باج افزار (Ransomware) زیرمجموعه‌ای از بدافزارها می باشد که در آن داده‌های روی کامپیوتر قربانی، معمولاً توسط رمزگذاری داده غیر قابل دسترس می‌شوند و پیش‌ از آنکه داده‌های به گروگان گرفته شده رمزگشایی شوند و قابل دسترس برای قربانی باشند، اخاذی اینترنتی مطالبه می‌گردد.

باج افزار چیست؟

باج افزار – Ransomware می‌تواند از طریق پیوست‌های مغرضانه ایمیل ها، اپلیکیشن‌های آلوده، عدم آگاهی کاربر، عدم ایجاد بستر امن شبکه، دستگاه‌های ذخیره سازی خارجی آلوده و وب سایت‌های مخرب منتشر شود. تعداد حملات به طریق روزافزونی از پروتکل Remote Desktop و روش‌های دیگر استفاده کرده‌اند که به هیچ صورتی بر تعامل کاربر تکیه نداشته و خود مختار عمل میکنند.

باج افزار (Ransomware) ممکن است فایل‌های روی دستگاه آلوده و همچنین دیگر دستگاه‌های متصل به شبکه را رمزگذاری کند. در حالی که نمونه‌های اولیه این حملات گاهی اوقات صرفاً دسترسی به مرورگرهای وب یا به دسکتاپ ویندوز را قفل می‌کردند و این کار را به شیوه‌هایی انجام می‌دادند که نسبتاً به سادگی می‌شد آنها را مهندسی معکوس کرده و به فایلها دسترسی داشته باشیم، ولی هکرها از آن زمان تا به حال نسخه‌هایی از باج افزارها را ایجاد کرده‌اند که از رمزگذاری قدرتمند با کلیدهای عمومی (Public Key) استفاده می‌کنند تا جلوی دسترسی به فایلهای کامپیوتر را بگیرند.

انگیزه حملات باج افزاری اکثر مواقع اخاذی اینترنتی می باشد و برخلاف دیگر انواع حملات، قربانی معمولاً به طور کامل در روند نحوه بازیابی دیتای خود قرار خواهد گرفت و به او دستورالعمل‌هایی داده می‌شود که چگونه آسیب پذیری را جبران کند. غالباً پرداخت به صورت اخاذی اینترنتی از قبیل بیت کوین درخواست می‌گردد تا هویت مجرم سایبری مشخص نشود.

انواع باج افزارهای مشهور

شاید اولین نمونه از حمله بسیار گسترده‌ای که از رمزگذاری با کلیدهای عمومی استفاده شد، Cryptolocker باشد که یک اسب تراوا است که از سپتامبر 2013 تا می سال بعد برروی اینترنت فعال بود. این بدافزار پرداخت به صورت بیت کوین را درخواست می‌کرد و کارشناسان عموماً معتقد بودند که رمزنگاری RSA به کار رفته شده هنگامی که به طرز صحیحی پیاده می‌شد، اساساً غیر قابل‌ نفوذ می باشد.

با این حال، در می 2014، یک شرکت امنیتی به یک سرور فرمان و کنترل به کار رفته توسط حمله، دسترسی پیدا کرده و کلیدهای رمز گشای به کار رفته در حملات را بازیابی کرد. و از یک ابزار آنلاین که بازیابی رایگان کلیدها را میسر می‌ساخت، برای بی‌اثر کردن این حمله به صورت مؤثر استفاده شد.

در می 2017، حمله‌ای موسوم به WannaCry توانست بیش از 250000 سیستم را در سراسر جهان آلوده و رمز گذاری کند. این بدافزار از رمزگذاری متقارن استفاده می‌کند تا به صورت منطقی نتوان انتظار داشت که کاربر کلید (خصوصی و توزیع نشده) لازم برای رمزگشایی داده‌های به گروگان گرفته شده را بازیابی کند.

باج افزار WannaCry چگونه عمل می‌کند؟

پرداخت‌ها به صورت بیت کوین درخواست می‌شدند به این معنا که اخاذی اینترنتی را نمی‌شد شناسایی کرد، ولی همچنین به آن معنا بود که معاملات قابل رویت بودند و بنابراین، کل پرداخت‌های باج را می‌شد تطبیق کرد. در طول شلوغی هفته‌ای که در آن WannaCry مهلکترین وضعیت را داشت، تنها حدود 100000 دلار به‌صورت بیت کوین انتقال‌ یافت و هیچ‌گونه گزارشی در خصوص این که داده‌ها پس از پرداخت باج رمزگشایی شده باشند، وجود ندارد.

تأثیر WannaCry در برخی از موارد اعلام شد. مثلاً، خدمات سلامت ملی در بریتانیا به شدت آلوده شد و مجبور شدند که در طول حملات خدمات را به صورت مؤثری به صورت آفلاین ارائه دهند. گزارش‌های منتشر شده نشان می‌دهند که خسارت‌های وارده به هزاران شرکت متأثر شده از این حمله ممکن است از 1000000000 دلار فراتر رفته باشند.

بر طبق گزارش تهدید امنیت اینترنتی 2017 شرکت سیمانتک، در 2016، اخاذی اینترنتی درخواستی نسبت به دو سال قبلی، تقریباً سه برابر شد که میانگین درخواست بالغ بر 1077 دلار می‌شد. روی‌هم رفته، دشوار است بگوییم که این درخواست‌ها چند بار اجابت می‌شوند.

پژوهش صورت گرفته توسط آی‌بی‌ام دریافت که 70% از مجریانی که از آنها نظرسنجی صورت پذیرفت، گفتند که آنها مبلغ درخواستی باج افزار (Ransomware) را پرداختند، ولی پژوهش صورت گرفته توسط Osterman Research دریافت که صرفاً سه در صد از شرکت‌های مستقر در ایالات متحده مبلغ را پرداختند (گرچه درصدها در دیگر کشورها به طرز معناداری بالاتر بودند). به نظر می‌رسد که در اکثر موارد پرداخت جواب می‌دهد، گرچه به‌هیچ‌عنوان بدون خطر نیست. نشریه 2016 امنیت کسپرسکی مدعی شد که 20% از بنگاه‌هایی که راه پرداخت باج درخواست‌ شده از خود را برگزیدند، فایل‌های خود را باز پس نگرفتند.

نیاز به مشاوره بیشتر دارید؟

برای صحبت با متخصصان ایرسا شبکه تماس بگیرید.

در سال 2015، باج افزار (Ransomware) موبایلی هم وجود داشت. اپلیکیشن آندرویدی بدافزاری موسوم به PornDroid گوشی کاربران را قفل می‌کرد و شماره PIN دسترسی آنرا تغییر می‌داد و پرداختی 500 دلاری را مطالبه می‌کرد.

شاید باج افزار اینترنت اشیا چندان از این قافله عقب نباشد. دو محقق به نام‌های Andrew Tierney و Ken Munro در کنفرانس 2016 Def Con از بدافزاری پرده‌ برداری کردند که یک ترموستات هوشمند در دسترس را مورد حمله قرار می‌داد، آن را قفل می‌کرد و باجی به مبلغ یک بیت کوین را مطالبه می‌کرد.

باج افزار چگونه عمل می‌کند؟

جعبه‌ابزارهای باج افزاری موجود ‌بر روی وب پنهان، به مجرمان سایبری امکان داده‌اند که ابزار نرم‌افزاری ایجاد باج افزار (Ransomware) با قابلیت‌های ویژه را خریداری و استفاده کنند و سپس این بدافزار را جهت توزیع مخصوص خود ایجاد کنند و باجها به حساب‌های بیت کوین آنها پرداخت گردد. همانند بیشتر باقی دنیای فناوری اطلاعات، هم‌اکنون شرایط برای افراد دارای سابقه فنی کم یا حتی بدون آن میسر شده است که باج افزار ارزانی را به عنوان خدمات (RaaS) سفارش دهند و با کوشش بسیار اندکی، حملات را روانه سازند. در یک سناریوی RaaS، تأمین‌کننده مبالغ پرداختی باج را وصول می‌کند و پیش از تحویل به حکر مقداری را به عنوان حق مشارکت بر میداشت.

تشخیص باج افزار و ابزارهای پیشگیری که هم‌اکنون به آنها نیازمندید!

مهاجمان ممکن است یکی از چندین رویکرد متفاوت را به کار بگیرند تا وجه رایج دیجیتالی را از قربانیان خود اخاذی کنند. مثلاً قربانی ممکن است یک پیغام [پاپ‌آپ] یا یادداشت ایمیلی را دریافت کنند که هشدار می‌دهد که اگر مبلغ درخواستی تا تاریخ معینی پرداخت نشود، کلید خصوصی لازم برای رمزگشایی دستگاه یا رمزگشایی فایل‌ها تحویل نخواهد شد. قربانی ممکن است فریب بخورد و باور کند که در معرض درخواستی رسمی قرار گرفته است، و به وی دستورالعمل‌هایی داده می‌شود که چگونه جریمه الکترونیکی را پرداخت کند.

مهاجم فایلهای روی دستگاه‌های آلوده را رمزگذاری می‌کند و با فروش محصولی که نوید می‌دهد که به قربانی کمک می‌کند تا قفل فایل‌ها را رمزگشایی کند، و از حملات بدافزاری آتی جلوگیری کند، اخاذی میکند. در یک بد بیاری جالب، اخاذی ممکن است با تهدیدی صورت پذیرد که در آن داده‌ها چندان هم خارج از دسترس نیستند (گرچه این مسئله هم ممکن است مطرح باشد)، بلکه این که در صورت پرداخت نکردن باج تا یک تاریخ مقرر، داده‌ها به‌صورت رمزگذاری نشده شان در معرض دسترسی عمومی قرار خواهند گرفت.

پیشگیری از باج افزار

برای مقابله با باج افزار و دیگر انواع اخاذی سایبری، کارشناسان به کاربران اصرار می‌کنند که به صورت منظم از کامپیوترهای شخصی و در سطح شبکه از دستگاه‌های سرور پشتیبان‌گیری کنند و آنتی‌ویروس را به صورت منظم بروزرسانی کنند. کاربران خانگی و تحت شبکه بایستی از کلیک کردن بر روی پیوندها در ایمیل‌های ارسالی از سوی غریبه‌ها یا باز کردن پیوستهای ایمیلی مشکوک برحذر باشند. قربانیان بایستی تمام آنچه را که می‌توانند انجام دهند تا از پرداخت باج جلوگیری شود و در این بین نقش آموزش کاربران شبکه تاثیر قابل توجهی در بی نتیجه ماندن حملات خواهد بود.

نیاز به مشاوره بیشتر دارید؟

برای صحبت با متخصصان ایرسا شبکه تماس بگیرید.