیلهای مجزایی دریافت کردند که از آنها مقدار اندکی باج خواسته بودند و در غیر این صورت اطلاعات آنها افشا میشد. واستامو به دلیل نشت دادهها و زیانهای مالی در نهایت اعلام ورشکستگی کرد و فعالیتهایش را متوقف کرد.
آیندهی باجافزارها
بر اساس گزارش Cybersecurity Ventures، حملات باجافزاری از ابتدای سال ۲۰۲۱ به ۵۷ درصد رسیدهاند و تنها در سال ۲۰۲۰، بیست میلیون دلار خسارت به بار آوردند که ۷۵ درصد بیشتر از خسارتهای سال ۲۰۱۹ است. حملات باجافزاری در انتخاب قربانی بسیار دقیق عمل میکنند و سازمانهایی از نوع بهداشت و درمان، تأسیساتی، بیمهای و حقوقی را هدف قرار میدهند که ارائهدهندهی خدمات ضروری هستند و احتمال پرداخت باج از سوی آنها بالا است.
نزدیک به ۴۰ درصد از انواع حملات جدید باجافزاری شامل نفوذ دادهها هستند که از روشهای اخاذی سهگانه و دوگانه (triple and double extortion) استفاده میکنند. علاوه بر این، REVil (یک گروه Raas)، حملات رد سرویس توزیعشده (DDoS) و تماسهای جعل صوتی VoIP را بهعنوان سرویسهای رایگان به وابستگان خود عرضه میکند (حملهکنندگان واقعی که به سیستم نفوذ میکنند) تا بر قربانیها برای پرداخت باج در مدتزمانی مقرر فشار بیاورند.
اما چرا حملات باجافزاری بهیکباره افزایش یافتند؟ دلیل این مسئله سود زیاد این حملات است. حتی اگر درصد کمی از این حملات موفق شوند، باز هم بازگشت سرمایهی بالایی خواهند داشت. برای مثال بزرگترین سود بزرگترین حملات باجافزاری را در نظر بگیرید:
- CWT Global: خسارت ۴٫۵ میلیون دلار
- Colonical Pipeline: خسارت ۴٫۴ میلیون دلار
- Brenntag North American Division: خسارت ۴٫۴ میلیون دلار
- Travelex: خسارت ۲٫۳ میلیون دلار
- دانشگاه کالیفرنیا در سانفرانسیسکو: خسارت ۱٫۱۴ میلیون دلار
این حملات تنها درصد کمی از کمپینهای موفق باجافزاری را تشکیل میدهند. متأسفانه پرداختهای کلان حملهکنندگان را ترغیب میکنند که روشهای جدیدی برای آلوده سازی و گسترش ویروسها پیدا کنند.
معیار دیگری را هم باید در نظر گرفت: سطح روبهگسترش حملات. در سال ۲۰۱۷، پنجاه و پنج دوربین ترافیک در ویکتوریای استرالیا به دلیل خطای انسانی هدف حملات WannaCry قرار گرفتند. تأثیر این حمله حداقل بود اما مدرکی برای اهداف جدید مجرمان سایبری به شمار میرفت. با توجه به فرایند کند بهروزرسانی امنیتی و افزایش تعداد دستگاههای آسیبپذیر اینترنت اشیاء (IoT) در سراسر جهان، فرصت حملات باجافزاری بیش از گذشته افزایش مییابند.
کارشناسان همچنین واهمه دارند که باجافزارها در سرویسهای ابری هم ظاهر شوند و زیرساخت بهعنوان سرویس (IaaS) و پلتفرم بهعنوان سرویس (PaaS) را هدف قرار بدهند. همچنین نسل جوان تحت تأثیر سریالهایی مثل Mr. Robot قرار خواهند گرفت و بیشتر از نسلهای قبل به منابع متعدد از جمله Hack the Box دسترسی دارند. افراد تازهوارد به حوزهی باجافزار به دنبال یادگیری و تست مهارتهای خود هستند.
باجافزار اقتصاد زیرزمینی رو به رشد و پیچیده و با تمام شاخصههای تجارت قانونی همراه است: برای مثال جامعهای از توسعهدهندگان ماهر بدافزار، ارائهکنندگان RaaS و وابستگان آنها، تیمهای پشتیبان مشتری IT و حتی اپراتورهای پاسخگو به گروه حملهکنندگان را در نظر بگیرید.
اگر دادههای شخصی خود را به ارائهکنندگان سرویس ارائه بدهید و برای تمام وظایف و روتینهای خود به فناوری وابسته باشید، حملهکنندگان باجافزاری را تشویق به گروگانگیری و سرقت اطلاعات کردهاید. در نتیجه میتوان افزایش حملات باجافزاری، تهاجمی شدن و خلاق شدن پرداختهای باج را پیشبینی کرد. بهویژه که اولین پرداخت میتواند برای رمزگشایی از دادهها و دومین پرداخت برای عدم انتشار آنها باشد.
نوری در تونل تاریک رمزنگاری
هک Colonial Pipeline بر آسیبپذیری جامعهی مدرن تأکید دارد. این حمله منجر به افزایش اضطراب و نگرانی در میان شهرهای تحت تأثیر شد و ترس و وحشت مردم برای خرید سوخت، کاهش سوخت و افزایش قیمت بنزین را بالا برد.
هزینههای باجافزاری محدود به پرداخت باج نمیشوند. آسیب رساندن و تخریب دادهها، خاموش سیستم، کاهش بهرهوری پس از حمله، هزینههای مرتبط به بررسیهای بعدی، بازیابی سیستم، بهبود امنیت سیستم و آموزش کارکنان از هزینههای مخفی و برنامهریزینشده پس از حمله هستند. سازمانهای پلیس هم نگران حملات سایبری به بیمارستانها و پیامدهای مرگبار آنها هستند. تأثیر منفی باجافزارها بر زندگی انسان و جامعه را نمیتوان دیگر انکار کرد یا نادیده گرفت.
کارگروه باجافزار (RTF) در پایان سال ۲۰۲۰ کار خود را آغاز کرد؛ ائتلافی شامل بیش از ۶۰ عضو از بخشهای مختلف صنعتی، دولتی، قانونی و کشورها که به دنبال راه حلی برای توقف حملات باجافزاری است. RTF در سال ۲۰۲۱ گزارشی با عنوان «مبارزه با باجافزار؛ چارچوب عملی جامع» منتشر کرد که به شرح ۴۸ توصیه با اولویت بالا برای حل مشکلات باجافزاری پرداخته بود.
با اینکه هیچگونه دستگیری گزارش نشد، FBI موفق به بازیابی ۶۳٫۶ باج بیتکوینی (۲٫۳ میلیون دلار) شده است که در حملهی Colonial Pipeline پرداخت شد. FBI و دیگر سازمانهای قانونی سراسر جهان توانستند عنصر باجافزار بهعنوان سرویس NetWalker را مختل کنند که برای برقراری ارتباط با قربانیها به کار میرفت. در آغاز سال هم باتنت Emotet خنثی شد که ابزاری ضروری برای انتقال باجافزار به قربانیها از طریق فیشینگ بود. این راهحلها در مقایسه با تعداد حملات باجافزاری در سالهای گذشته مانند قطرهای در اقیانوس هستند؛ اما سازمانهای جهان و آگاهی عمومی، سازمانهای دولتی و خصوصی بر کار فعالانه برای خنثی کردن تهدیدهای باجافزاری تأکید دارند.