شرکتهای امنیتی پس از بررسی روند حملات سایبری صورت گرفته در نیمه اول سال 99 به این نتیجه رسیده اند که ویروس کووید 19 نقش اصلی در اجرای بسیاری از این حملات داشته است. از آنجا که شیوع این ویروس باعث تغییر در سبک زندگی و کسب و کار مردم شده است، مهاجمان سایبری نیز به تلاش های خود برای سوءاستفاده از چالشهای دورکاری کارکنان و ترس مردم از بیماری کرونا افزوده اند.
متأسفانه در چند ماه اخیر، حملات سایبری رشد صعودی داشته اند. حمله های انجام شده، شامل طیف گسترده ای بوده و از انواع حملات فیشینگ گرفته تا مهندسی اجتماعی، ارسال بدافزار، نفوذ به ایمیل های کاری و سایر حملات و کلاهبرداریهای رایانه ای را در بر گرفته اند.
از این رو شرکت های امنیتی بر اساس حملاتی که برای مشتریان شان اتفاق افتاده است، تحلیل های مختلفی را انجام داده اند. در این مطلب از فراست، به بررسی چند نمونه از یافتههای این تحلیل ها می پردازیم.
ابتدا افزایش و سپس کاهش حملات فیشینگ
پس از شروع قرنطینه در زمستان 98، شاهد افزایش حملات فیشینگ آن هم به صورت بسیار گسترده ای بر ضد کاربران بودیم. بر اساس گزارش شرکت امنیت سایبری فنلاندی F-Secure، خوشبختانه این سیل ناگهانی حملات ایمیلی که با موضوع کووید 19 ارسال می شدند، در اردیبهشت ماه 99 فروکش کرد. البته این مسأله هنوز هم کاملاً از بین نرفته اما به نظر میرسد شرایط بهتر از قبل شده است. سایر شرکتهای امنیتی نیز روند مشابهی را در خصوص اجرای حملات فیشینگ در این مدت گزارش کرده اند.
طبق گزارش شرکت F-Secure، مجرمان سایبری پس از همه گیری این بیماری شروع به سوءاستفاده از وحشت همگانی و بی ثباتی اجتماعی ناشی از این بحران فراگیر کردند. بنابراین تعداد ایمیلهای مخرب با موضوع کووید 19 نیز به شدت افزایش یافت. این ایمیل ها که ترکیبی از هرزنامه ها بوده و اغلب شامل فایل های پیوست آلوده یا لینک های مخرب بودند، با اجرای حملات فیشینگ تلاش داشتند سیستم های رایانه ای کاربران را تحت تأثیر تهدیدهای سایبری قرار دهند.
به گفته F-Secure، «به روزرسانی امنیتی فوری» متداول ترین موضوع ایمیلهای مخرب فاقد فایل پیوست بوده که برای کاربران ارسال شده است. 75 درصد از پیوستهای ایمیلهای مخرب با موضوع کووید 19 که دارای فایل پیوست بوده اند نیز آلوده به بدافزارهای “Lokibot” یا “Formbook” بوده اند.
شرکت Trend Micro هم که در شهر توکیو ژاپن قرار دارد، اعلام کرده: «درصد بسیار زیادی از تهدیدهای ایمیلی که شناسایی شده اند، همزمان شامل فایل آلوده و لینک مخرب بوده اند و بسیاری از این ایمیلها کاربران را به بازدید از وب سایتهای فیشینگ تشویق میکردند».
اوج گیری مهندسی اجتماعی
بر اساس بررسی روند نفوذهای امنیتی در زمستان 98 که توسط شرکت انگلیسی Beazley صورت گرفته است، پیش از آغاز همه گیری بیماری کرونا حملات مهندسی اجتماعی روند کاهشی داشته اند اما پس از شروع این بیماری، این حملات مجدداً افزایش چشم گیری پیدا کردند.
به گفته شرکت Beazley، «شیوع ویروس کرونا باعث شد مجرمان سایبری فرصت بسیار خوبی برای پوشش حملات ایمیلی خودشان پیدا کنند. آمارهای جهانی بیانگر آن است که همزمان با افزایش دورکاری در سه ماهه دوم سال 2020، احتمال قربانی شدن کارمندان در برابر حملات مهندسی اجتماعی افزایش یافته و همچنین احتمال قربانی شدن سازمانهایی که در بازارهای رده متوسط قرار دارند، بیشتر است».
کلاهبرداریهای انجام شده معمولاً شامل فریب افراد برای انتقال وجه به حساب مهاجمان بوده است. گاهی مواقع نیز کلاهبرداران از راه دور به سیستمهای کاربران نفوذ کرده اند. برای مثال، در یکی از کلاهبرداریهایی که شرکت Beazley با آن مواجه شده، مهاجمان ابتدا بررسی میکردند چه فروشندههایی در سیستم تسویه خودکار یک دانشگاه برای پرداختهای منظم و دورهای ثبت شدهاند. سپس دقیقاً پیش از فرارسیدن زمان انتقال وجه، به این سیستم نفوذ کرده و حساب بانکی خودشان را با حساب بانکی آن فروشنده عوض کرده و منتظر میماندند تا این وجوه برای آنها واریز شود. در نهایت هم دوباره تنظیمات پرداخت را به حالت قبلی خود برمی گرداندند.
به گفته شرکت Beazley با این روش، تقریباً 600 هزار تراکنش غیرمجاز انجام شده است تا این که نهایتاً بانک به این فعالیتها مشکوک شد و آنها را متوقف کرد.
کلاهبرداری از طریق نفوذ به ایمیل کاری
کلاهبرداران در روش نفوذ به ایمیل های کاری کارکنان، از موضوع های مرتبط با کووید 19 به عنوان طعمه استفاده می کردند. صرف نظر از این که مهاجمان از طعمههای مرتبط با کووید 19 استفاده کرده اند یا خیر، اثربخشی این کلاهبرداریها ناشی از این واقعیت بوده که شرایط جدید و دورکاری کارمندان، موجب سخت تر شدن امکان نظارت بر ارتباطات کارکنان سازمان ها شده است.
افزایش جاسوسافزارها و ابزارهای سرقت اطلاعات
بر اساس یافتههای تیم پاسخ به حوادث رایانهای اضطراری شرکت سنگاپوری Group-IB در نیمه دوم سال 1398 حدود نیمی از ایمیلهای مخرب، یا حاوی جاسوس افزار بوده یا لینکی برای دانلود جاسوس افزارها و سایر ابزارهای سرقت اطلاعات در آنها قرار داده شده بوده است. بعضی از ایمیل ها نیز شامل فایل دانلود جهت نصب بدافزار بر روی سیستمهای کاربران بوده اند. تعدادی از آنها نیز آلوده به درب های پشتی بوده و سایر ایمیل ها هم حاوی تروجان های بانکی بوده اند.
با این حال، حملات باج افزاری نسبت به شش ماهه دوم سال 2019، روند کاهشی داشته اند و تعداد آنها در نیمه ابتدایی سال 2020 به کمتر از 1 درصد کاهش یافته است.
شرکتهای امنیتی در خصوص این که در نیمه ابتدایی سال 2020 کدام بدافزارها بیشتر رواج داشته اند، موارد مختلفی را بیان کرده اند. به گفته Group-IB متداولترین بدافزار در طول این مدت، Trojan RTM (که 30 درصد از کل بدافزارها را شامل میشود) بوده و پس از آن نیز جاسوس افزار LOKI PWS (24 درصد)، ابزار سرقت اطلاعات Formbook (12 درصد)، ابزار دسترسی از راه دور Agent Tesla (10 درصد)، ابزار سرقت اطلاعات Nanocore (7 درصد) و بدافزار سرقت اطلاعات لاگین Hawkeye (5 درصد) بوده اند.
بنا بر گزارش F-Secure، محبوبترین روش برای انتشار بدافزار در نیمه اول سال 2020، ارسال ایمیل های آلوده به کاربران بوده و پس از آن نیز نصب بدافزار توسط مهاجمان و افراد فریب خورده بوده که شاهد افزایش تعداد حملات این چنینی نسبت به سال گذشته هستیم. به گفته F-Secure شاید دلیل این افزایش، ثبت هزاران دامنه جعلی برای برنامه کاربردی Zoom توسط مجرمان سایبری باشد که در پی فریب کاربران بودند تا به جای نصب نرمافزار کنفرانس ویدیویی Zoom، یک بدافزار مخفی را بر روی سیستم هایشان نصب کنند.
یکی دیگر از روش های مورد استفاده مهاجمان هم به این صورت بوده که پس از نفوذ به سیستم قربانی، باج افزاری را با استفاده از پورت RDP (پروتکل ریموت دسکتاپ)، به صورت دستی بر روی رایانه وی نصب می کردند. لازم به ذکر است دسترسی به پروتکل دسکتاپ راه دور که سطح امنیتی مناسبی ندارد، همواره یکی از روشهای مرسوم برای نفوذ به شبکهها توسط مجرمان سایبری بوده است.
تداوم درآمدهای مجرمان
شرکت CrowdStrike مستقر در کالیفرنیای آمریکا در گزارش Threat Hunting Report خود اعلام کرده که از بین حملاتی که امکان تشخیص عوامل اجرا کننده آنها وجود داشته است، حدود 80 درصد از آنها مربوط به مجرمان سایبری بوده و تنها 18 درصد آنها ارتباط با دولتها داشته است.
به گفته شرکت CrowdStrike، یکی از دلایل رونق چنین جرایم سایبری امکان رسیدن به سودهای کلان از طریق شکار شرکت های بزرگ بوده است. تغییر بعدی نیز رشد خدمات ارایه باجافزار به صورت سرویس است که باعث شده مهاجمان غیرحرفهای به ابزارها و بدافزارهای رمزنگاری بسیار پیچیده و کارآمدی دسترسی پیدا کنند.
تمرکز بر روشهای توصیه شده
اگرچه ابزارها و روشهای مورد استفاده مجرمان سایبری همواره رو به رشد و تکامل است اما کارشناسان امنیتی بر این باورند که روشهای توصیه شده برای محافظت از سازمانها همچنان ثابت و بدون تغییر هستند.
F-Secure توصیه میکند: «همیشه جدیدترین بهروزرسانیها و وصلههای امنیتی را نصب کنید. سرویسهایی که آسیبپذیر هستند یا امکان سوءاستفاده از آنها وجود دارد را غیرفعال کنید. مراقب کمپینهای فیشینگ و هرزنامهها بوده و به کارمندان درباره این کمپینها آموزش های لازم را دهید».
منبع: bankinfosecurity