این روزها گروههای هکری طراح باجافزارها عملکرد نسبتاً خوبی داشته و حملات موفق زیادی را بر ضد شرکت ها و اشخاص اجرا میکنند. مهاجمان سایبری همواره در جستجوی روشها و راهکارهای جدید هستند تا با اجرای آنها به سود بیشتری دست یابند. مثلاً در فوریه 2021 میلادی شرکت سیدی پروجکت (CD Project) که طراحی بازیهای ویدیویی مختلف از جمله سایبرپانک 2077 (Cyberpunk 2077) و سری بازیهای پرطرفدار ویچر (The Witcher) را انجام داده، مورد هدف یک حمله باجافزاری قرار گرفت. عوامل این حمله می دانستند خود باجافزار برای این شرکت مشکل چندانی ایجاد نمیکند چون نسخههای پشتیبان لازم را برای مقابله سریع با حملات باجافزاری دارد. موضوع نگرانکننده برای سیدی پروجکت، تهدید مهاجمان مبنی بر انتشار اطلاعات سرقتی توسط آنها از جمله کد منبع بازیها در فضای مجازی بود!
اخاذی از طریق دادههای سرقت شده به جای گروگان گرفتن منابع رایانشی توسط مهاجمان، نقطه عطف مهمی در تغییر رویکرد آنها محسوب شده و نشاندهنده آن است که این افراد، همواره در حال نوآوری در روشهای خود هستند.
افزایش حملات باجافزاری
بر اساس گزارشهای شرکت Positive Technologies، در سه ماهه سوم سال 2020 تعداد حملات باجافزاری بیسابقه بوده و بیش از نیمی از کل حملات بدافزاری این دوره را به خود اختصاص داده است. نتایج تحقیقاتی که توسط شرکت Check Point انجام شده نشان میدهد میانگین تعداد روزانه حملات باجافزاری در سه ماهه سوم سال 2020 در مقایسه با شش ماه قبل از آن، 50 درصد افزایش یافته است. باجافزار Ryuk نیز در هر هفته به تنهایی به 20 سازمان حمله کرده است.
دادههای گزارش مقاومت باجافزاری شرکت NinjaRMM بیانگر آن است که حدود 35 درصد از سازمانهای مورد بررسی و مطالعه قرار گرفته به علت رخدادهای باجافزاری مستلزم پرداخت خسارتهای میلیون دلاری شدهاند.
بنابراین با توجه به میزان سودآوری بالای این حملات برای مهاجمان، محققان امنیتی پیشبینی میکنند در سال 2021 میلادی موج این حملات هم از سمت عوامل طراح بدافزارها و هم از سمت ارایهدهندگان «باجافزار به عنوان سرویس (RaaS[1])» که در ازای دریافت درصدی از مبلغ باج، ابزارهای باجافزاری را در اختیار سایر مهاجمان قرار میدهند، افزایش یابد. لازم به ذکر است با رشد حملات باجافزاری گرایشهای جدیدی نیز به وجود خواهد آمد. استفاده از روشهای نوین برای اخاذی و انتخاب قربانی و همچنین حمله بر ضد منابع سرویسهای ابری مثل کوبرنتیز و داکر و نیز تغییر کدها نمونهای از این گرایشهای نوظهور هستند.
بر اساس گفتههای یکی از محققان حوزه تهدیدات سایبری: «در سال 2020 یکی از مهمترین روشهای اجرای حملات سایبری، عملیات های باجافزاری بودند و روزانه انواع جدیدی از نوآوریها و گروههای تازه ای از مهاجمان سایبری در این حوزه به وجود میآمدند».
ایجاد تغییرات در کد باجافزارها
گروههای باجافزاری همواره ترفندهای فنی جدیدی را به مجموعه ابزارهایشان اضافه می کنند. برای مثال آنها از راهکارهایی استفاده میکنند تا توسط کارشناسان و تیمهای امنیتی شناسایی نشوند. بر اساس گفته های یک تحلیلگر امنیتی: «باجافزارهایی مانند Maze و Snake از فنون تشخیص سندباکس[2] (Sandbox) و دور زدن آن جهت مخفی نمودن حضورشان از دید ابزارهای امنیتی که برای بررسی رفتار فایل در چنین محیطهایی طراحی شدهاند، استفاده میکنند. انتظار میرود چنین عملکردهایی در کد باجافزارها افزایش یابد».
Hristo Butcher مدیر بخش هوش تهدید شرکت Fox-IT در این خصوص میگوید: «علاوه بر تلاش برای جلوگیری از امکان شناسایی، گروههای باجافزاری به دنبال روشهایی برای افزایش تعداد اهداف و قربانیانشان هستند. از این رو آنها سعی میکنند علاوه بر سیستم عامل ویندوز، سایر سیستم عامل ها را هم مورد هدف حملات خود قرار دهند».
او میگوید: «در حال حاضر گروههای باجافزاری معمولاً سیستم عامل ویندوز را مورد هدف قرار میدهند. از طرف دیگر چون اغلب سازمانها از سیستم عامل یونیکس استفاده میکنند، انتظار میرود مجرمان سایبری هم مثل مهاجمان دولتی، درهای پشتی را به صورت چندسیستم عاملی طراحی کنند. مثلاً گروه Darkside حرکت به سمت استفاده از روش چندسیستم عاملی را آغاز نموده و بسیاری از ارایهدهندگان باجافزار به عنوان سرویس، پی لودهای لینوکس را هم به خدماتشان اضافه کردهاند».
Om Moolchandani بنیانگذار، مدیر ارشد فناوری اطلاعات و مدیر ارشد امنیت اطلاعات شرکت Accurics معتقد است باجافزارهای امروزی مجهز به قابلیتهای جستجوی بیوقفه جهت شناسایی اهداف آسیبپذیر در محیطهای ابری و روشهای خودکار برای انتشار کرمهای رایانهای در شبکه شده اند. او گفته: «اگرچه رایانهها نسبتاً ایستا هستند اما استفاده از سرویسهای ابری، ماهیت پویاتری داشته و مهاجمان نیز همیشه به دنبال سیستمهای ضعیفی هستند که به راحتی بتوانند از آنها سوءاستفاده نمایند».
او معتقد است استفاده از فناوری ابر، فرصتهای جدیدی را در اختیار مجرمان قرار می دهد. وی گفته: «وقتی یک توسعهدهنده، ساعت 3 نیمه شب کد خاصی را برای آزمون و ارزیابی یک خوشه کوبرنتیز باز میکند ممکن است این اقدام، مسیری را برای نفوذ وسیعتر فراهم نماید. مهاجمان می توانند این آسیبپذیری را با پویش پیوسته، شناسایی کرده و از آن سوءاستفاده نمایند». بنا بر گفته های Moolchandani: «راهکارهای خودکارسازی نفوذ نیز همواره قویتر میشوند». او میگوید: «پویشی که توسط مهاجمان در سیستمها صورت میگیرد علاوه بر اینکه آسیبپذیریها را به آنها گزارش میدهد، گزارش و خبر اجرای موفقیتآمیز حمله را هم برای اجراکننده آن میفرستد».
Chris Clements مسئول معماری راهکارهای شرکت Cerberus Sentinel میگوید: «انتظار میرود در سالهای پیش رو عوامل باجافزارها از ثروتی که به دست آوردهاند برای سرمایهگذاری در حوزه تحقیق و توسعه و بهرهبرداری از آسیبپذیریهای روز صفر استفاده کنند». او بیان کرده: «من انتظار دارم این گروهها با استفاده از ثروت انبوهی که از طریق اخاذی به دست آوردهاند به خرید یا طراحی اکسپلویتهای روز صفر بپردازند تا امکان دسترسی اولیه به شبکههای قربانیانشان را به دست آورند. به این ترتیب آنها مطمئن میشوند حتی با وجود بهبود راهکارهای دفاع در برابر حملات فیشینگ و محیط سازمان همچنان می توانند به سازمانها نفوذ کنند».
رشد و توسعه فنون اخاذی (TTP[3])
در اواخر سال 2019 و اوایل 2020 میلادی، گروه باجافزاری Maze با تهدید سازمانها به انتشار اطلاعات محرمانهشان، رویکرد جدیدی را در این حوزه آغاز کرد. مثلاً در ماه می سال 2020 یکی از پیمانکاران ارتش آمریکا که در نگهداری و مراقبت از زرّادخانه هستهای Minuteman III این کشور نقش مهمی دارد، مورد هدف حمله باجافزار Maze قرار گرفت. مهاجمان، این پیمانکار را تهدید کردند که داده های حساس این سازمان از جمله اطلاعات کارمندان و ایمیلها را که ممکن بود حاوی دادههای طبقهبندی شده نظامی باشد، در اینترنت منتشر میکنند.
یکی از کارمندان امنیتی شرکت KnowBe4 به نام “Roger Grimes” میگوید: «گروههای باجافزاری در این حمله متوجه شدند دسترسیهای مدیریتی معمولاً به آنها کمک میکند تقریباً هر آنچه را که میخواهند بر روی شبکهها و سیستمهای قربانی انجام دهند. این اختیارات شامل استخراج دادههای مهم و محرمانه از شبکه و تهدید به انتشار آنها در صورت عدم پرداخت باج است». در این روش، هکرها پس از دسترسی به سیستمهای یک سازمان اطلاعات کارمندان، مشتریان و کسبوکار قربانیان را سرقت کرده و آنها را تهدید به انتشار این اطلاعات میکنند. مجرمان معمولاً این اطلاعات را در وبسایتهایی منتشر میکنند که توسط خودشان راهاندازی شده است.
Grimes میگوید: «تا اواخر سال 2020 میلادی بیش از 50 درصد از مهاجمان از این روش برای اجرای حملات باجافزاری خود استفاده نموده اند. پیشبینی میشود این رقم در سال 2021 به بیش از 80 درصد نیز برسد». یکی از رویکردهای نوظهور اخاذی در سال 2020، پیشرفت مهاجمان در زمینه فعالیتهای پس از اخاذی و هدفگیری افراد، مشتریان یا کارمندان سازمان قربانی در صورت به دست آوردن اطلاعات حساس آنها است. مثلاً در حملهای که در 2020 میلادی بر ضد شرکت Blackbaud (که در حوزه رایانش ابری فعالیت دارد) رخ داد، مهاجمان سایبری اطلاعات بیش از 200 مشتری این شرکت را سرقت کرده و از آنها برای اجرای حملات بعدی شان استفاده نمودند.
یکی از کارشناسان امنیتی شرکت Positive Technologies به نام “Yurakova” میگوید: «عوامل حملات باجافزاری علاوه بر سرقت اطلاعات میتوانند شرکتها را تهدید کنند که از دادههای به دست آمده در حمله بر ضد مشتریان یا شرکتهای همکار آنها استفاده خواهند کرد». به عنوان مثال در حملهای که بر ضد شرکت Blackbound رخ داد، علاوه بر خود شرکت، مشتریان آن هم تحت تأثیر این حمله قرار گرفتند». بر اساس گزارشها این حمله بیش از 55983 نفر را تحت تأثیر قرار داده است.
کارشناسان امنیتی معتقدند که در آینده از روشهای بیشتر و حرفهای تری برای ایجاد رعب و وحشت در قربانیان استفاده میشود. آنها پیشبینی میکنند مهاجمان، مالکیت معنوی یا اسرار تجاری سازمانها را هدف گرفته تا آنها را به شرکتهای رقیبشان فروخته یا با اجرای عملیات هماهنگ شده و طراحی اطلاعات کذبی که به ظاهر از سمت منابع معتبر منتشر شدهاند، بر روی سهام آنها تأثیرگذار باشند.
محققان هشدار میدهند احتمال دارد با توجه به در پیش گرفتن این رویکردهای جدید، به زودی گروههای باجافزاری مبلغی را برای رمزگشایی دادهها و مبلغ دیگری را برای عدم انتشار آنها به صورت جداگانه درخواست کنند. بر اساس گفته های Butcher از مؤسسه امنیتی:Fox-IT یکی از عوامل باجافزار LockBit به قربانی اعلام کرد که برای عدم انتشار یا فروش اطلاعات باید مبلغ اضافهای را پرداخت کند. گروه اجراکننده باجافزار Clop هم گزینهای برای دریافت مبلغ باج اضافه جهت حذف دادههای جمعآوری شده از قربانیان، در وب سایت خودش طراحی کرده است. جای تعجب نیست اگر در آینده نزدیک شاهد حرکت به سمت رویکرد دریافت دو یا چند مبلغ باج باشیم».
یکی دیگر از روشهای مورد استفاده مهاجمان، تهدید قربانیان به اجرای حملات محرومسازی از سرویس (DoS) است. بنابراین حتی در صورت پاکسازی باجافزار از روی سیستمها، سازمانها همچنان در معرض خطر اختلال عملیاتی قرار دارند. طبق گفته Butcher: «اگرچه تهدید به اجرای حمله محرومسازی از سرویس توزیع شده (DDoS) پس از رمزنگاری دادهها رو به افزایش است اما در حال حاضر فقط شاهد استفاده از آن توسط گروه SunCrypt بر ضد شرکتهای کوچک هستیم. پس از انجام بررسیها و تحقیقات، هنوز نمونهای از به کار بردن این راهکار توسط سایر گروهها مشاهده نشده است».
با این وجود، یکی از نمایندگان گروه باجافزاری REvil در سال 2020 در مصاحبه با یکی از رسانههای روسی اعلام کرد که این ایده را تحسین میکند. او گفت: «در نهایت شاهد حرکت به سمت افشای اطلاعات به جای قفل نمودن آنها خواهیم بود. من به شخصه این ایده را میپسندم. تهدید به اجرای حمله محرومسازی از سرویس بر ضد سازمان و زیرساختهای آن در ترکیب با قفل کردن فایلها و تهدید به انتشار آنها فشار زیادی را بر روی شرکتها ایجاد میکند. گروه ما هم تمایل به استفاده از چنین مدلی داشته و به آن فکر میکند»!
روشهای جدید برای شناسایی قربانیان
در سال 2020 میلادی گروههای باجافزاری به سمت اجرای حملات، آن هم با هدفمندی بیشتر و هدف گرفتن سازمانهای بزرگتر حرکت نموده و از رویکردهای نوین برای شناسایی قربانیان احتمالی خود استفاده کردند. مثلاً آنها حوزههایی را مورد هدف قرار دادند که آسیبپذیریهای امنیتی شناخته شدهای دارند؛ مثل مراکز درمانی و مراقبت های بهداشتی.
در سال 2021 مجرمان همچنان به جستجوی آسیبپذیریهای شناخته شده در محیط سازمانها به خصوص در صنایع سودآوری که ضعفهای امنیتی آشکاری دارند یا از کار افتادگی برای آنها قابل تحمل نیست، ادامه خواهند داد. بنا بر گفته های Yurakova از شرکت Positive Technologies: «بر اساس گزارش های آزمون نفوذپذیری که در مؤسسههای مالی انجام شده، سطح حفاظتی این مؤسسه ها پایین است. مهاجمان همچنین از بین هر 8 شرکت میتوانند از طریق اینترنت به شبکه داخلی 7 شرکت نفوذ کنند. بنابراین حملات باجافزاری بر ضد سازمان ها در سال 2021 افزایش خواهد یافت».
او میگوید مهاجمان احتمالاً شرکتهای صنعتی را هم به اهدافشان افزوده و سود زیادی از این راه کسب خواهند کرد. مثلاً WestRock که دومین شرکت بزرگ بستهبندی در آمریکا است و برای تعدادی از سازمانهای مشهور و مهم مثل جنرال موتورز و هاینز خدمات بستهبندی محصول ارایه میدهد، به تازگی حملهای را تجربه کرد که پیامدهای مخربی بر روی سیستمهای فناوری عملیاتی (OT) این شرکت که برای مدیریت، نظارت و کنترل بر عملیات های صنعتی استفاده میشود، داشته است. در نهایت پس از گذشت چند هفته، تشکیلات تولیدی این شرکت در سطح جهان بازیابی شدند.
مهاجمان با اجرای چنین عملیاتهایی مخاطرات بیشتری را برای سازمانها ایجاد کرده و باج بیشتری درخواست میکنند. Yurakiva میگوید: «در بعضی از این حملات باجافزاری مهاجمان دهها میلیون دلار سود کرده و هر چه شرکتهای بیشتری قربانی شوند، هکرها نیز انگیزه بیشتری برای حمله پیدا میکنند».
Niamh Muldoon مدیر ارشد امنیت و اعتماد شرکت OneLogin گفته: «با توجه به شرایط فعلی بازار و وضعیت اقتصادی حاکم بر سطح جهان، مجرمان سعی خواهند کرد با حرکت به سمت سطوح بالاتر، بازار درآمدشان را به حداکثر برسانند». او گفته که احتمالاً در سال 2021 شاهد همکاری افراد و گروههای مجرمانه برای به حداکثر رساندن سرمایهگذاری صورت گرفته بر روی حملاتشان خواهیم بود. این کار ممکن است با هدف گرفتن افراد مهم یا سازمانهای بزرگ صورت گیرد.
هوای ابری با احتمال زیادِ بارش باجافزار
با رشد و توسعه راهبردهای دورکاری و تحول دیجیتال، عوامل باجافزارها هم متوجه سودآوری هر چه بیشتر حمله بر ضد منابع ابری شدهاند. انتظار میرود در سال جاری شاهد گسترش این روند توسط مهاجمان باشیم.
Moolchandani میگوید: «یکی از مبتکرانهترین حملاتی که در سال 2021 اجرا خواهد شد، حملات «چاله آبی» است که برای محیطهای ابری طراحی شدهاند. دلیل این حرکت، رشد سریع استفاده از فناوریهای ابری میباشد که ماهیت غیرقابل تغییر و زودگذری دارند. توسعه پیوسته فناوریهای مخصوص ابر مثل مخازن ابری، نیازمند زیرساختهای مناسب زنجیره تأمین از جمله قابلیت ثبات و اعتماد مخازن از سمت سازمانهایی مثل آمازون، داکر و گوگل دارد».
بنابراین یکی از روشهای قابل استفاده برای حمله، آلودهسازی تصاویر مخزن است که از جمله روشهای مبتنی بر زنجیره تأمین برای نفوذ به کل خوشه کوبرنتیز یک سازمان میباشد. Michael Vieth مشاور ارشد امنیت برنامههای کاربردی شرکت nVisium در این باره میگوید: «تصویرهای مخازن، کد برنامههای کاربردی و وابستگیهای لازم برای اجرای برنامههای کاربردی را در خود دارند. این تصاویر معمولاً در محلی متمرکز مثل قطب داکر ذخیره میشوند. ابزارهای هماهنگکننده مخازن مثل کوبرنتیز این تصاویر را از مخازنی مثل قطب داکر استخراج میکنند. در نتیجه اگر مهاجمی بتواند با موفقیت تصاویر محبوب (مثل اوبونتو یا وردپرس) را آلوده کند، امکان پیادهسازی باجافزار را در تصاویر سالم و عادی خواهد داشت».
بر اساس گزارشی که توسط Docker Hub در سال 2019 منتشر شد، مهاجمان به بیش از 190 هزار حساب کاربری نفوذ کردهاند. جمعآوری نام کاربری و کلمه عبور این حسابهای کاربری به مهاجمان امکان میدهد تصاویر داکر تحت مدیریت آنها را دستکاری نموده و بتوانند بهروزرسانیهای جدیدی را که شامل باجافزارها هستند برای این تصاویر منتشر کنند. هنگامی که کاربران این تصاویر جدید را دریافت کرده و بر روی میزبانهای خودشان اجرا کنند، باجافزار را به محیط خودشان وارد نمودهاند.
بر اساس گفته های Moolchandani :«حتی تصور آلودگی یک خوشه کوبرنتیز به باجافزار هم چندان خوشایند نیست. اگر به مدیریت پیکربندی و امنیت آنها توجهی نشود ممکن است شاهد پیامدهای فاجعه باری باشیم. از آنجا که مهاجمان به دنبال هر گونه منبع ناامن و ارزشمندی هستند به زودی این روش محبوبیت زیادی پیدا خواهد کرد».
عوامل باجافزارها با استفاده از روشهای مختلف مثل تغییر کد، رویکردهای اخاذی جدید، روشهای تازه برای شناسایی قربانیان و سوءاستفاده از فناوری ابر، همواره در حال پیشرفت و ارتقای قابلیتهای خودشان هستند. Moolchandani میگوید: «جرایم سایبری، دیگر یک کسبوکار محسوب میشوند و باجافزار جزو مواردی است که بازگشت سرمایه بسیار زیادی به همراه دارد».
[1] Ransomware-as-a-Service
[2] محققان امنیت سایبری و تحلیلگران بدافزار برای آزمایش نرمافزارهای مخرب که ممکن است به سیستمهایشان آسیب وارد کنند و همچنین تحلیل بهتر عملکرد آنها از سندباکس استفاده میکنند.
[3] Cechniques, Tactics and Procedures