خبرمقالات

ناگفته هایی از دنیای اقتصاد زیرزمینی باج‌افزارها

باج‌افزارها دیگر صرفاً یک نوع بدافزار نیستند بلکه تبدیل به محور اصلی اقتصاد زیرزمینی رو به رونق و پیچیده‌ای شده اند که تقریباً همه ویژگی‌های تجارت عادی و سالم را دارد. این اقتصاد به جامعه‌ای متشکل از توسعه‌دهندگان بدافزارها، افراد و نهادهای وابسته و همکار و همچنین اشخاصی که خدماتی همچون فروش قابلیت دسترسی به شبکه را ارایه می‌دهند، تبدیل شده است. حتی گردانندگان این محیط‌ها شعبه‌های عمومی دارند که همواره در حال ارایه محصول و توسعه برند آنها بوده و حتی بخشی را هم برای پشتیبانی از مشتریان خود در نظر گرفته‌اند!

عوامل باج‌افزارها معمولاً با افراد یا نهادهایی همکاری دارند که محصولاتی موسوم به «باج‌افزار به عنوان سرویس (RaaS[۱])» به آنها ارایه می‌کنند. این همکاران را می‌توان شرکای کانالی[۲] در نظر گرفت که مسئول توزیع بدافزار در بین قربانیان نهایی هستند. این افراد و نهادها عموماً ۶۰ الی ۸۰ درصد از مبلغ باج را دریافت می‌کنند و مابقی به گردانندگان این تشکیلات و تولیدکنندگان چنین محصولاتی تعلق می‌گیرد.

بنابر آنچه کارشناسان طرح Intel 471 می‌گویند: «گروه‌هایی که باج‌افزارها را به عنوان سرویس ارایه می‌دهند، همانند کسب‌وکارهای معتبر و عادی کار می‌کنند. آنها هم بخش پشتیبانی فناوری اطلاعات و پشتیبانی مشتری داشته و هم اینکه هر آنچه را که می‌توانند برای ارتقای شهرت و برندشان انجام می‌دهند. از این رو محبوب‌ترین گزینه‌ها در بین این گروه‌ها مواردی هستند که بهترین دستاوردها را داشته و به خوبی به پرسش‌های مشتریان مجرم شان پاسخ می‌دهند».

رونق گرفتن طرح‌های همکاری باج‌افزاری

گزینه‌های موجود برای RaaS معمولاً با دقت بررسی و انتخاب می‌شوند و بعضی از مجرمان مثل [۳]NetWalker نسبت به سایرین، الزامات قوی‌تری در این خصوص دارند. بر اساس گفته های محققان Intel 471: «گروه‌های باج‌افزاری مشهور و شناخته شده، سختگیر و سخت پسند هستند. یکی از مهمترین الزامات مدنظر آنها برای انتخاب طرح‌های RaaS این است که چنین طرح‌هایی قابلیت‌هایشان را برای دسترسی به منابع سازمانی ارزشمند نشان داده باشند».

چنین ابزارهایی معمولاً شامل همکاری با یک بات نت سرقت اطلاعات، قابلیت اجرای حملات جستجوی فراگیر، امکان بررسی حساب های کاربری یا اجرای حملات هدفمند هستند. این محققان همچنین می‌گویند: «تجربه نفوذ به شبکه و گسترش آلودگی آن معمولاً جزو قابلیت‌های مطلوب محسوب می‌شود. پیشرفت در زمینه توسعه و قابلیت مدیریت باج‌افزار هم جزو امتیازات مثبت به حساب می‌آید».

عوامل باج‌افزار MedusaLocker در فراخوان جذب نیرویی که در سال ۲۰۲۰ میلادی منتشر کردند، الزامات مورد نظرشان برای استخدام همکاران جدید را چنین بیان کرده اند:

  • تجربه عملی اجرای باج‌افزار
  • قابلیت استفاده از شبیه‌ساز تهدید Cobalt Strike
  • قابلیت ارتقای سطح دسترسی
  • دانش کار با سیستم‌های پشتیبان‌گیری
  • درک OPSEC[۴]

ارایه‌دهندگان خدمات باج‌افزاری معمولاً مهارت‌های‌شان را در قالب یک رزومه بیان کرده و اغلب از آنها درخواست می‌شود که در یک دوره آزمایشی، حمله ای واقعی را اجرا نموده و باج‌افزار نصب کنند. لازم به ذکر است همه داوطلبان استخدام باید در فرایند مصاحبه شرکت نمایند.

این وسواس و دقت، با هدف دستیابی به بالاترین میزان سود و درآمد انجام می‌شود. مهاجمان موفق معمولاً هفته‌ها بررسی و تحقیق انجام می‌دهند تا درباره وضعیت اقتصادی و شغلی اهداف‌شان اطلاعات کسب نموده و مبلغ مناسب باج را مشخص کنند. آنها برای دستیابی به این هدف باید مهارت‌های لازم را داشته باشند.

بر اساس اظهارات محققان Intel 471: «ارایه‌دهندگان باج‌افزارها هفته‌ها یا ماه‌ها سیستم‌های سازمانی را زیرنظر داشته و سعی می‌کنند برای موفقیت حملات‌شان، بیشترین اطلاعات ممکن را جمع آوری کنند. هر چه اطلاعات مهاجمان درباره کسب‌وکار هدف بیشتر باشد آنها بهتر می‌توانند مبلغ مناسب برای باج را تخمین بزنند. این مبلغ نباید به اندازه‌ای بالا باشد که توسط قربانیان رد شود».

بعضی از این گروه‌ها برای پیشگیری از نفوذ نهادهای قانونی غربی یا محققان امنیت سایبری به تیم های خودشان موارد احتیاطی خاصی را از جمله نیاز به معرفی از سمت همکاران قبلی، نیاز به انجام اقدامات خاص که فقط توسط روس زبان‌ها یا افراد آشنا به فرهنگ روسی و کشورهای اتحاد جماهیر شوروی سابق قابل انجام است، در نظر می‌گیرند.

مثلاً عوامل باج‌افزار REvil در مطلبی که در سال ۲۰۲۰ منتشر کردند، گفته اند: «در FBI و سایر سرویس‌های تخصصی، اشخاصی هستند که زبان روسی را بی نقص و دقیق صحبت می‌کنند اما بدون شک سطح زبان آنها در سطح افراد محلی این کشور نیست. سعی کنید با پرسیدن سؤالاتی درباره تاریخ اوکراین، بلاروس، قزاقستان یا روسیه که امکان جستجوی آنها در گوگل وجود ندارد، همچنین ضرب المثل‌ها و عبارت‌های خاص این مناطق هویت واقعی این افراد را بررسی کنید».

در دنیای زیرزمینی مهاجمان سایبری، شیوه عملکرد همه گروه‌ها مشابه هم نیست. رقابت در این حوزه بستگی به مواردی همچون حق کمیسیون و مزد دریافتی، سرعت پرداخت آن، سرعت و کیفیت رمزنگاری توسط باج‌افزار و سازوکارهای اخاذی ارایه شده دارد (مثل استخراج داده‌های حساس و گروگان گرفتن آنها) که انگیزه پرداخت باج را در قربانیان ایجاد کند.

Dmitry Bestuzhev مدیر مرکز تحقیقات شرکت کسپرسکی می‌گوید: «هر گروه، رویکرد خاص خودش را دارد. گروه‌هایی که حدود ۸۰ درصد از کمیسیون را به همکارشان پرداخت می‌کنند معمولاً مورد توجه بیشتری توسط مجرمان قرار می‌گیرند. بعضی از آنها سیستم پرداخت خودکار پیاده‌سازی می‌کنند تا در آن وجه پرداخت شده توسط قربانی به صورت خودکار تقسیم شده و بین دو گروه همکار توزیع شود. یک فرایند انتقال رمز ارز مثل مونرو هم وجود دارد که قابلیت آن برای ناشناس نگهداشتن کاربران، نسبت به بیت‌کوین بیشتر است».

سرویس‌های زیست بومی باج‌افزار

بعضی از مجرمان سایبری که در انجمن‌های زیرزمینی فعالیت می کنند، قابلیت دسترسی به سازمان‌های هک شده مختلف را تبلیغ کرده و در سریع‌ترین زمان ممکن سعی می‌کنند این قابلیت را به شخصی که بالاترین پیشنهاد را ارایه می‌دهد، بفروشند. همچنین ممکن است با یک همکار، قرارداد بسته تا در سود حاصل از این اقدام شریک شوند. برای مثال این افراد بدافزارهای سرقت اطلاعات، گزارش شرکت‌های آسیب‌پذیر یا اعتبارنامه‌های دیجیتال سرقت شده را به فروش می‌گذارند.

محققان Intel 471 می گویند: «این همکاری‌ها منجر به رونق یک بازار زیرزمینی شده‌ که در آن امکان دسترسی به شبکه‌های سازمانی، آن هم با رقم های بالا به صورت مستقیم یا از طریق همکاری به فروش می‌رسد». علاوه بر این از آنجا که قیمت باج متفاوت بوده و برای هر قربانی به صورت مجزا محاسبه می‌شود بنابراین گردانندگان باج‌افزارها متکی به تحلیل‌های اقتصادی هستند.

Bestuzhev می‌گوید: «وقتی داده‌ها سرقت شدند، مجرمان سعی می‌کنند ماهیت کسب‌وکار مدنظر، میزان سود آن و سایر اطلاعات مربوطه را جمع‌آوری کنند. این اقدام با هدف تشخیص بالاترین هزینه قابل دریافت که کمتر از هزینه بازیابی سیستم‌ها باشد انجام می‌شود. گاهی وقت ها در این فرایند جریمه‌های نقض قانون HIPAA و سایر قوانین مربوطه هم در نظر گرفته می‌شود».

ردیابی پول

بیشتر پرداخت‌های باج‌افزارها در قالب رمز ارز و بیت‌کوین انجام می شود. کارشناسان Intel 471 در این خصوص می گویند: «پس از اینکه پرداخت پول به کیف پول دیجیتال مهاجم انجام شد، این پول معمولاً بین کیف پول‌های مختلف توزیع می‌شود تا احتمال ردیابی آن کاهش یابد. بخشی از این پول صرف رفع نیازهای عملیاتی خود گروه (توسعه‌دهندگان باج‌افزار، تأمین زیرساخت و غیره) می‌شود و مابقی نیز بین سرویس‌های پرداخت زیرزمینی مختلف توزیع می‌گردد».

Ivan Kwiatkowski محقق ارشد امنیت شرکت کسپرسکی می‌گوید: «تخمین زدن مخارج کلی همکاران ارایه‌دهنده باج‌افزار سخت است اما با یک ارزیابی کلی می‌توان سود تقریبی حملات باج‌افزاری را تخمین زد».

بنابر گفته او: «اگر مبلغ کل باج ۱۰ میلیون دلار باشد، هر یک از طرفین حدود ۵ میلیون دلار دریافت می‌کند. در واقع این مبلغی است که پس از خرید دسترسی به شبکه‌های قربانی یا استفاده از آلودگی‌های بات نت (حدود ۱۰۰ هزار دلار) باقی می‌ماند. همچنین باید سهم توسعه‌دهندگان باج‌افزار که ممکن است تا حدود ۴۰ درصد باشد و پولشویی بیت‌کوین که حدود ۱۰ درصد از این مبلغ است را هم در نظر گرفت.

Bestuzhev تخمین می‌زند که یک گروه فعال می‌تواند سالانه صدها میلیون دلار درآمد داشته باشد.

نکاتی در خصوص داده‌ها

مهاجمان سایبری همواره بیش از پیش از روش اخاذی دوگانه استفاده می‌کنند. آنها قربانی را تهدید می‌کنند که در صورت خودداری از پرداخت باج، داده‌های سرقت شده را حراج خواهند کرد. آنها معمولاً وبلاگ‌هایی راه‌اندازی نموده و داده‌های جمع‌آوری شده از قربانیانی که باج را پرداخت نکرده‌اند، در آنها منتشر می‌کنند.

Bryan Oliver تحلیلگر امنیت سایبری می‌گوید: «در حال حاضر شواهد کمی وجود دارد که ثابت کند این ویژگی بخشی از واقعیت امروز صحنه باج‌افزار است». او می‌گوید: «باج‌افزارهای Conti و Egregor قربانیان بسیار زیادی داشتند و سعی می‌کردند به محض حمله به یک قربانی جدید او را تهدید به افشای اطلاعاتش کنند. در حال حاضر هیچ گونه شواهدی مبنی بر اینکه این گروه‌ها واقعاً این داده‌ها را فروخته باشند، وجود ندارد. به احتمال زیاد آنها این کار را با هدف ایجاد فشار بر قربانیانی انجام می‌دهند که داده‌های‌شان را در اختیار دارند».

یکی از نمونه‌های مشهور در این زمینه، هک شرکت CD Projekt Red بود که مهاجمان سایبری به وعده خودشان مبنی بر فروش داده‌های این شرکت عمل کردند. آنها در فوریه ۲۰۲۱، کد منبع بازی Cyberpunk 2077 و یک نسخه منتشر نشده از Witcher 3 را در انجمن روسی زیرزمینی Exploit به فروش گذاشتند که چند روز بعد هم فروخته شد. محققان سایبری وجود این حراج را تأیید کردند؛ البته آنها نتوانستند مبلغ فروش آن را تخمین بزنند اما مبلغ شروع مزایده ۱ میلیون دلار بود.

گروه دیگری به اسم REvil هم داده‌های سرقت شده از یک شرکت را در وبلاگ خود به حراج گذاشت. Oliver می گوید: «با این وجود هنوز مشاهده نکرده ایم که این گروه توانسته باشد اطلاعات حاصل از نفوذ را با موفقیت فروخته باشد. در صفحه فروش این موارد هنوز عبارت فروخته نشده به چشم می‌خورد». با توجه به اینکه معمولاً این گروه پس از فروش هر مجموعه داده‌ای آن را برای عموم و دسترسی رایگان منتشر می‌کند، احتمالاً این نتیجه‌گیری درست است.

REvil ادعا کرده که یک نهاد خصوصی داده‌های به سرقت رفته درباره دونالد ترامپ را از آنها خریداری کرده است. این داده‌ها از شرکت حقوقی Grubman Shire Meiselas & Sacks به دست آمده که با چهره‌های سرشناس همکاری می‌کند. مدیر این گروه می‌گوید: «افراد علاقمند با ما تماس گرفته و موافقت کردند که تمام داده‌هایی که درباره رئیس جمهور آمریکا در اختیار داریم را خریداری کنند. این داده‌ها در کل دوره فعالیت ما جمع‌آوری شده بودند. ما از این همکاری خوشحالیم و به تلاش مان ادامه خواهیم داد».

البته هیچ شواهدی برای تأیید این ادعا وجود ندارد. بنا بر گفته Oliver: «باید به این ادعاها مشکوک باشیم. اصولاً چه فروش داده‌ها از طریق فضای مجازی با موفقیت انجام شده و چه نشده باشد، به نظر نمی‌رسد که این روش‌ جزو روش‌های پرکاربرد برای ارتقای سود مجرمان سایبری باشد».

 

[۱] Ransomware-as-a-Service

[۲] شریک کانال، شرکتی است که برای تولید و فروش محصولات، خدمات یا فناوری‌های یک شرکت تولیدی با آن شریک است.

[۳] خانواده‌ای از باج‌افزارها

[۴] امنیت عملیات

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

سه × دو =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.