ناگفته هایی از دنیای اقتصاد زیرزمینی باجافزارها
باجافزارها دیگر صرفاً یک نوع بدافزار نیستند بلکه تبدیل به محور اصلی اقتصاد زیرزمینی رو به رونق و پیچیدهای شده اند که تقریباً همه ویژگیهای تجارت عادی و سالم را دارد. این اقتصاد به جامعهای متشکل از توسعهدهندگان بدافزارها، افراد و نهادهای وابسته و همکار و همچنین اشخاصی که خدماتی همچون فروش قابلیت دسترسی به شبکه را ارایه میدهند، تبدیل شده است. حتی گردانندگان این محیطها شعبههای عمومی دارند که همواره در حال ارایه محصول و توسعه برند آنها بوده و حتی بخشی را هم برای پشتیبانی از مشتریان خود در نظر گرفتهاند!
عوامل باجافزارها معمولاً با افراد یا نهادهایی همکاری دارند که محصولاتی موسوم به «باجافزار به عنوان سرویس (RaaS[1])» به آنها ارایه میکنند. این همکاران را میتوان شرکای کانالی[2] در نظر گرفت که مسئول توزیع بدافزار در بین قربانیان نهایی هستند. این افراد و نهادها عموماً 60 الی 80 درصد از مبلغ باج را دریافت میکنند و مابقی به گردانندگان این تشکیلات و تولیدکنندگان چنین محصولاتی تعلق میگیرد.
بنابر آنچه کارشناسان طرح Intel 471 میگویند: «گروههایی که باجافزارها را به عنوان سرویس ارایه میدهند، همانند کسبوکارهای معتبر و عادی کار میکنند. آنها هم بخش پشتیبانی فناوری اطلاعات و پشتیبانی مشتری داشته و هم اینکه هر آنچه را که میتوانند برای ارتقای شهرت و برندشان انجام میدهند. از این رو محبوبترین گزینهها در بین این گروهها مواردی هستند که بهترین دستاوردها را داشته و به خوبی به پرسشهای مشتریان مجرم شان پاسخ میدهند».
رونق گرفتن طرحهای همکاری باجافزاری
گزینههای موجود برای RaaS معمولاً با دقت بررسی و انتخاب میشوند و بعضی از مجرمان مثل [3]NetWalker نسبت به سایرین، الزامات قویتری در این خصوص دارند. بر اساس گفته های محققان Intel 471: «گروههای باجافزاری مشهور و شناخته شده، سختگیر و سخت پسند هستند. یکی از مهمترین الزامات مدنظر آنها برای انتخاب طرحهای RaaS این است که چنین طرحهایی قابلیتهایشان را برای دسترسی به منابع سازمانی ارزشمند نشان داده باشند».
چنین ابزارهایی معمولاً شامل همکاری با یک بات نت سرقت اطلاعات، قابلیت اجرای حملات جستجوی فراگیر، امکان بررسی حساب های کاربری یا اجرای حملات هدفمند هستند. این محققان همچنین میگویند: «تجربه نفوذ به شبکه و گسترش آلودگی آن معمولاً جزو قابلیتهای مطلوب محسوب میشود. پیشرفت در زمینه توسعه و قابلیت مدیریت باجافزار هم جزو امتیازات مثبت به حساب میآید».
عوامل باجافزار MedusaLocker در فراخوان جذب نیرویی که در سال 2020 میلادی منتشر کردند، الزامات مورد نظرشان برای استخدام همکاران جدید را چنین بیان کرده اند:
- تجربه عملی اجرای باجافزار
- قابلیت استفاده از شبیهساز تهدید Cobalt Strike
- قابلیت ارتقای سطح دسترسی
- دانش کار با سیستمهای پشتیبانگیری
- درک OPSEC[4]
ارایهدهندگان خدمات باجافزاری معمولاً مهارتهایشان را در قالب یک رزومه بیان کرده و اغلب از آنها درخواست میشود که در یک دوره آزمایشی، حمله ای واقعی را اجرا نموده و باجافزار نصب کنند. لازم به ذکر است همه داوطلبان استخدام باید در فرایند مصاحبه شرکت نمایند.
این وسواس و دقت، با هدف دستیابی به بالاترین میزان سود و درآمد انجام میشود. مهاجمان موفق معمولاً هفتهها بررسی و تحقیق انجام میدهند تا درباره وضعیت اقتصادی و شغلی اهدافشان اطلاعات کسب نموده و مبلغ مناسب باج را مشخص کنند. آنها برای دستیابی به این هدف باید مهارتهای لازم را داشته باشند.
بر اساس اظهارات محققان Intel 471: «ارایهدهندگان باجافزارها هفتهها یا ماهها سیستمهای سازمانی را زیرنظر داشته و سعی میکنند برای موفقیت حملاتشان، بیشترین اطلاعات ممکن را جمع آوری کنند. هر چه اطلاعات مهاجمان درباره کسبوکار هدف بیشتر باشد آنها بهتر میتوانند مبلغ مناسب برای باج را تخمین بزنند. این مبلغ نباید به اندازهای بالا باشد که توسط قربانیان رد شود».
بعضی از این گروهها برای پیشگیری از نفوذ نهادهای قانونی غربی یا محققان امنیت سایبری به تیم های خودشان موارد احتیاطی خاصی را از جمله نیاز به معرفی از سمت همکاران قبلی، نیاز به انجام اقدامات خاص که فقط توسط روس زبانها یا افراد آشنا به فرهنگ روسی و کشورهای اتحاد جماهیر شوروی سابق قابل انجام است، در نظر میگیرند.
مثلاً عوامل باجافزار REvil در مطلبی که در سال 2020 منتشر کردند، گفته اند: «در FBI و سایر سرویسهای تخصصی، اشخاصی هستند که زبان روسی را بی نقص و دقیق صحبت میکنند اما بدون شک سطح زبان آنها در سطح افراد محلی این کشور نیست. سعی کنید با پرسیدن سؤالاتی درباره تاریخ اوکراین، بلاروس، قزاقستان یا روسیه که امکان جستجوی آنها در گوگل وجود ندارد، همچنین ضرب المثلها و عبارتهای خاص این مناطق هویت واقعی این افراد را بررسی کنید».
در دنیای زیرزمینی مهاجمان سایبری، شیوه عملکرد همه گروهها مشابه هم نیست. رقابت در این حوزه بستگی به مواردی همچون حق کمیسیون و مزد دریافتی، سرعت پرداخت آن، سرعت و کیفیت رمزنگاری توسط باجافزار و سازوکارهای اخاذی ارایه شده دارد (مثل استخراج دادههای حساس و گروگان گرفتن آنها) که انگیزه پرداخت باج را در قربانیان ایجاد کند.
Dmitry Bestuzhev مدیر مرکز تحقیقات شرکت کسپرسکی میگوید: «هر گروه، رویکرد خاص خودش را دارد. گروههایی که حدود 80 درصد از کمیسیون را به همکارشان پرداخت میکنند معمولاً مورد توجه بیشتری توسط مجرمان قرار میگیرند. بعضی از آنها سیستم پرداخت خودکار پیادهسازی میکنند تا در آن وجه پرداخت شده توسط قربانی به صورت خودکار تقسیم شده و بین دو گروه همکار توزیع شود. یک فرایند انتقال رمز ارز مثل مونرو هم وجود دارد که قابلیت آن برای ناشناس نگهداشتن کاربران، نسبت به بیتکوین بیشتر است».
سرویسهای زیست بومی باجافزار
بعضی از مجرمان سایبری که در انجمنهای زیرزمینی فعالیت می کنند، قابلیت دسترسی به سازمانهای هک شده مختلف را تبلیغ کرده و در سریعترین زمان ممکن سعی میکنند این قابلیت را به شخصی که بالاترین پیشنهاد را ارایه میدهد، بفروشند. همچنین ممکن است با یک همکار، قرارداد بسته تا در سود حاصل از این اقدام شریک شوند. برای مثال این افراد بدافزارهای سرقت اطلاعات، گزارش شرکتهای آسیبپذیر یا اعتبارنامههای دیجیتال سرقت شده را به فروش میگذارند.
محققان Intel 471 می گویند: «این همکاریها منجر به رونق یک بازار زیرزمینی شده که در آن امکان دسترسی به شبکههای سازمانی، آن هم با رقم های بالا به صورت مستقیم یا از طریق همکاری به فروش میرسد». علاوه بر این از آنجا که قیمت باج متفاوت بوده و برای هر قربانی به صورت مجزا محاسبه میشود بنابراین گردانندگان باجافزارها متکی به تحلیلهای اقتصادی هستند.
Bestuzhev میگوید: «وقتی دادهها سرقت شدند، مجرمان سعی میکنند ماهیت کسبوکار مدنظر، میزان سود آن و سایر اطلاعات مربوطه را جمعآوری کنند. این اقدام با هدف تشخیص بالاترین هزینه قابل دریافت که کمتر از هزینه بازیابی سیستمها باشد انجام میشود. گاهی وقت ها در این فرایند جریمههای نقض قانون HIPAA و سایر قوانین مربوطه هم در نظر گرفته میشود».
ردیابی پول
بیشتر پرداختهای باجافزارها در قالب رمز ارز و بیتکوین انجام می شود. کارشناسان Intel 471 در این خصوص می گویند: «پس از اینکه پرداخت پول به کیف پول دیجیتال مهاجم انجام شد، این پول معمولاً بین کیف پولهای مختلف توزیع میشود تا احتمال ردیابی آن کاهش یابد. بخشی از این پول صرف رفع نیازهای عملیاتی خود گروه (توسعهدهندگان باجافزار، تأمین زیرساخت و غیره) میشود و مابقی نیز بین سرویسهای پرداخت زیرزمینی مختلف توزیع میگردد».
Ivan Kwiatkowski محقق ارشد امنیت شرکت کسپرسکی میگوید: «تخمین زدن مخارج کلی همکاران ارایهدهنده باجافزار سخت است اما با یک ارزیابی کلی میتوان سود تقریبی حملات باجافزاری را تخمین زد».
بنابر گفته او: «اگر مبلغ کل باج 10 میلیون دلار باشد، هر یک از طرفین حدود 5 میلیون دلار دریافت میکند. در واقع این مبلغی است که پس از خرید دسترسی به شبکههای قربانی یا استفاده از آلودگیهای بات نت (حدود 100 هزار دلار) باقی میماند. همچنین باید سهم توسعهدهندگان باجافزار که ممکن است تا حدود 40 درصد باشد و پولشویی بیتکوین که حدود 10 درصد از این مبلغ است را هم در نظر گرفت.
Bestuzhev تخمین میزند که یک گروه فعال میتواند سالانه صدها میلیون دلار درآمد داشته باشد.
نکاتی در خصوص دادهها
مهاجمان سایبری همواره بیش از پیش از روش اخاذی دوگانه استفاده میکنند. آنها قربانی را تهدید میکنند که در صورت خودداری از پرداخت باج، دادههای سرقت شده را حراج خواهند کرد. آنها معمولاً وبلاگهایی راهاندازی نموده و دادههای جمعآوری شده از قربانیانی که باج را پرداخت نکردهاند، در آنها منتشر میکنند.
Bryan Oliver تحلیلگر امنیت سایبری میگوید: «در حال حاضر شواهد کمی وجود دارد که ثابت کند این ویژگی بخشی از واقعیت امروز صحنه باجافزار است». او میگوید: «باجافزارهای Conti و Egregor قربانیان بسیار زیادی داشتند و سعی میکردند به محض حمله به یک قربانی جدید او را تهدید به افشای اطلاعاتش کنند. در حال حاضر هیچ گونه شواهدی مبنی بر اینکه این گروهها واقعاً این دادهها را فروخته باشند، وجود ندارد. به احتمال زیاد آنها این کار را با هدف ایجاد فشار بر قربانیانی انجام میدهند که دادههایشان را در اختیار دارند».
یکی از نمونههای مشهور در این زمینه، هک شرکت CD Projekt Red بود که مهاجمان سایبری به وعده خودشان مبنی بر فروش دادههای این شرکت عمل کردند. آنها در فوریه 2021، کد منبع بازی Cyberpunk 2077 و یک نسخه منتشر نشده از Witcher 3 را در انجمن روسی زیرزمینی Exploit به فروش گذاشتند که چند روز بعد هم فروخته شد. محققان سایبری وجود این حراج را تأیید کردند؛ البته آنها نتوانستند مبلغ فروش آن را تخمین بزنند اما مبلغ شروع مزایده 1 میلیون دلار بود.
گروه دیگری به اسم REvil هم دادههای سرقت شده از یک شرکت را در وبلاگ خود به حراج گذاشت. Oliver می گوید: «با این وجود هنوز مشاهده نکرده ایم که این گروه توانسته باشد اطلاعات حاصل از نفوذ را با موفقیت فروخته باشد. در صفحه فروش این موارد هنوز عبارت فروخته نشده به چشم میخورد». با توجه به اینکه معمولاً این گروه پس از فروش هر مجموعه دادهای آن را برای عموم و دسترسی رایگان منتشر میکند، احتمالاً این نتیجهگیری درست است.
REvil ادعا کرده که یک نهاد خصوصی دادههای به سرقت رفته درباره دونالد ترامپ را از آنها خریداری کرده است. این دادهها از شرکت حقوقی Grubman Shire Meiselas & Sacks به دست آمده که با چهرههای سرشناس همکاری میکند. مدیر این گروه میگوید: «افراد علاقمند با ما تماس گرفته و موافقت کردند که تمام دادههایی که درباره رئیس جمهور آمریکا در اختیار داریم را خریداری کنند. این دادهها در کل دوره فعالیت ما جمعآوری شده بودند. ما از این همکاری خوشحالیم و به تلاش مان ادامه خواهیم داد».
البته هیچ شواهدی برای تأیید این ادعا وجود ندارد. بنا بر گفته Oliver: «باید به این ادعاها مشکوک باشیم. اصولاً چه فروش دادهها از طریق فضای مجازی با موفقیت انجام شده و چه نشده باشد، به نظر نمیرسد که این روش جزو روشهای پرکاربرد برای ارتقای سود مجرمان سایبری باشد».
[1] Ransomware-as-a-Service
[2] شریک کانال، شرکتی است که برای تولید و فروش محصولات، خدمات یا فناوریهای یک شرکت تولیدی با آن شریک است.
[3] خانوادهای از باجافزارها
[4] امنیت عملیات