کمیته رکن چهارم – باجافزارها به هیچ وجه چیز جدیدی نیستند. سابقه این نوع از بدافزارها به سال ۱۹۸۹ بازمیگردد و زمانی که تروجان AIDS شروع به پخش شدن در سراسر جهان کرد. امروز، سه دهه بعد از آن ماجرا، باجافزار به عنوان یکی از خطرناکترین تهدیدهایی که هر کسبوکاری در هر ابعاد با آن مواجه است شناخته میشود.
از زمان آغاز پاندمی کووید-۱۹ و به خاطر دورکاری گسترده، خطر باجافزارها به شکل قابل توجهی افزایش یافته است. با درنظرگیری اینکه تجهیزات خانگی معمولا امنیت پایینتری دارند و مجرمان نیز با سوء استفاده از موضوعات پیرامون کووید-۱۹ در صدد ایجاد حس نگرانی و اضطراب در مردم بر میآیند، اکنون لازم است که همه هوشیارتر از قبل باشند. در ماه نوامبر ۲۰۲۰، مرکز امنیت سایبری ملی بریتانیا اعلام کرد بیش از یک چهارم حوادثی که با آنها مقابله کرده است، به نوعی به کووید مرتبط بودهاند. در سال گذشته میلادی ضمنا میزان حوادث رخ داده با باجافزارها تا سه برابر افزایش یافت و بنابراین با ترندی در حال رشد که هدفمندتر و خطرناکتر از همیشه ظاهر میشود روبهرو هستیم.
بنابراین اکنون با محیطی کاملا جدید مواجه هستیم و بنابراین زمانش رسیده که نگاهی به تدابیر لازم برای پیشگیری از چنین تهدیداتی و آشنایی با آنها بیندازیم و در عین حال مطمئن شویم کارمندان کسبوکارها دقیقا میدانند هنگام به خطر افتادن باید چه کنند. در این مقاله به مرور حقایقی میپردازیم که باید راجع به باجافزارها بدانید.
روند تکامل یک تهدید سایبری
تروجان AIDS امروز مثل یک خاطره دوردست به نظر میرسد. این ویروس مبتنی بر دیسکهای فلاپی، محتویات هارد درایو را قفل میکرد و سپس از شما میخواست یک چک ۱۸۹ دلاری به آدرسی در پاناما بفرستید تا هارد درایو رمزگشایی شود. ایده کلی بسیار نبوغآمیز بود، اما ویروس از یک تکنیک رمزنگاری بسیار ساده استفاده میکرد و بنابراین خیلی زود افراد مختلف توانست ابزارهای لازم برای رمزگشایی قفلها را در دسترس عموم قرار دهند.
از آن زمان، جهان بسیار تغییر کرده است. در سال ۲۰۰۶ میلادی شاهد ظهور تروجان GPcode بودیم که از کلید بسیار قدرتمند و ۶۶۰ بیتی RSA استفاده میکرد – بعد هم یک ورژن بهروزرسانی شده از همین ویروس از راه رسید که رمزنگاری ۱۰۲۴ بیتی داشت. تا سال ۲۰۱۳، ویروس دیگری به نام CryptoLocker 2.0 نهتنها از رمزنگاری ۲۰۴۸ بیتی استفاده میکرد، بلکه خواستار پرداخت پول در قالب بیتکوین میشد.
سپس در روز ۱۲ مه سال ۲۰۱۷، شرایط از این هم پیچیدهتر شده. با استفاده از یک آسیبپذیری که توسط آژانس امنیت ملی آمریکا کشف شده و مورد استفاده قرار گرفته بود، یک باجافزار جدید به نام WannaCry خلق شد که ۲۵۰ هزار کامپیوتر را در ۱۵۰ کشور جهان طی تنها چند روز آلوده کرد. تخمین زده شد که دولتها و کسبوکارهای سراسر جهان میلیاردها دلار هزینه کردند تا از شر این باجافزار راحت شوند. از سوی دیگر، تاریخچه مبادلات بیتکوین نشان میداد هکرها تنها ۱۱۰ هزار یورو باج دریافت کردهاند – رقمی بسیار ناچیز در ازای راه انداختن چنین آشوبی در سراسر جهان.
امروز چنین حملاتی سودآورتر شدهاند. برای مثال اوایل سال جاری میلادی شنیدیم که شرکت Travelex بالغ بر ۱.۸ میلیون پوند به گروه REvil پرداخت و دانشگاه کالیفرنیا هم تایید کرد که طی ماه ژوئن ۲۰۲۰، حدودا ۹۰۰ هزار پوند به گردانندگان باجافزار NetWalker پرداخته است. بعد هم حمله Garmin را داشت که ۱۰ میلیون دلار هزینه به بار آورد.
اگر برایتان سوال شده که چرا کسی باید چنین مبالغی را بپردازد، لازم است بدانید که موضوع فقط درباره احیای دیتا نیست – درباره اطمینان از اینکه دیتا خصوصی باقی میماند نیز هست.
اوضاع از این هم بدتر میشود
تا چند سال پیش، گردانندگان باجافزارها بر استراتژیهای کور متکی بودند. ایده کلی این بود که باید به بیشترین کامپیوترهای ممکن حمله کرد و امیدوار بود که برخی قربانیان حاضر به پرداخت باج شوند. اما همانطور که درآمد نهچندان زیاد گردانندگان WannaCry نشان میدهد، این استراتژی هیچوقت بهینهترین رویکرد ممکن نبوده است. ارقام درخواستی نسبتا کم باقی میماندند تا قربانیان حاضر به پرداختشان شوند، اما باز هم اکثر افراد تصمیم میگرفتند به جای پرداخت پول از خیر فایلهای خود بگذرند. کسبوکارها اهدافی به مراتب بهتر بودند، چون سختتر میتوانستند از دادههای خود دل بکنند و احتمالا به پول لازم برای پرداخت باجها نیز دسترسی داشتند. تنها چالش این بود که تمام کسبوکارهای درست و حسابی، از فایلهای خود بکاپ نیز میگیرند.
بنابراین نیاز به رویکردی تازه حس میشد. پایین کشیدن شبکهها به صورت کامل یکی از گزینه بود، زیرا در این صورت دسترسی به سرورهای بکاپ هم قطع میشد و این رویکرد برای مدتی سودآور بود. اما کسبوکارهای بزرگ برای ابعادی در چنین ابعاد هم برنامهریزی میکردند. در نهایت طی سال ۲۰۱۹، گروهی به نام Maze دست به حرکتی نبوغآمیز زد که خیلی زود از سوی دیگران نیز تقلید شد. بدافزار Maze داده را مثل قبل رمزنگاری میکرد، اما به صورت همزمان یک کپی از فایلهای اصلی را نیز برای گردانندگان باجافزار میفرستاد.
این کار باعث شد مجرمان به اهرمهایی کاملا تازه دسترسی داشته باشند. حتی اگر کسبوکار شما میتوانست بدون فایلهای رمزنگاری شده به حیات خود ادامه دهد، عدم پرداخت به این معنا بود که محرمانهترین اطلاعاتتان عمومی میشد یا به دست اشخاص ناشناس میرسید. و هکرها این خط مشی را ادامه دادهاند: اکنون حداقل یک وبسایت مزایده داده در دارک وب داریم که در آن فایلهایی که صاحبانشان حاضر به پرداخت باج نشدهاند، به بالاترین قیمت فروش میرود.
چطور ضربه میخورید؟
آگاهی از چگونگی کارکرد این حملات، نخستین گام برای در پیش گرفتن تدابیر تدافعی لازم در برابر آنها است. بیایید کار را با یک تهدید باجافزاری بسیار شناخته شده به نام DoppelPaymer آغاز کنیم. گردانندگان این باجافزار دانش فراوان دارند و از تاکتیکهایی استفاده میکنند که معمولا به هکرهای دولتی تعلق دارند و نه مجرمان فرصتطلب. پیش از تلاش برای وارد کردن بدافزار به درون شبکه شما، آنها شروع به مکاشفه میکنند، به دنبال آسیبپذیریها میگردند و منابع عمومی را برای یافتن اطلاعاتی که میتوان از آنها در حملات فیشینگ یا مهندسی اجتماعی استفاده کرد زیر و رو میکنند.
اما نکته غافلگیرکننده اینست که آنها تلاش چندانی برای بیرون ماندن از رادارها نمیکنند. هنگامی که هکرها برای آغاز حمله آماده شدهاند، معمولا به استفاده از چیزی میپردازند که به آن «بدافزار فرآورده» گفته میشود – کدهای اکسپلویتی که به آسانی میتوان در دارک وب خریدشان. برای هکرها مهم نیست که رخنه امنیتیشان به از راه رسیدن انبوهی از بهروزرسانیها و پچها منجر میشود یا خیر، آنها فقط لازم دارند برهه سوء استفاده از شبکه آنقدر طول بکشد تا نرمافزار کارش را بکند و به رمزنگاری داده بپردازد. و اگر با حمله مقابله شود، میتوانند به سراغ متدی متفاوت بروند و آنقدر آزمون و خطا کنند تا بالاخره به هدف خود برسند.
آیا این رویکرد واقعا جواب میدهد؟ قطعا، زیرا همواره انبوهی از رخنههای امنیتی وجود دارد که منتظرند تا مورد سوء استفاده قرار بگیرند. در یک گزارش اخیر مشخص شد که ۸۰ درصد از سازمانها، حداقل یک آسیبپذیری برطرف نشده دارند، ۷۰ درصدشان بیشتر از یک آسیبپذیری و ۲۰ درصدشان بیشتر از ۱۰ آسیبپذیری. و ضمنا اکثر آسیبپذیریها درون پچهایی یافت میشود که سالها از عرضهشان گذشته است.
اگر این موضوع برایتان غافلگیرکننده است، باید گفت که صرفا راجع به آسیبپذیریهای ویندوزی صحبت نمیکنیم. باجگیران به صورت موازی به دنبال آسیبپذیریهای موجود در سرورهای اپلیکیشن و ابزارهای مشارکتی نیز میگردند. درس نهایی اینست: از به روز بودن تمام نرمافزارها و سرویسهایی که استفاده میکنید مطمئن شوید. صرفا نباید روی مشکلاتی که حیاتی تلقی شده اند متمرکز بود، زیرا مجرمین از طریق آسیبپذیریهای به ظاهر نهچندان حیاتی هم به سراغ اهداف خود میروند. این آسیبپذیریها به احتمال کمتری فورا پچ میشوند و میتوانند عنصری کلیدی در پروسههای حمله چند مرحلهای باشند.
در نهایت حتی اگر سیستمها عاری از هرگونه نقص و آسیبپذیری هستند، هیچوقت نمیتوان از امنیت کامل آنها در برابر خطای انسانی مطمئن بود. NetWalker باجافزاری است که به درآمدزایی فراوان از طریق ایمیلهای فیشینگ برای دسترسی یافتن به شبکههای داخلی منجر شده است. درست مانند رویکرد DoppelPaymer، مهاجمین در صدد شناسایی افرادی برمیآیند که میتوانند تمام سیستم را به خطر بیندازند. پیامهای بدخواهانه هکرها به صورت خاص برای شخص دریافتکننده نوشته شده و به این ترتیب تشخیصشان از پیامهای معتبر دشوار میشود. و طبیعتا تنها یک اشتباه برای باز کردن پنجره سوء استفاده کافی است.
بهای آماده نبودن
اگر باجافزارها گریبانگیرتان شدند، هزینه درخواستی احتمالا آنقدرها زیاد به نظر نرسد: برای مثال WannaCry خواستار تنها ۳۰۰ دلار از قربانیان میشد. اما این تنها بخشی از بهایی است که خواهید پرداخت.
یک مشکل بزرگ دیگر، آسیبی است که به اعتبار کسبوکار و برند وارد میشود. موضوع فقط راجع به این نیست که ناظران بیرونی کسبوکار شما را بیخیال نسبت به ابعاد امنیتی کارتان میپندارند: آنها نیز ممکن است به خاطر ارتباط با شما آسیب ببینند. اوایل امسال DoppelPaymer به Visser Precision حمله کرد که تولیدکننده قطعات مختلف در صنایع هوافضا و اتومبیلسازی است: یکی از اهرمهای در دسترس هکرها، اطلاعات به سرقت رفتهای بودند که عمومی شدند و برخی، مستندات متعلق به همکاری Visser با دو شرکت لاکهید مارتین، اسپیس اکس و تسلا بودند.
مشخصا با چنین اتفاقی فشار بر قربانی بیشتر میشود و بعد هم نوبت به فشار مراجع قانونی میرسد. بنابر قانون GDPR اتحادیه اروپا، کمپانیهایی که باعث نشر اطلاعات محافظت شده شوند، باید ۴ درصد از درآمد سالانه خود را به عنوان غرامت بپردازند و این خود بهای بالقوه عدم همکاری با تقاضاهای مجرمان را افزایش میدهد. اگر مجرمان سایبری باهوش باشند، میتوانند خواستار رقمی شوند که از غرامت GDPR کمتر است و به کسبوکار هدف خود یادآوری کنند که عمومی شدن اطلاعات میتواند بهایی سنگینتر برای آنها به همراه داشته باشد.
البته که در حوادث امنیتی با چنین ابعادی، به احتمال زیاد حقایق یک روز مشخص میشوند. کسبوکارها نهتنها مورد تجسس از سوی رگولاتوریها قرار میگیرند و باید غرامت بپردازند، بلکه از آسیبهای وارد شده به اعتبار خود به خاطر رخنه اطلاعاتی نیز رنج خواهند برد.
پرداخت کردن یا نکردن؟
گردانندگان باجافزارها به شما اطمینان خاطر میدهند که در صورت پرداخت مبلغ دریافتی، کلید رمزگشایی را دریافت خواهید کرد و تمام کپیهای به دست آمده از دادههایتان نیز حذف میشوند. و کلید رمزنگاری در اکثر مواقع نیز به خوبی کار میکند. گاهی حتی پشتیبانی فنی هم وجود دارد و به شما در بازگردانی فایلهایتان کمک میکند.
اما فراموش نکنید که وقتی با شرایط تعیین شده از سوی هکرها کنار میآیید، در هر صورت دارید به یک سازمان مجرمانه اعتماد میکنید. هیچ راهی برای اثبات این وجود ندارد که دادههای به سرقت رفته نگه داشته نمیشوند یا محرمانه باقی میمانند و بعدا به بالاترین خریدار فروخته نمیشوند.
اما میتوانید از این مطمئن باشید: اگر باج را بپردازید، اساسا دارید از صنعت فعالیتهای مجرمان حمایت و به توسعه ابزارهای جدید برای باجگیری کمک میکنید. البته که وقتی خودتان را در چنین شرایطی مییابید و آینده کسبوکارتان را در خطر میبینید، مسائل اخلاقی اهمیت چندانی برایتان نخواهند داشت. به همین خاطر است که باید از پیش برنامهریزی و اطمینان حاصل کرد خودتان را در چنین شرایطی نمییابید.
منبع : دیجیاتو