در صورت آلودگی با باجافزارها چگونه مذاکرات باجافزاری را انجام دهیم؟
اگرچه پدیده باجافزار رویداد جدیدی نیست و سالها است که به عنوان یک سلاح سایبری ترجیحی و اپیدمی مخرب از آن استفاده میشود اما در سالهای اخیر تبدیل به پرکاربردترین ابزار برای مهاجمان شده است. تاکنون باجافزارها افراد و سازمانهای زیادی را مورد حمله قرار داده، اطلاعاتشان را به سرقت برده و از آنها اخاذی کرده اند.
با این وجود، کاربران و حتی کارشناسان امنیتی سازمانها آگاهی زیادی نسبت به این نوع از حملات سایبری نداشته و برای دفاع در مقابل آنها از آمادگی لازم برخوردار نیستند.
در این مطلب از فراست به شما خواهیم گفت که اگر قربانی حملات باجافزاری شده و با درخواست باج از سوی هکرها روبرو شدید، در مذاکره با مهاجمان باید به چه نکاتی توجه داشته و همواره آنها را در نظر بگیرید.
یکی از ویرانگرترین تهدیداتی که سازمانها در چند سال اخیر با آن مواجه بوده و پیش بینی ها نیز حاکی از ادامه همین روند در سال های آتی است، باجافزارها هستند. با توجه به سود و درآمدزدایی زیادی که حملات باج افزاری برای هکرها دارند، وسعت و تعداد این حملات همواره در حال افزایش بوده و متأسفانه هیچ نشانهای از فروکش کردن آنها مشاهده نمیشود. از طرف دیگر در طول این سالها مهاجمان متوجه شدهاند که بسیاری از سازمانهای قربانی، به راحتی مبالغ درخواستی آنها را پرداخت نموده و به همین دلیل پس میتوانند از آنها اخاذی سایبری کنند. بنابراین مبالغ درخواستی مجرمان از هزاران دلار در سال های گذشته، به میلیونها و حتی دهها میلیون دلار افزایش یافته است.
در هر سازمان اشخاص زیادی از جمله مدیران فناوری اطلاعات و امنیت، مدیرعامل، مدیران ارشد و میانی، مشاوران بیرونی و شرکتهای بیمه طرف قرارداد سازمانها در تصمیمگیری درباره پرداخت یا عدم پرداخت این مبالغ به نفوذگران نقش ویژه ای دارند. افزایش نیاز به پرداخت چنین مبالغی منجر به ایجاد بازار و رونق کسبوکاری جدیدی برای شرکتهای مشاورهای شده که در زمینه مذاکره برای پرداخت این باجها و اجرای تراکنش با رمزارزها تخصص دارند.
چه اتفاقاتی پس از اجرای حملات باجافزاری رخ میدهد؟
سازمان ها به منظور جلوگیری از ایجاد خسارتهای مالی سنگین و همچنین نشت اطلاعات حساس شان باید برای چنین مواقعی از قبل یک طرح بازیابی از فاجعه داشته باشند تا در صورتی که مورد هدف حملات باجافزاری قرار گرفتند، سریعاً آن را اجرا کنند. با تأسف باید گفت که هنوز بسیاری از سازمانها فاقد چنین طرح ها و برنامه ریزیهایی هستند. حتی سازمانهای بزرگ هم که معمولاً تیمهای واکنش به حادثه و طرحهای خاصی برای مقابله با حملات سایبری دارند عموماً برای مراحل پس از روبرو شدن با چنین حملاتی، از جمله مقابله با مخاطره نشت دادهها، برقراری ارتباط با مشتریان و نهادهای بالاسری و همچنین تصمیم گیری برای مذاکره با مهاجمان، برنامه خاصی نداشته و با وجود تأکیدهای بی شمار اقدام قابل توجهی انجام نمیدهند.
به گفته مدیر شرکت هوش تهدید و مذاکرات باجافزاری :GroupSense «حتی در شرکتهای بزرگ سهامی عام هم که طرح واکنش به حادثه دارند، به جزئیات مقابله با باجافزارها توجه نمیشود. معمولاً درباره مذاکره برای رمزگشایی اطلاعات، تصمیم گیری های کسبوکاری و اینکه چه اشخاصی باید در این فرایند مشارکت داده شوند، مستندات کافی وجود ندارد. حتی هیچ طرحی برای انتقال پیام و روابط عمومی در این شرایط مشاهده نمیشود. بیشتر سازمانهایی که ما با آنها کار میکنیم چنین طرح ریزیهایی ندارند و این شرایط بسیار ناامیدکننده است».
به گفته مدیر منطقه اروپا، خاورمیانه و آفریقای شرکت Flashpoint (یکی دیگر از شرکتهای فروشنده راهکارهای هوش تهدید که خدمات پاسخ به باجافزار هم ارایه میدهد)، حتی سازمانهای دارای طرح و برنامهریزی واکنش به حادثه نیز معمولاً در چنین مواقعی دچار ترس و وحشت میشوند. او میگوید: «ما فقط با رمزنگاری فایلها و کل شبکه توسط باجافزارها روبرو نیستیم؛ بلکه آنچه که اخیراً مشاهده شده تلاش مهاجمان برای دریافت مبالغ زیاد، آن هم با تهدید به انتشار اطلاعات سازمانها است».
به بیان دیگر، با توجه به استفاده از این روش اخاذی توسط مهاجمان، حملات باجافزاری که در واقع به عنوان حملات ممانعت از سرویس هم در نظر گرفته میشوند، ممکن است در نهایت منجر به افشای اطلاعات سازمانها شده و با توجه به حوزه فعالیت سازمان و نوع دادههای افشا شده، آنها را محکوم به پرداخت جریمههای قانونی کند. هر چند در گذشته شرکتهای خصوصی ملزم به ارایه اطلاعات درباره حملات باجافزاری نبودند ولی ممکن است پیامد نفوذهای اطلاعاتی و عواقب حملات، شرایط را در آینده تغییر دهد.
دو تا از اقدامات مهم و ضروری که افراد و سازمانها در هنگام مواجهه با حملات باجافزاری باید در اسرع وقت انجام دهند، به شرح زیر هستند:
- شرکتها باید روش مورد استفاده برای نفوذ به سیستمها و شبکهها را تشخیص داده، حفرههای امنیتی را برطرف کرده و در کوتاهترین زمان ممکن مهاجمان را از شبکههای سازمانی بیرون کنند.
- مسئولان امنیتی و مدیران بخش فناوری اطلاعات باید مشکل را شناسایی کرده و آن را به خوبی درک و تحلیل کنند. به این منظور آنها باید ضمن شناسایی سریع مهاجمان، نوع باجافزاری که شبکه سازمان شان با آن هدف قرار گرفته است را تشخیص دهند. همچنین آنها باید سطح اعتبار و قدرت مهاجمان به ویژه اگر ادعای سرقت اطلاعات نیز مطرح شده باشد را مشخص نمایند.
سازمان ها برای اجرای گام اول بهتر است از یک تیم متخصص واکنش به حادثه درون یا برون سازمانی کمک بگیرند. برای انجام گام دوم آنها نیازمند همکاری با شرکتی هستند که در زمینه هوش تهدید تخصص لازم را دارد.
معمولاً سازمانهای بزرگ با چنین شرکتهایی قرارداد همکاری دارند. سازمانهایی که این کار را انجام ندادهاند، هنگام روبرو شدن با حملات باجافزاری دچار وحشت شده و زمان طلایی را از دست میدهند. بهترین روش در این شرایط، استفاده از خدمات و تخصص یک شرکت مشاوره بیرونی است که در زمینه مدیریت پاسخ به حملات سایبری فعالیت میکند. به گفته وکلای شرکت حقوقی بین المللی Orrick که با مدیران ارشد امنیت سازمانهای مختلف گفتگو کردهاند، در حدود 75 درصد از حملات باجافزاری، سازمانها با مشاوران بیرونی تماس گرفته و آنها آغازگر فرایند واکنش به حادثه هستند. این مراحل عبارتند از:
- اطلاع دادن به نهادهای قانونی و بالاسری
- مشارکت دادن اعضای بخش جرمیابی رایانه ای
- برگزاری جلسه داخلی با حضور مدیران ارشد سازمان
- اجرای تحقیقات بر حسب اولویت
- ارزیابی اطلاعرسانیهای ضروری بیرونی
- کمک به سازمان قربانی برای برقراری ارتباط با شرکت بیمه طرف قرارداد، جهت اطلاعرسانی درباره حمله
- بررسی و تأیید هزینههای اجرای مراحل مشاوره
- جرم شناسی
- برقراری ارتباط
- و هر کار مورد نیاز دیگر.
چه اشخاصی باید درباره پرداخت باج تصمیم گیری کنند؟
گفتگو و رایزنی با شرکت بیمه باید در اسرع وقت انجام شود چون با توجه به سیاستهای قابل اعمال ممکن است این شرکتها هم درباره انتخاب شرکت ارایهدهنده خدمات واکنش به حادثه و سایر افراد و نهادهایی که در این فرایند دخالت داده میشوند، حق تصمیم گیری داشته باشند. معمولاً شرکتهای بیمه یک فهرست از شرکت های تأیید شده (شرکتهای معتبر که تأمینکننده کالا و خدمات هستند) را در اختیار شرکتهای طرف قرارداد خودشان قرار میدهند.
با این وجود در رابطه با تصمیم گیری جهت پرداخت یا عدم پرداخت باج بر اساس تجربه وکلای شرکت Orrick، عموماً سازمانها خودشان تصمیم گرفته و در نهایت آن را به اطلاع شرکت بیمه میرسانند تا تأییدیه نهایی را بگیرند. در بعضی از موارد احتمال دارد شرکت قربانی تصمیم به پرداخت باج بگیرد صرف نظر از اینکه شرکت بیمه این پرداخت را پوشش میدهد یا خیر؛ چرا که تأثیر و پیامدهای حمله برای سازمان به اندازهای زیاد است که نمیتوان از پرداخت باج خودداری کرد. در این مواقع سازمانها امیدوارند که شرکت بیمه در آینده این مبلغ یا درصدی از آن را به آنها پرداخت کند.
معمولاً اشخاصی از جمله مشاور کل، مدیر ارشد اطلاعات، مدیر امنیت و مدیر ارشد عملیات در چنین تصمیمگیریهایی نقش اصلی را دارند. مدیر کل، تصمیم گیری را بر اساس مجاز یا عدم مجاز بودن و همچنین سطح مخاطرات آن ارزیابی میکند. مدیران ارشد اطلاعات و امنیت، مسئولیت فرایند بازگردانی نسخ پشتیبان و اجرای طرحهای تداوم کسبوکار یا بازیابی از فاجعه را بر عهده دارند. مدیر ارشد عملیات نیز درباره تأثیر دادههای مورد هجوم واقع شده بر عملیات کلی سازمان تصمیم میگیرد.
برای مثال ممکن است مدیر ارشد اطلاعات یا امنیت مشخص کند که نسخههای پشتیبان وجود دارند اما تعداد سیستمهای تأثیرپذیرفته از حمله آنقدر زیاد است که بازیابی آنها کار بسیار زمان بری بوده و مدیر عملیات به این نتیجه برسد که سازمان نمیتواند زمان از کار افتادگی طولانی را تحمل کند. به هر حال این یک تصمیم کسبوکاری است که به گفته وکلای شرکت Orrick، مدیرعامل سازمان با در نظر گرفتن همه شرایط این تصمیم نهایی را میگیرد.
پیش از تأیید پرداخت باج، معمولاً شرکت بیمه پرسشهای مختلفی را مطرح میکند؛ از جمله اینکه آیا نسخه پشتیبان وجود داشته است یا خیر؟ آیا این نسخهها در طول حمله دچار آسیب شدهاند؟ آیا نسخه پشتیبان برون سازمانی وجود دارد یا خیر؟ چند سیستم تحت تأثیر حمله قرار گرفتهاند و اینکه بازیابی آنها چقدر زمان میبرد؟
همچنین ممکن است شرکت بیمه درباره مهاجم تحقیق کند تا مشخص شود آیا در فهرست تحریمهای دولتی آن کشور قرار دارد یا خیر. معمولاً در صورت قرار داشتن مهاجمان در لیست تحریم، از پرداخت باج خودداری میشود چون ممکن است بر مبنای سیاستهای شرکت بیمه امکان پرداخت باج به اشخاص یا شرکتهای تحریم شده وجود نداشته باشد.
در ماه اکتبر 2020، دفتر کنترل داراییهای خارجی وزارت خزانه داری آمریکا (OFAC[1]) بخشنامهای صادر و در آن به سازمانها یادآوری کرده که در صورت نقض تحریمها هنگام پرداخت باج، با جریمههای مالی مواجه خواهند شد. لازم به ذکر است اگر شرکت بیمه از پوشش هزینه پرداخت باج خودداری کند، باز هم خود آن سازمان میتواند برای حفظ و بقای کسبوکارش تصمیم متفاوتی بگیرد. هر چند در این صورت ممکن است سازمان با مانعی دیگر روبرو شود که جلب رضایت ارایهدهنده خدمات درگاه پرداخت برای اجرای تراکنش است.
پرداخت باج معمولاً در قالب رمز ارزها صورت میگیرد و کمتر سازمانی یک کیف پول دیجیتال حاوی مبلغی به ارزش میلیونها دلار برای چنین مواقعی دارد. در نتیجه عموماً سازمان ها برای اجرای چنین تراکنشهایی متکی بر شرکتهای واسط هستند. بر مبنای بخشنامه OFAC، در صورت قرار داشتن مهاجمان در لیست تحریمها شرکتهای واسط نیز باید از اجرای تراکنش پرداخت باج خودداری کنند. اغلب مواقع شرکتهایی که در زمینه مذاکرات باجافزاری تخصص دارند، راهکارهایی را برای اجرای این تراکنشها در اختیار مشتریان شان قرار میدهند.
فرایند مذاکره برای پرداخت باج
به گفته Minder از شرکت GroupSense، قبل از برقراری ارتباط با مهاجمان به روش مشخص شده توسط آنها که معمولاً شامل سرویسهای ایمیل رمزنگاری شده است، تیم واکنش به حادثه باید مطمئن شود که سیستمهای مورد حمله قرار گرفته، از سایر بخشها تفکیک شده و مهاجمان نیز از شبکه بیرون رانده شده باشند.
Minder میگوید: «فرض کنید مذاکره با مهاجمان شروع شده است اما آنها هنوز هم به شبکه دسترسی دارند. قطعاً در این شرایط مهاجمان برتری زیادی نسبت به ما خواهند داشت. به همین دلیل یکی از اولین اقداماتی که ما انجام میدهیم، همکاری بسیار نزدیک با تیم پاسخ به حادثه برای مشخص کردن این موضوع است که آیا مهاجمان واقعاً از شبکه خارج شده و قادر به بازگشت نیستند یا خیر».
بخش دوم کار به گفته Minder، دریافت تمام اطلاعات جمع آوری شده از جمله دادههای سرقت شده، مهاجمان شناسایی شده و نیز وضعیت فعلی و سوابق قبلی آنها توسط تیم پاسخ به حادثه است. اگر شرکتهای مذاکره کننده باجافزاری در جریان باجهایی که این گروهها قبلاً دریافت کردهاند، قرار بگیرند و همچنین سطح مهارت مهاجمان و سایر سازمانهایی که قبلاً طعمه آنها شدهاند برای آنها مشخص شود بهتر میتوانند روش اجرای مذاکره را تعیین کنند. مثلاً اگر مهاجمان تاکنون 30 یا 40 شرکت دیگر را قربانی کرده باشند، قطعاً رفتار شرکتهای مذاکره کننده هم در قبال آنها تغییر میکند.
بسیاری از گروههای هکری شرایط دریافت باج را با توجه به شرایط قربانی تغییر داده و معمولاً درصدی از درآمد سالیانه شرکت را درخواست میکنند. اگر منابع اطلاعاتی آنها معتبر نباشد یا اطلاعات کاملی درباره ساختار سازمان قربانی نداشته باشند ممکن است در برآوردهای خود دچار اشتباه شده و مبلغ بیشتری را درخواست نمایند.
مثلاً ممکن است شرکت هدف، یک شرکت خوشهای چند میلیارد دلاری بین المللی باشد ولی خود قربانی اصلی، یک کسبوکار کوچک در یک کشور خاص باشد. معمولاً در سطح دولتی (آمریکا)، بین منابع مالی سازمان های فدرال و شهرداریهای کوچک تفاوت چشمگیری وجود دارد که ممکن است مهاجمان از آن مطلع نباشند.
به گفته Minder، مذاکرهکنندگان میتوانند به مهاجمان درباره وضعیت اقتصادی واقعی شرکت قربانی اطلاعرسانی کنند. بسیار مهم است که این کار مثل هر تراکنش تجاری، با هدف و دقت زیاد انجام شود و نه صرفاً بر اساس احساسات (که اگر خود قربانی تصمیم به مذاکره بگیرد، احتمال وقوع این مشکل بسیار زیاد است). با این وجود همه ارتباطات انجام شده با مهاجم از طریق یک پورتال امن، به صورت لحظهای در اختیار شرکت قربانی قرار میگیرد تا بتواند به موقع و در صورت نیاز در خصوص آن اظهارنظر کند.
یکی دیگر از دلایل نیاز به وجود قابلیتهای تشخیص حمله در اسرع وقت و طرح واکنش به حادثه که میتواند آسیب ناشی از حمله را کاهش دهد این است که در بعضی موارد احتمال دارد قربانی، تعدادی از سیستمها را با استفاده از نسخه پشتیبان بازیابی نموده و از این اطلاعات برای اجرای مذاکره استفاده کند. چون معمولاً در این شرایط قربانی تمایل ندارد که برای بازیابی چند سیستم باقی مانده مبلغ زیادی را پرداخت کند.
Tim Bandos، یکی از مدیران ارشد امنیت اطلاعات میگوید: «از جمله نکات مهمی که در مراحل اولیه شناسایی حمله و آگاهی از استقرار باجافزار در محیط باید به آن توجه داشته و همواره آن را در نظر گرفت، محدود کردن حمله و تفکیک سیستمها در اسرع وقت است. برای انجام این کار، ابتدا باید محدوده حادثه را مشخص کرده، فایل گزارشها را بررسی نموده و نقاط مناسب برای قطع حمله مشخص شود.
بسیاری از سازمانها پس از توقف حمله در شبکهای با هزاران سرور، حمله را به ده یا پانزده سرور محدود کردهاند. در چنین مواقعی ممکن است قربانی تصمیم بگیرد که اصلاً مبلغی را پرداخت نکند چون بازیابی 10 تا 15 سرور کار زمان بری نیست. در صورتی که هزاران سیستم تحت تأثیر قرار گرفته باشند، شاید پرداخت باج و رمزگشایی دادهها روش سریعتری باشد.
حتی اگر نسخه پشتیبان هم وجود داشته باشد ممکن است به دلیل محدودیت هایی لایسنسی بعضی از نرمافزارها فرایند بازیابی اطلاعات با دشواریهایی روبرو شود. Bandos برای یکی از مشتریانش در حوزه تولید با این چالش روبرو شده که با وجود داشتن طرح بازیابی، سروری در این محیط وجود داشته که دارای نسخه قدیمی ویندوز سرور بوده و بر روی آن یک نرم افزار تجاری نصب بوده است. در نتیجه این سیستم باید کاملاً دوباره راه اندازی میشد. به دلیل آنکه از کار افتادن این سرور برای شرکت مورد نظر در هر ساعت 10 هزار دلار هزینه در پی داشته است، در نهایت این شرکت تصمیم به پرداخت باج میگیرد.
فرایند بازیابی نیز باید بررسی شده و تصویر (ایمیج) سیستمها با تمام نرمافزارهایی گرفته شود که برای عملکرد درست سیستم ضروری هستند. داشتن قابلیتهای شناسایی حمله و نرمافزارهایی که توانایی شناسایی، جلوگیری از اجرای فرایند رمزنگاری فایلها و تفکیک سیستمهای آلوده از شبکه را داشته باشند هم بسیار مهم است.
Minder و Schenkel از شرکت Flashpoint معتقدند که معمولاً گروههای باجافزاری تمایل به مذاکره دارند و در بیشتر زمان ها مبالغ پرداختی، درصد کمی از مبلغی که در ابتدا درخواست شده بود را شامل میشود. چون مهاجمان هم تحت فشار هستند و هر چقدر این مذاکرات طولانیتر شود، تیم واکنش به حادثه شرکت قربانی فرصت بیشتری برای بازیابی سیستمهای آلوده خواهد داشت. به گفته Schenkel، برآوردها نشان میدهد که فقط 25 تا 30 درصد باجهای درخواستی پرداخت میشود و مهاجمان هم از این موضوع اطلاع دارند.
Schenkel میگوید: «مهاجمان چون فروشنده واقعی هستند، یک قیمت شروع خاص دارند. گاهی وقت ها این قیمت، 10 درصد درآمد شرکت قربانی را شامل میشود و گاهی اوقات نیز 20 درصد. این فقط یک نقطه شروع است. معمولاً همیشه این گروهها آماده مذاکره بوده و منطقی رفتار میکنند. البته شاید این کلمه برای چنین شرایطی مناسب نباشد چون در این مواقع هیچ چیز منطقی وجود ندارد».
با این وجود پیش از اجرای هر گونه تراکنشی مهاجمان باید توانایی شان را برای رمزگشایی فایلها نشان دهند. معمولاً این کار بر روی بخشی از دادهها انجام میشود. با این حال باید توجه داشت که این اقدام به معنای رفع کامل مخاطره نیست. در بعضی از موارد، ابزار رمزگشایی ارایه شده توسط مهاجمان در هنگام اجرا با خطا مواجه شده یا ممکن است روی بعضی از سیستمها و دادههایی با حجم متفاوت کار نکند یا اینکه بخشی از دادهها تخریب شده باشند. بعضی از شرکتها در زمینه مهندسی معکوس این ابزارهای رمزگشایی و تبدیل آنها به ابزاری کارآمدتر که فقط از کلید رمزگشایی ارایه شده توسط مهاجمان استفاده میکند، تخصص دارند.
البته ممکن است شرایطی هم وجود داشته باشد که در آنها مهاجمان برای سیستمهای مختلف شبکه از کلیدهای متفاوت استفاده کنند. به همین دلیل اجرای فرایندهای جرم شناسی و هوش تهدید برای شناسایی مجرمان و روش کار آنها پیش از برقراری ارتباط و مذاکره اهمیت زیادی دارد.
در نهایت پس از پرداخت مبلغ مورد توافق بین شرکت قربانی و مهاجمان باید اطلاعات کاملی در خصوص ارتباطات صورت گرفته، دادههای جمعآوری شده حمله و تراکنشهای انجام شده، جمع آوری گشته و در اختیار شرکت قربانی قرار گیرد.
مخاطره انتشار عمومی اطلاعات، منجر به پیچیدهتر شدن مذاکرات میشود.
در زمان هایی که مهاجمان تهدید به افشای اطلاعات میکنند، کار کمی پیچیدهتر میشود چون دیگر هیچ تضمینی وجود ندارد که پس از پرداخت باج، اطلاعات جمعآوری شده را نابود کنند. شرکت امنیتی Coveware که در حوزه مذاکرات باجافزاری تخصص دارد، در گزارشی اعلام کرده که در خیلی از مواقع با وجود پرداخت باج، مهاجمان دوباره با سوءاستفاده از همان اطلاعات اخاذی نموده یا آنها را در اینترنت به صورت عمومی منتشر کردهاند.
با روی آوردن بیشتر گروههای باجافزاری به این روش باید حملات باجافزاری را هم جزو موارد نشت داده دانسته و فرایندهای لازم را برای مقابله با چنین حوادثی در نظر گرفت. معمولاً قربانیان نیاز به همکاری با یک شرکت هوش تهدید دارند تا انجمنها و بازارهای آنلاین را زیرنظر گرفته و به سرعت از گامهای بعدی مجرمان باخبر شوند.
تحقیقات پس از حادثه، به درس گرفتن از آن کمک میکنند.
پس از هر حادثهای باید تحقیقات جامعی را با مشارکت همه طرفهای دخیل از جمله تیم های قانونی، فناوری اطلاعات، واکنش به حادثه و گروه مذاکره کننده انجام داد تا درسهای آموخته شده از این فرایند را تبدیل به آموزه ای برای ارتقای قابلیتهای سازمان جهت مقابله با حوادث مشابه در آینده کرد.
سازمانها و کاربران با پیروی از توصیههای ارایه شده در این مطلب میتوانند آسیبهای ایجاد شده توسط حملات باج افزاری را به کمترین حد ممکن کاهش دهند.
[1] Treasury Department’s Office of Foreign Assets Control
منبع: csoonline