گرایش‌های نوظهور باج‌افزاری و تهدیداتی که در آینده رقم خواهند خورد!

این روزها گروه‌های هکری طراح باج‌افزارها عملکرد نسبتاً خوبی داشته و حملات موفق زیادی را بر ضد شرکت ها و اشخاص اجرا می‌کنند. مهاجمان سایبری همواره در جستجوی روش‌ها و راهکارهای جدید هستند تا با اجرای آنها به سود بیشتری دست یابند. مثلاً در فوریه 2021 میلادی شرکت سی‌دی پروجکت (CD Project) که طراحی بازی‌های ویدیویی مختلف از جمله سایبرپانک 2077 (Cyberpunk 2077) و سری بازی‌های پرطرفدار ویچر (The Witcher) را انجام داده، مورد هدف یک حمله باج‌افزاری قرار گرفت. عوامل این حمله می دانستند خود باج‌افزار برای این شرکت مشکل چندانی ایجاد نمی‌کند چون نسخه‌های پشتیبان لازم را برای مقابله سریع‌ با حملات باج‌افزاری دارد. موضوع نگران‌کننده برای سی‌دی پروجکت، تهدید مهاجمان مبنی بر انتشار اطلاعات سرقتی توسط آنها از جمله کد منبع بازی‌ها در فضای مجازی بود!

اخاذی از طریق داده‌های سرقت شده به جای گروگان گرفتن منابع رایانشی توسط مهاجمان، نقطه عطف مهمی در تغییر رویکرد آنها محسوب شده و نشان‌دهنده آن است که این افراد، همواره در حال نوآوری در روش‌های خود هستند.

افزایش حملات باج‌افزاری

بر اساس گزارش‌های شرکت Positive Technologies، در سه ماهه سوم سال 2020 تعداد حملات باج‌افزاری بی‌سابقه بوده و بیش از نیمی از کل حملات بدافزاری این دوره را به خود اختصاص داده است. نتایج تحقیقاتی که توسط شرکت Check Point انجام شده نشان می‌دهد میانگین تعداد روزانه حملات باج‌افزاری در سه ماهه سوم سال 2020 در مقایسه با شش ماه قبل از آن، 50 درصد افزایش یافته است. باج‌افزار Ryuk نیز در هر هفته به تنهایی به 20 سازمان حمله کرده است.

داده‌های گزارش مقاومت باج‌افزاری شرکت NinjaRMM بیانگر آن است که حدود 35 درصد از سازمان‌های مورد بررسی و مطالعه قرار گرفته به علت رخدادهای باج‌افزاری مستلزم پرداخت خسارت‌های میلیون دلاری شده‌اند.

بنابراین با توجه به میزان سودآوری بالای این حملات برای مهاجمان، محققان امنیتی پیش‌بینی می‌کنند در سال 2021 میلادی موج این حملات هم از سمت عوامل طراح بدافزارها و هم از سمت ارایه‌دهندگان «باج‌افزار به عنوان سرویس (RaaS[1])» که در ازای دریافت درصدی از مبلغ باج، ابزارهای باج‌افزاری را در اختیار سایر مهاجمان قرار می‌دهند، افزایش یابد. لازم به ذکر است با رشد حملات باج‌افزاری گرایش‌های جدیدی نیز به وجود خواهد آمد. استفاده از روش‌های نوین برای اخاذی و انتخاب قربانی و همچنین حمله بر ضد منابع سرویس‌های ابری مثل کوبرنتیز و داکر و نیز تغییر کدها نمونه‌ای از این گرایش‌های نوظهور هستند.

بر اساس گفته‌های یکی از محققان حوزه تهدیدات سایبری: «در سال 2020 یکی از مهمترین روش‌های اجرای حملات سایبری، عملیات های باج‌افزاری بودند و روزانه انواع جدیدی از نوآوری‌ها و گروه‌های تازه ای از مهاجمان سایبری در این حوزه به وجود می‌آمدند».

ایجاد تغییرات در کد باج‌افزارها

گروه‌های باج‌افزاری همواره ترفندهای فنی جدیدی را به مجموعه ابزارهایشان اضافه می کنند. برای مثال آنها از راهکارهایی استفاده می‌کنند تا توسط کارشناسان و تیم‌های امنیتی شناسایی نشوند. بر اساس گفته‌ های یک تحلیلگر امنیتی: «باج‌افزارهایی مانند Maze و Snake از فنون تشخیص سندباکس[2] (Sandbox) و دور زدن آن جهت مخفی نمودن حضورشان از دید ابزارهای امنیتی که برای بررسی رفتار فایل در چنین محیط‌هایی طراحی شده‌اند، استفاده می‌کنند. انتظار می‌رود چنین عملکردهایی در کد باج‌افزارها افزایش یابد».

Hristo Butcher مدیر بخش هوش تهدید شرکت Fox-IT در این خصوص می‌گوید: «علاوه بر تلاش برای جلوگیری از امکان شناسایی، گروه‌های باج‌افزاری به دنبال روش‌هایی برای افزایش تعداد اهداف و قربانیان‌شان هستند. از این رو آنها سعی می‌کنند علاوه بر سیستم عامل ویندوز، سایر سیستم عامل ها را هم مورد هدف حملات خود قرار دهند».

او می‌گوید: «در حال حاضر گروه‌های باج‌افزاری معمولاً سیستم‌ عامل ویندوز را مورد هدف قرار می‌دهند. از طرف دیگر چون اغلب سازمان‌ها از سیستم‌ عامل یونیکس استفاده می‌کنند، انتظار می‌رود مجرمان سایبری هم مثل مهاجمان دولتی، درهای پشتی را به صورت چندسیستم عاملی طراحی کنند. مثلاً گروه Darkside حرکت به سمت استفاده از روش چندسیستم عاملی را آغاز نموده و بسیاری از ارایه‌دهندگان باج‌افزار به عنوان سرویس، پی لودهای لینوکس را هم به خدمات‌شان اضافه کرده‌اند».

Om Moolchandani بنیانگذار، مدیر ارشد فناوری اطلاعات و مدیر ارشد امنیت اطلاعات شرکت Accurics معتقد است باج‌افزارهای امروزی مجهز به قابلیت‌های جستجوی بی‌وقفه جهت شناسایی اهداف آسیب‌پذیر در محیط‌های ابری و روش‌های خودکار برای انتشار کرم‌های رایانه‌ای در شبکه شده اند. او گفته: «اگرچه رایانه‌ها نسبتاً ایستا هستند اما استفاده از سرویس‌های ابری، ماهیت پویاتری داشته و مهاجمان نیز همیشه به دنبال سیستم‌های ضعیفی هستند که به راحتی بتوانند از آنها سوءاستفاده نمایند».

او معتقد است استفاده از فناوری ابر، فرصت‌های جدیدی را در اختیار مجرمان قرار می دهد. وی گفته: «وقتی یک توسعه‌دهنده، ساعت 3 نیمه شب کد خاصی را برای آزمون و ارزیابی یک خوشه کوبرنتیز باز می‌کند ممکن است این اقدام، مسیری را برای نفوذ وسیع‌تر فراهم نماید. مهاجمان می توانند این آسیب‌پذیری را با پویش پیوسته، شناسایی کرده و از آن سوءاستفاده نمایند». بنا بر گفته های Moolchandani: «راهکارهای خودکارسازی نفوذ نیز همواره قوی‌تر می‌شوند». او می‌گوید: «پویشی که توسط مهاجمان در سیستم‌ها صورت می‌گیرد علاوه بر اینکه آسیب‌پذیری‌ها را به آنها گزارش می‌دهد، گزارش و خبر اجرای موفقیت‌آمیز حمله را هم برای اجراکننده آن می‌فرستد».

Chris Clements مسئول معماری راهکارهای شرکت Cerberus Sentinel می‌گوید: «انتظار می‌رود در سال‌های پیش رو عوامل باج‌افزارها از ثروتی که به دست آورده‌اند برای سرمایه‌گذاری در حوزه تحقیق و توسعه و بهره‌برداری از آسیب‌پذیری‌های روز صفر استفاده کنند». او بیان کرده: «من انتظار دارم این گروه‌ها با استفاده از ثروت انبوهی که از طریق اخاذی به دست آورده‌اند به خرید یا طراحی اکسپلویت‌های روز صفر بپردازند تا امکان دسترسی اولیه به شبکه‌های قربانیان‌شان را به دست آورند. به این ترتیب آنها مطمئن می‌شوند حتی با وجود بهبود راهکارهای دفاع در برابر حملات فیشینگ و محیط سازمان همچنان می توانند به سازمان‌ها نفوذ کنند».

رشد و توسعه فنون اخاذی (TTP[3])

در اواخر سال 2019 و اوایل 2020 میلادی، گروه باج‌افزاری Maze با تهدید سازمان‌ها به انتشار اطلاعات محرمانه‌شان، رویکرد جدیدی را در این حوزه آغاز کرد. مثلاً در ماه می‌ سال 2020 یکی از پیمانکاران ارتش آمریکا که در نگهداری و مراقبت از زرّادخانه هسته‌ای Minuteman III این کشور نقش مهمی دارد، مورد هدف حمله باج‌افزار Maze قرار گرفت. مهاجمان، این پیمانکار را تهدید کردند که داده های حساس این سازمان از جمله اطلاعات کارمندان و ایمیل‌ها را که ممکن بود حاوی داده‌های طبقه‌بندی شده نظامی باشد، در اینترنت منتشر می‌کنند.

یکی از کارمندان امنیتی شرکت KnowBe4 به نام “Roger Grimes” می‌گوید: «گروه‌های باج‌افزاری در این حمله متوجه شدند دسترسی‌های مدیریتی معمولاً به آنها کمک می‌کند تقریباً هر آنچه را که می‌خواهند بر روی شبکه‌ها و سیستم‌های قربانی انجام دهند. این اختیارات شامل استخراج داده‌های مهم و محرمانه از شبکه و تهدید به انتشار آنها در صورت عدم پرداخت باج است». در این روش، هکرها پس از دسترسی به سیستم‌های یک سازمان اطلاعات کارمندان، مشتریان و کسب‌وکار قربانیان را سرقت کرده و آنها را تهدید به انتشار این اطلاعات می‌کنند. مجرمان معمولاً این اطلاعات را در وب‌سایت‌هایی منتشر می‌کنند که توسط خودشان راه‌اندازی شده است.

Grimes می‌گوید: «تا اواخر سال 2020 میلادی بیش از 50 درصد از مهاجمان از این روش برای اجرای حملات باج‌افزاری خود استفاده نموده اند. پیش‌بینی می‌شود این رقم در سال 2021 به بیش از 80 درصد نیز برسد». یکی از رویکردهای نوظهور اخاذی در سال 2020، پیشرفت مهاجمان در زمینه فعالیت‌های پس از اخاذی و هدف‌گیری افراد، مشتریان یا کارمندان سازمان قربانی در صورت به دست آوردن اطلاعات حساس آنها است. مثلاً در حمله‌ای که در 2020 میلادی بر ضد شرکت Blackbaud (که در حوزه رایانش ابری فعالیت دارد) رخ داد، مهاجمان سایبری اطلاعات بیش از 200 مشتری این شرکت را سرقت کرده و از آنها برای اجرای حملات بعدی شان استفاده نمودند.

یکی از کارشناسان امنیتی شرکت Positive Technologies به نام “Yurakova” می‌گوید: «عوامل حملات باج‌افزاری علاوه بر سرقت اطلاعات می‌توانند شرکت‌ها را تهدید کنند که از داده‌های به دست آمده در حمله بر ضد مشتریان یا شرکت‌های همکار آنها استفاده خواهند کرد». به عنوان مثال در حمله‌ای که بر ضد شرکت Blackbound رخ داد، علاوه بر خود شرکت، مشتریان آن هم تحت تأثیر این حمله قرار گرفتند». بر اساس گزارش‌ها این حمله بیش از 55983 نفر را تحت تأثیر قرار داده است.

کارشناسان امنیتی معتقدند که در آینده از روش‌های بیشتر و حرفه‌ای تری برای ایجاد رعب و وحشت در قربانیان استفاده می‌شود. آنها پیش‌بینی می‌کنند مهاجمان، مالکیت معنوی یا اسرار تجاری سازمان‌ها را هدف گرفته تا آنها را به شرکت‌های رقیب‌شان فروخته یا با اجرای عملیات هماهنگ شده و طراحی اطلاعات کذبی که به ظاهر از سمت منابع معتبر منتشر شده‌اند، بر روی سهام آنها تأثیرگذار باشند.

محققان هشدار می‌دهند احتمال دارد با توجه به در پیش گرفتن این رویکردهای جدید، به زودی گروه‌های باج‌افزاری مبلغی را برای رمزگشایی داده‌ها و مبلغ دیگری را برای عدم انتشار آنها به صورت جداگانه درخواست کنند. بر اساس گفته های Butcher از مؤسسه امنیتی:Fox-IT یکی از عوامل باج‌افزار LockBit به قربانی اعلام کرد که برای عدم انتشار یا فروش اطلاعات باید مبلغ اضافه‌ای را پرداخت کند. گروه اجراکننده باج‌افزار Clop هم گزینه‌ای برای دریافت مبلغ باج اضافه جهت حذف داده‌های جمع‌آوری شده از قربانیان، در وب سایت خودش طراحی کرده است. جای تعجب نیست اگر در آینده نزدیک شاهد حرکت به سمت رویکرد دریافت دو یا چند مبلغ باج باشیم».

یکی دیگر از روش‌های مورد استفاده مهاجمان، تهدید قربانیان به اجرای حملات محروم‌سازی از سرویس (DoS) است. بنابراین حتی در صورت پاک‌سازی باج‌افزار از روی سیستم‌ها، سازمان‌ها همچنان در معرض خطر اختلال عملیاتی قرار دارند. طبق گفته Butcher: «اگرچه تهدید به اجرای حمله محروم‌سازی از سرویس توزیع شده (DDoS) پس از رمزنگاری داده‌ها رو به افزایش است اما در حال حاضر فقط شاهد استفاده از آن توسط گروه SunCrypt بر ضد شرکت‌های کوچک هستیم. پس از انجام بررسی‌ها و تحقیقات، هنوز نمونه‌ای از به کار بردن این راهکار توسط سایر گروه‌ها مشاهده نشده است».

با این وجود، یکی از نمایندگان گروه باج‌افزاری REvil در سال 2020 در مصاحبه با یکی از رسانه‌های روسی اعلام کرد که این ایده را تحسین می‌کند. او گفت: «در نهایت شاهد حرکت به سمت افشای اطلاعات به جای قفل نمودن آنها خواهیم بود. من به شخصه این ایده را می‌پسندم. تهدید به اجرای حمله محروم‌سازی از سرویس بر ضد سازمان و زیرساخت‌های آن در ترکیب با قفل کردن فایل‌ها و تهدید به انتشار آنها فشار زیادی را بر روی شرکت‌ها ایجاد می‌کند. گروه ما هم تمایل به استفاده از چنین مدلی داشته و به آن فکر می‌کند»!

روش‌های جدید برای شناسایی قربانیان

در سال 2020 میلادی گروه‌های باج‌افزاری به سمت اجرای حملات، آن هم با هدفمندی بیشتر و هدف گرفتن سازمان‌های بزرگتر حرکت نموده و از رویکردهای نوین برای شناسایی قربانیان احتمالی خود استفاده کردند. مثلاً آنها حوزه‌هایی را مورد هدف قرار دادند که آسیب‌پذیری‌های امنیتی شناخته شده‌ای دارند؛ مثل مراکز درمانی و مراقبت های بهداشتی.

در سال 2021 مجرمان همچنان به جستجوی آسیب‌پذیری‌های شناخته شده در محیط سازمان‌ها به خصوص در صنایع سودآوری که ضعف‌های امنیتی آشکاری دارند یا از کار افتادگی برای آنها قابل تحمل نیست، ادامه خواهند داد. بنا بر گفته های Yurakova از شرکت Positive Technologies: «بر اساس گزارش های آزمون نفوذپذیری که در مؤسسه‌های مالی انجام شده، سطح حفاظتی این مؤسسه ها پایین است. مهاجمان همچنین از بین هر 8 شرکت می‌توانند از طریق اینترنت به شبکه داخلی 7 شرکت نفوذ کنند. بنابراین حملات باج‌افزاری بر ضد سازمان ها در سال 2021 افزایش خواهد یافت».

او می‌گوید مهاجمان احتمالاً شرکت‌های صنعتی را هم به اهداف‌شان افزوده و سود زیادی از این راه کسب خواهند کرد. مثلاً WestRock که دومین شرکت بزرگ بسته‌بندی در آمریکا است و برای تعدادی از سازمان‌های مشهور و مهم مثل جنرال موتورز و هاینز خدمات بسته‌بندی محصول ارایه می‌دهد، به تازگی حمله‌ای را تجربه کرد که پیامدهای مخربی بر روی سیستم‌های فناوری عملیاتی (OT) این شرکت که برای مدیریت، نظارت و کنترل بر عملیات های صنعتی استفاده می‌شود، داشته است. در نهایت پس از گذشت چند هفته، تشکیلات تولیدی این شرکت در سطح جهان بازیابی شدند.

مهاجمان با اجرای چنین عملیات‌هایی مخاطرات بیشتری را برای سازمان‌ها ایجاد کرده و باج بیشتری درخواست می‌کنند. Yurakiva می‌گوید: «در بعضی از این حملات باج‌افزاری مهاجمان ده‌ها میلیون دلار سود کرده‌ و هر چه شرکت‌های بیشتری قربانی شوند، هکرها نیز انگیزه بیشتری برای حمله پیدا می‌کنند».

Niamh Muldoon مدیر ارشد امنیت و اعتماد شرکت OneLogin گفته: «با توجه به شرایط فعلی بازار و وضعیت اقتصادی حاکم بر سطح جهان، مجرمان سعی خواهند کرد با حرکت به سمت سطوح بالاتر، بازار درآمدشان را به حداکثر برسانند». او گفته که احتمالاً در سال 2021 شاهد همکاری افراد و گروه‌های مجرمانه برای به حداکثر رساندن سرمایه‌گذاری صورت گرفته بر روی حملات‌شان خواهیم بود. این کار ممکن است با هدف گرفتن افراد مهم یا سازمان‌های بزرگ صورت گیرد.

هوای ابری با احتمال زیادِ بارش باج‌افزار

با رشد و توسعه راهبردهای دورکاری و تحول دیجیتال، عوامل باج‌افزارها هم متوجه سودآوری هر چه بیشتر حمله بر ضد منابع ابری شده‌اند. انتظار می‌رود در سال جاری شاهد گسترش این روند توسط مهاجمان باشیم.

Moolchandani می‌گوید: «یکی از مبتکرانه‌ترین حملاتی که در سال 2021 اجرا خواهد شد، حملات «چاله آبی» است که برای محیط‌های ابری طراحی شده‌اند. دلیل این حرکت، رشد سریع استفاده از فناوری‌های ابری می‌باشد که ماهیت غیرقابل تغییر و زودگذری دارند. توسعه پیوسته فناوری‌های مخصوص ابر مثل مخازن ابری، نیازمند زیرساخت‌های مناسب زنجیره تأمین از جمله قابلیت ثبات‌ و اعتماد مخازن از سمت سازمان‌هایی مثل آمازون، داکر و گوگل دارد».

بنابراین یکی از روش‌های قابل استفاده برای حمله، آلوده‌سازی تصاویر مخزن است که از جمله روش‌های مبتنی بر زنجیره تأمین برای نفوذ به کل خوشه کوبرنتیز یک سازمان می‌باشد. Michael Vieth مشاور ارشد امنیت برنامه‌های کاربردی شرکت nVisium در این باره می‌گوید: «تصویرهای مخازن، کد برنامه‌های کاربردی و وابستگی‌های لازم برای اجرای برنامه‌های کاربردی را در خود دارند. این تصاویر معمولاً در محلی متمرکز مثل قطب داکر ذخیره می‌شوند. ابزارهای هماهنگ‌کننده مخازن مثل کوبرنتیز این تصاویر را از مخازنی مثل قطب داکر استخراج می‌کنند. در نتیجه اگر مهاجمی بتواند با موفقیت تصاویر محبوب (مثل اوبونتو یا وردپرس) را آلوده کند، امکان پیاده‌سازی باج‌افزار را در تصاویر سالم و عادی خواهد داشت».

بر اساس گزارشی که توسط Docker Hub در سال 2019 منتشر شد، مهاجمان به بیش از 190 هزار حساب کاربری نفوذ کرده‌اند. جمع‌آوری نام کاربری و کلمه عبور این حساب‌های کاربری به مهاجمان امکان می‌دهد تصاویر داکر تحت مدیریت آنها را دستکاری نموده و بتوانند به‌روزرسانی‌های جدیدی را که شامل باج‌افزارها هستند برای این تصاویر منتشر کنند. هنگامی که کاربران این تصاویر جدید را دریافت کرده و بر روی میزبان‌های خودشان اجرا کنند، باج‌افزار را به محیط خودشان وارد نموده‌اند.

بر اساس گفته های Moolchandani :«حتی تصور آلودگی یک خوشه کوبرنتیز به باج‌افزار هم چندان خوشایند نیست. اگر به مدیریت پیکربندی و امنیت آنها توجهی نشود ممکن است شاهد پیامدهای فاجعه باری باشیم. از آنجا که مهاجمان به دنبال هر گونه منبع ناامن و ارزشمندی هستند به زودی این روش محبوبیت زیادی پیدا خواهد کرد».

عوامل باج‌افزارها با استفاده از روش‌های مختلف مثل تغییر کد، رویکردهای اخاذی جدید، روش‌های تازه برای شناسایی قربانیان و سوءاستفاده از فناوری ابر، همواره در حال پیشرفت و ارتقای قابلیت‌های خودشان هستند. Moolchandani می‌گوید: «جرایم سایبری، دیگر یک کسب‌وکار محسوب می‌شوند و باج‌افزار جزو مواردی است که بازگشت سرمایه بسیار زیادی به همراه دارد».

[1] Ransomware-as-a-Service

[2] محققان امنیت سایبری و تحلیلگران بدافزار برای آزمایش نرم‌افزارهای مخرب که ممکن است به سیستم‌هایشان آسیب وارد کنند و همچنین تحلیل بهتر عملکرد آنها از سندباکس استفاده می‌کنند.

[3] Cechniques, Tactics and Procedures