فرصت طلبی هکرها همزمان با شیوع بیماری کرونا

شرکت‌های امنیتی پس از بررسی روند حملات سایبری صورت گرفته در نیمه اول سال 99 به این نتیجه رسیده اند که ویروس کووید 19 نقش اصلی در اجرای بسیاری از این حملات داشته است. از آنجا که شیوع این ویروس باعث تغییر در سبک زندگی و کسب و کار مردم شده است، مهاجمان سایبری نیز به تلاش های خود برای سوءاستفاده از چالش‌های دورکاری کارکنان و ترس مردم از بیماری کرونا افزوده اند.

متأسفانه در چند ماه اخیر، حملات سایبری رشد صعودی داشته اند. حمله های انجام شده، شامل طیف گسترده ای بوده و از انواع حملات فیشینگ گرفته تا مهندسی اجتماعی، ارسال بدافزار، نفوذ به ایمیل های کاری و سایر حملات و کلاهبرداری‌های رایانه ای را در بر گرفته اند.

از این رو شرکت های امنیتی بر اساس حملاتی که برای مشتریان شان اتفاق افتاده است، تحلیل های مختلفی را انجام داده اند. در این مطلب از فراست، به بررسی چند نمونه از یافته‌های این تحلیل ها می پردازیم.

 

ابتدا افزایش و سپس کاهش حملات فیشینگ

پس از شروع قرنطینه در زمستان 98، شاهد افزایش حملات فیشینگ آن هم به صورت بسیار گسترده ای بر ضد کاربران بودیم. بر اساس گزارش شرکت امنیت سایبری فنلاندی F-Secure، خوشبختانه این سیل ناگهانی حملات ایمیلی که با موضوع کووید 19 ارسال می شدند، در اردیبهشت ماه 99 فروکش کرد. البته این مسأله هنوز هم کاملاً از بین نرفته اما به نظر می‌رسد شرایط بهتر از قبل شده است. سایر شرکت‌های امنیتی نیز روند مشابهی را در خصوص اجرای حملات فیشینگ در این مدت گزارش کرده اند.

طبق گزارش شرکت F-Secure، مجرمان سایبری پس از همه گیری این بیماری شروع به سوءاستفاده از وحشت همگانی و بی ثباتی اجتماعی ناشی از این بحران فراگیر کردند. بنابراین تعداد ایمیل‌های مخرب با موضوع کووید 19 نیز به شدت افزایش یافت. این ایمیل ها که ترکیبی از هرزنامه ها بوده و اغلب شامل فایل های پیوست آلوده یا لینک های مخرب بودند، با اجرای حملات فیشینگ تلاش داشتند سیستم های رایانه ای کاربران را تحت تأثیر تهدیدهای سایبری قرار دهند.

به گفته F-Secure، «به‌ روزرسانی امنیتی فوری» متداول‌ ترین موضوع ایمیل‌های مخرب فاقد فایل پیوست بوده که برای کاربران ارسال شده است. 75 درصد از پیوست‌های ایمیل‌های مخرب با موضوع کووید 19 که دارای فایل پیوست بوده اند نیز آلوده به بدافزارهای “Lokibot” یا “Formbook” بوده اند.

شرکت Trend Micro هم که در شهر توکیو ژاپن قرار دارد، اعلام کرده: «درصد بسیار زیادی از تهدیدهای ایمیلی که شناسایی شده اند، همزمان شامل فایل آلوده و لینک مخرب بوده اند و بسیاری از این ایمیل‌ها کاربران را به بازدید از وب سایت‌های فیشینگ تشویق می‌کردند».

 

اوج گیری مهندسی اجتماعی

بر اساس بررسی روند نفوذهای امنیتی در زمستان 98 که توسط شرکت انگلیسی Beazley صورت گرفته است، پیش از آغاز همه گیری بیماری کرونا حملات مهندسی اجتماعی روند کاهشی داشته اند اما پس از شروع این بیماری، این حملات مجدداً افزایش چشم گیری پیدا کردند.

به گفته شرکت Beazley، «شیوع ویروس کرونا باعث شد مجرمان سایبری فرصت بسیار خوبی برای پوشش حملات ایمیلی خودشان پیدا کنند. آمارهای جهانی بیانگر آن است که همزمان با افزایش دورکاری در سه ماهه دوم سال 2020، احتمال قربانی شدن کارمندان در برابر حملات مهندسی اجتماعی افزایش یافته و همچنین احتمال قربانی شدن سازمان‌هایی که در بازارهای رده متوسط قرار دارند، بیشتر است».

کلاهبرداری‌های انجام شده معمولاً شامل فریب افراد برای انتقال وجه به حساب مهاجمان بوده است. گاهی مواقع نیز کلاهبرداران از راه دور به سیستم‌های کاربران نفوذ کرده اند. برای مثال، در یکی از کلاهبرداری‌هایی که شرکت Beazley با آن مواجه شده، مهاجمان ابتدا بررسی می‌کردند چه فروشنده‌هایی در سیستم تسویه خودکار یک دانشگاه برای پرداخت‌های منظم و دوره‌ای ثبت شده‌اند. سپس دقیقاً پیش از فرارسیدن زمان انتقال وجه، به این سیستم نفوذ کرده و حساب بانکی خودشان را با حساب بانکی آن فروشنده عوض کرده و منتظر می‌ماندند تا این وجوه برای آنها واریز شود. در نهایت هم دوباره تنظیمات پرداخت را به حالت قبلی خود برمی گرداندند.

به گفته شرکت Beazley با این روش، تقریباً 600 هزار تراکنش غیرمجاز انجام شده است تا این که نهایتاً بانک به این فعالیت‌ها مشکوک شد و آنها را متوقف کرد.

 

کلاهبرداری از طریق نفوذ به ایمیل کاری

کلاهبرداران در روش نفوذ به ایمیل های کاری کارکنان، از موضوع های مرتبط با کووید 19 به عنوان طعمه استفاده می کردند. صرف نظر از این که مهاجمان از طعمه‌های مرتبط با کووید 19 استفاده کرده اند یا خیر، اثربخشی این کلاهبرداری‌ها ناشی از این واقعیت بوده که شرایط جدید و دورکاری کارمندان، موجب سخت تر شدن امکان نظارت بر ارتباطات کارکنان سازمان ها شده است.

 

افزایش جاسوس‌افزارها و ابزارهای سرقت اطلاعات

بر اساس یافته‌های تیم پاسخ به حوادث رایانه‌ای اضطراری شرکت سنگاپوری Group-IB در نیمه دوم سال 1398 حدود نیمی از ایمیل‌های مخرب، یا حاوی جاسوس‌ افزار بوده یا لینکی برای دانلود جاسوس‌ افزارها و سایر ابزارهای سرقت اطلاعات در آنها قرار داده شده بوده است. بعضی از ایمیل ها نیز شامل فایل دانلود جهت نصب بدافزار بر روی سیستم‌های کاربران بوده اند. تعدادی از آنها نیز آلوده به درب های پشتی بوده و سایر ایمیل ها هم حاوی تروجان های بانکی بوده اند.

با این حال، حملات باج‌ افزاری نسبت به شش ماهه دوم سال 2019، روند کاهشی داشته اند و تعداد آنها در نیمه ابتدایی سال 2020 به کمتر از 1 درصد کاهش یافته است.

شرکت‌های امنیتی در خصوص این که در نیمه ابتدایی سال 2020 کدام بدافزارها بیشتر رواج داشته اند، موارد مختلفی را بیان کرده اند. به گفته Group-IB متداول‌ترین بدافزار در طول این مدت، Trojan RTM (که 30 درصد از کل بدافزارها را شامل می‌شود) بوده و پس از آن نیز جاسوس‌ افزار LOKI PWS (24 درصد)، ابزار سرقت اطلاعات Formbook (12 درصد)، ابزار دسترسی از راه دور Agent Tesla (10 درصد)، ابزار سرقت اطلاعات Nanocore (7 درصد) و بدافزار سرقت اطلاعات لاگین Hawkeye (5 درصد) بوده اند.

بنا بر گزارش F-Secure، محبوب‌ترین روش برای انتشار بدافزار در نیمه اول سال 2020، ارسال ایمیل های آلوده به کاربران بوده و پس از آن نیز نصب بدافزار توسط مهاجمان و افراد فریب خورده بوده که شاهد افزایش تعداد حملات این چنینی نسبت به سال گذشته هستیم. به گفته F-Secure شاید دلیل این افزایش، ثبت هزاران دامنه جعلی برای برنامه کاربردی Zoom توسط مجرمان سایبری باشد که در پی فریب کاربران بودند تا به جای نصب نرم‌افزار کنفرانس ویدیویی Zoom، یک بدافزار مخفی را بر روی سیستم هایشان نصب کنند.

یکی دیگر از روش های مورد استفاده مهاجمان هم به این صورت بوده که پس از نفوذ به سیستم قربانی، باج افزاری را با استفاده از پورت RDP (پروتکل ریموت دسکتاپ)، به صورت دستی بر روی رایانه وی نصب می کردند. لازم به ذکر است دسترسی به پروتکل‌ دسکتاپ راه دور که سطح امنیتی مناسبی ندارد، همواره یکی از روش‌های مرسوم برای نفوذ به شبکه‌ها توسط مجرمان سایبری بوده است.

 

تداوم درآمدهای مجرمان

شرکت CrowdStrike مستقر در کالیفرنیای آمریکا در گزارش Threat Hunting Report خود اعلام کرده که از بین حملاتی که امکان تشخیص عوامل اجرا کننده آنها وجود داشته است، حدود 80 درصد از آنها مربوط به مجرمان سایبری بوده و تنها 18 درصد آنها ارتباط با دولت‌ها داشته است.

به گفته شرکت CrowdStrike، یکی از دلایل رونق چنین جرایم سایبری امکان رسیدن به سودهای کلان از طریق شکار شرکت‌ های بزرگ بوده است. تغییر بعدی نیز رشد خدمات ارایه باج‌افزار به صورت سرویس است که باعث شده مهاجمان غیرحرفه‌ای به ابزارها و بدافزارهای رمزنگاری بسیار پیچیده و کارآمدی دسترسی پیدا کنند.

 

تمرکز بر روش‌های توصیه شده

اگرچه ابزارها و روش‌های مورد استفاده مجرمان سایبری همواره رو به رشد و تکامل است اما کارشناسان امنیتی بر این باورند که روش‌های توصیه شده برای محافظت از سازمان‌ها همچنان ثابت و بدون تغییر هستند.

F-Secure توصیه می‌کند: «همیشه جدیدترین به‌روزرسانی‌ها و وصله‌های امنیتی را نصب کنید. سرویس‌هایی که آسیب‌پذیر هستند یا امکان سوءاستفاده از آنها وجود دارد را غیرفعال کنید. مراقب کمپین‌های فیشینگ و هرزنامه‌ها بوده و به کارمندان درباره این کمپین‌ها آموزش های لازم را دهید».

 

منبع: bankinfosecurity