سیر تکامل باج‌افزارها؛ از تروجان ایدز تا اخاذی سه‌‌گانه

این‌ روزها اخبار متعددی درباره‌ی حملات جدید باج‌افزاری می‌شنویم. در ابتدا باج‌ درخواستی تنها به چند صد دلار محدود می‌شد؛ اما امروزه به میلیون‌ها دلار رسیده‌ است؛ اما چطور به نقطه‌ای رسیدیم که داده‌ها و خدمات خود را در ازای باج حفظ کنیم و تنها به خاطر یک حمله، میلیون‌ها دلار پرداخت کنیم؟ آیا می‌توان امیدوار بود که این روند روزی به پایان خواهد رسید؟

اولین باج‌افزار

یکی از دستاوردهای دکتر جوزف ال. پاپ در زمینه‌ی زیست‌شناسی، استفاده از نرم‌افزار کامپیوتری برای تقاضای باج بود. پاپ در دسامبر ۱۹۸۹ با استفاده از پست، نزدیک به ۲۰ هزار فلاپی دیسک را با برچسب «اطلاعات ایدز- دیسک مقدماتی» در میان صدهای مؤسسه‌ی پژوهشی پزشکی ۹۰ کشور جهان منتشر کرد. هر دیسک حاوی پرسشنامه‌ای تعاملی بود که ریسک ابتلا به ایدز را بر اساس پاسخ‌ها ارزیابی می‌کرد. در کنار این پرسشنامه باج‌افزاری به نام AIDS Trojan قرار داشت. این باج‌افزار فایل‌های کامپیوتر کاربران را پس از چند مرتبه ریبوت رمزنگاری می‌کرد.

پرینترهای متصل به کامپیوترهای آلوده برای ارسال حواله‌های بانکی، چک صندوق یا سفارش پول بین‌المللی به مبلغ ۱۸۹ دلار به اداره‌ی پست پاناما، دستورالعمل‌هایی چاپ کردند. پاپ قصد داشت دو میلیون دیسک دیگر ارسال کند؛ اما در راه بازگشت به آمریکا در سمینار ایدز سازمان جهانی بهداشت دستگیر شد. با تمام شواهدی که علیه دکتر پاپ وجود داشت، او هرگز محکوم نشد. خوشبختانه کد دکتر پاپ شامل رمزنگاری متقارن بود و متخصصان کامپیوتر آن زمان ابزار رمزگشایی لازم را برای خنثی کردن این باج‌افزار در اختیار داشتند. بین سال‌های ۱۹۹۱ تا ۲۰۰۴ هیچ حمله‌ی باج‌افزاری قابل توجهی رخ نداد؛ اما برخی این سکوت را آرامش قبل از طوفان می‌دانستند.

پیشرفت فناوری و تکامل باج‌افزارها

مجرمان سایبری در اوایل دهه‌ی ۲۰۰۰ به سه مزیت عمده دسترسی داشتند که دکتر پاپ از آن‌ها محروم بود:

۱. سیستم ارسال فوق سریع و بهینه‌ای که میلیون‌ها کامپیوتر را در سراسر جهان به یکدیگر وصل می‌کند (شبکه‌ی جهانی وب).

۲. دسترسی به ابزار رمزنگاری باثبات نامتقارن که رمزگشایی آن‌ها تقریبا غیر ممکن بود.

۳. پلتفرم پرداختی که سرعت، گمنامی و قابلیت خودکارسازی وظایف رمزگشایی را تضمین می‌کرد (مثل بیت‌کوین).

حملات باج‌افزاری

در ادامه به خلاصه‌ای از رویدادهای کلیدی در تاریخچه‌ی باج‌افزارها اشاره شده است:

  •  ۲۰۰۶: Archiveus از RSA-1024 برای رمزنگاری فایل‌ها استفاده کرد؛ به این ترتیب رمزگشایی از فایل‌ها غیر ممکن می‌شد. قربانی‌ها برای دریافت رمز عبور مجبور به خرید مجموعه‌ای از کالاها از یک داروخانه‌ی آنلاین شدند.
  • ۲۰۰۸: با اختراع بیت‌کوین باج‌گیرندگان می‌توانستند آدرس‌های پرداخت منحصربه‌فردی برای هر قربانی ایجاد کنند. در نتیجه بیت‌کوین به اولویت پرداخت آن‌ها تبدیل شد.
  • ۲۰۱۱: بیت‌کوین رشد کرد و تعداد حملات باج‌افزاری هم به‌صورت نمایی افزایش یافت: ۳۰ هزار آلودگی در سه‌ماهه‌ی اول و دوم ۲۰۱۱ گزارش شد. این آمار تا انتهای سه‌ماهه‌ی سوم دو برابر شد.
  • ۲۰۱۲:‌ Reveton مانند ویروس Vundo عمل می‌کرد و از روش‌های ترسناکی برای پرداخت قربانی‌ها استفاده می‌کرد. کرم Reveton پس از رمزنگاری فایل‌ها، خود را  در نقش پلیس جا می‌زد و به قربانی هشدار می‌داد که به دلیل دانلود یا استفاده از نرم‌افزار غیر قانونی مرتکب جرم شده است.
  • سپس سیتادل (Citadel) به میدان آمد. ابزاری برای توسعه و توزیع بدافزار و مدیریت بات‌نت‌ها و در نهایت گسترش باج‌افزار با برنامه‌های پرداخت به ازای نصب. مجرمان سایبری می‌توانند مبلغی صوری را برای نصب باج‌افزار خود روی کامپیوترهای آلوده به بد‌افزار پرداخت کنند.
  • ۲۰۱۳-۲۰۱۵: ترکیبی از رمزنگاری بیتی RSA-2048 دارای کلید عمومی و سروری‌های C&C روی شبکه‌ی Tor که از شبکه‌ی بات Gameover Zeus برای توزیع استفاده می‌کند، CryptLocker را به یکی از تهاجمی‌ترین باج‌افزارها تبدیل کرد.
  • تروجان موبایل Svpeng که در اصل برای سرقت اطلاعات کارت پرداخت طراحی شده بود در سال ۲۰۱۴ به شکل باج‌افزار به تکامل رسید. قربانی‌ها از دسترسی به گوشی‌های خود مسدود شده و به خاطر دسترسی به پورنوگرافی کودکان مورد اتهام قرار می‌گرفتند.
  • در می ۲۰۱۵ باج‌افزار به‌عنوان سرویس (RaaS) کار خود را آغاز کرد. اپراتورهای این سرویس، ۲۰ درصد از پرداخت‌های باج بیت‌کوینی را در بر می‌گرفتند.
  • ۲۰۱۶: Ransom32 که به‌طور کامل در جاوا اسکریپت، HTML و CSS توسعه یافت، از اولین نوع باج‌افزار «یک بار بنویس همه را آلوده کن» است که می‌تواند دستگاه‌های ویندوز، لینوکس و macOS را آلوده کند.
  • Locky از طریق حملات فیشینگ با استفاده از پیوست‌های آلوده‌ی مایکروسافت ورد توزیع شد. در زمان اوج روزانه نزدیک به ۱۰۰ هزار دستگاه را آلوده می‌کرد.
  • KeRanger اولین باج‌افزاری است که فایل‌های مک و سیستم بازیابی مک را هدف قرار داد و قابلیت system restore که امکان بازگشت به وضعیت غیر رمزنگاری را می‌داد، غیر فعال کرد.
  • ۲۰۱۷: WannyCry و Petya باج‌افزارها را به مرکز توجه بازگرداندند. WannaCry نوعی cryptoworm است که به‌صورت نیمه‌خودکار تکثیر و به‌صورت خودکار از طریق آسیب‌پذیری‌های سیستم‌های هدف توزیع می‌شود.
  • WannaCry در اوایل سال ۲۰۱۷ بیش از ۲۵۰ هزار دستگاه را در سراسر جهان آلوده کرد و قابل‌توجه‌ترین حمله‌ی باج‌افزاری تاریخ با ضرر مالی نزدیک به ۴ میلیارد دلار در سراسر جهان بود.
  • NotPetya (گونه‌ای از اولین Petya مربوط به سال ۲۰۱۶)، کریپتوورم دیگری است که از آسیب‌پذیری‌های مشابه WannaCry با وجود به‌روزرسانی‌های امنیتی استفاده می‌کند. هردو باج‌افزار بر خطرات سیستم‌های بدون پشتیبان و ضرورت نصب به‌روزرسانی‌های امنیتی تأکید دارند.
  • ۲۰۱۸: ransomcloud ثابت کرد حساب‌های ایمیل مثل Office 365 هم در معرض باج‌افزار قرار دارند. خوشبختانه این اثبات توسط یک هکر کلاه‌سفید انجام شد (هکر بی‌خطری که صرفا باگ‌های امنیتی را نشان می‌دهد).
  • گمنامی بیت‌کوین دیگر قابل ضمانت نیست به همین دلیل مجرمان سایبری به رمزارزهای دیگر کوچ کرده‌اند. انواع جدید مثل Annabelle و AVCrypt و نسخه‌ی جدید SamSam شامل امکانات پیشرفته‌ای برای جلوگیری از کشف شدن و اختلال در اقدامات پس از حمله هستند.
  • ۲۰۱۹: باج‌گیرندگان حملات دومرحله‌ای را آغاز کردند که شامل بدافزاری برای برداشت داده‌ها همراه با باج‌افزار است. باج‌افزاری مثل MegaCortex مخصوص شبکه‌های سازمانی طراحی شد و از کنترل‌کننده‌های دامنه برای توزیع استفاده کرد.

اخیرا پژوهشگرهای امنیت و حمله‌کننده‌ها از ماشین‌های مجازی برای مخفی ساختن فعالیت رمزنگاری باج‌افزاری روی فایل‌ها و پوشه‌های میزبان استفاده می‌کنند و به این ترتیب برنامه‌های آنتی‌ویروس نمی‌توانند آن‌ها را کشف کنند.

تکامل روش‌های باج‌افزاری

امروزه حمله‌کنندگان باج‌افزاری به لطف پیشرفت‌های فناوری تهاجمی‌تر شده‌اند و از روش‌های خلاقانه‌ای برای بهبود موفقیت پرداخت‌ باج‌ استفاده می‌کنند. مجرمان سایبری تمرکز خود را روی زیرساخت‌های اساسی و سازمان‌های بزرگ‌تر قرار داده‌اند. برای مثال در سال ۲۰۱۶ تعدادی از بیمارستان‌ها از جمله مرکز درمانی هالیوود، بیمارستان اوتاوا، بیمارستان متدیست کنتاکی و تعدادی از موارد دیگر هدف حملات باج‌افزاری قرار گرفتند. در تمام این حملات دستگاه‌های بیمارستان قفل یا فایل‌های پزشکی رمزنگاری شدند و زندگی بیماران به خطر افتاد. برخی بیمارستان‌ها خوش‌شانس بودند و از سیاست‌های بازیابی و پشتیبان‌گیری استفاده کرده بودند؛ اما متأسفانه برخی دیگر برای بازیابی سرویس‌های درمانی خود مجبور به پرداخت باج شدند.

در مارس ۲۰۱۸ بسیاری از سرویس‌های آنلاین شهر آتلانتا پس از حمله‌ای باج‌افزاری آفلاین شدند. باج ۵۵ هزار دلاری بیت‌کوین پرداخت نشد؛ اما هزینه‌های بازیابی به ۲.۶ میلیون دلار رسید. در ماه می ۲۰۲۱، باج‌افزار DarkSide زیرساخت‌های ضروری را غیر فعال کرد که مسئول تحویل ۴۵ درصد از بنزین مصرفی یک هفته‌ی ۱۳ ایالت آمریکا بودند. شرکت Colonial Pipeline قربانی این حمله بود و برای بازیابی سیستم‌های خود مبلغ ۴٫۴ میلیون دلار را پرداخت کرد. پرداخت‌های کلان این‌چنینی همچنان ادامه دارند و حمله‌کنندگان را حتی به سمت روش‌های خلاقانه‌ای برای استفاده از باج‌افزارها سوق می‌دهند.

حمله باج‌افزاری به بیمارستان‌ها می‌تواند به قیمت جان افراد تمام شوند

روش دیگری به نام Encrypt and Exfiltrate هم وجود دارد. بر اساس این روش حمله‌کننده‌ها نقاط ضعف شبکه را می‌شناسند و از آن‌ها برای برداشت داده‌ها استفاده می‌کنند. حمله‌کننده‌ها علاوه بر رمزنگاری فایل قربانی، داده‌های حساس را به سرقت می‌برند و در صورت  دریافت نکردن باج، آن‌ها را منتشر می‌کنند؛ بنابراین حتی اگر سازمان بتواند با استفاده از بکاپ مانع از حمله‌ی باج‌افزاری شود، نمی‌تواند از نشت داده‌هایش جلوگیری کند.

واستامو (Vastaamo)، کلینیک روان‌پزشکی فنلاندی با حدود ۴۰ هزار بیمار، قربانی یکی از جدیدترین روش‌ها به نام Triple Extorition (اخاذی سه‌‌گانه) بود. در این نوع حمله فایل‌های پزشکی رمزنگاری می‌شوند و برای دریافت رمز عبور، باج کلانی لازم است؛ اما حمله‌کنندگان داده‌های بیماران را هم به سرقت می‌برند. بیماران واستامو در فاصله‌ی کوتاهی پس از حمله‌ی اولیه ایمیل‌های مجزایی دریافت کردند که از آن‌ها مقدار اندکی باج خواسته بودند و در غیر این صورت اطلاعات آن‌ها افشا می‌شد. واستامو به دلیل نشت داده‌ها و زیان‌های مالی در نهایت اعلام ورشکستگی کرد و فعالیت‌هایش را متوقف کرد.

پرداخت باج

آینده‌ی باج‌افزارها

بر اساس گزارش Cybersecurity Ventures، حملات باج‌افزاری از ابتدای سال ۲۰۲۱ به ۵۷ درصد رسیده‌اند و تنها در سال ۲۰۲۰، بیست میلیون دلار خسارت به بار آوردند که ۷۵ درصد بیشتر از خسارت‌های سال ۲۰۱۹ است. حملات باج‌افزاری در انتخاب قربانی بسیار دقیق عمل می‌کنند و سازمان‌هایی از نوع بهداشت و درمان، تأسیساتی، بیمه‌ای و حقوقی را هدف قرار می‌دهند که ارائه‌دهنده‌ی خدمات ضروری هستند و احتمال پرداخت باج از سوی آن‌ها بالا است.

نزدیک به ۴۰ درصد از انواع حملات جدید باج‌افزاری شامل نفوذ داده‌ها هستند که از روش‌های اخاذی سه‌گانه و دوگانه (triple and double extortion) استفاده می‌کنند. علاوه بر این، REVil (یک گروه Raas)، حملات رد سرویس توزیع‌شده (DDoS) و تماس‌های جعل صوتی VoIP را به‌عنوان سرویس‌های رایگان به وابستگان خود عرضه می‌کند (حمله‌کنندگان واقعی که به سیستم نفوذ می‌کنند) تا بر قربانی‌ها برای پرداخت باج در مدت‌زمانی مقرر فشار بیاورند.

اما چرا حملات باج‌افزاری به‌یک‌باره افزایش یافتند؟ دلیل این مسئله سود زیاد این حملات است. حتی اگر درصد کمی از این حملات موفق شوند، باز هم بازگشت سرمایه‌ی بالایی خواهند داشت. برای مثال بزرگ‌ترین سود بزرگ‌ترین حملات باج‌افزاری را در نظر بگیرید:

  • CWT Global: خسارت ۴٫۵ میلیون دلار
  • Colonical Pipeline: خسارت ۴٫۴ میلیون دلار
  • Brenntag North American Division: خسارت ۴٫۴ میلیون دلار
  • Travelex: خسارت ۲٫۳ میلیون دلار
  • دانشگاه کالیفرنیا در سانفرانسیسکو: خسارت ۱٫۱۴ میلیون دلار

این حملات تنها درصد کمی از کمپین‌های موفق باج‌افزاری را تشکیل می‌دهند. متأسفانه پرداخت‌های کلان حمله‌کنندگان را ترغیب می‌کنند که روش‌های جدیدی برای آلوده سازی و گسترش ویروس‌ها پیدا کنند.

معیار دیگری را هم باید در نظر گرفت: سطح روبه‌گسترش حملات. در سال ۲۰۱۷، پنجاه و پنج دوربین ترافیک در ویکتوریای استرالیا به دلیل خطای انسانی هدف حملات WannaCry قرار گرفتند. تأثیر این حمله حداقل بودِ اما مدرکی برای اهداف جدید مجرمان سایبری به شمار می‌رفت. با توجه به فرایند کند به‌روزرسانی امنیتی و افزایش تعداد دستگاه‌های آسیب‌پذیر اینترنت اشیاء (IoT) در سراسر جهان، فرصت‌ حملات باج‌افزاری بیش از گذشته افزایش می‌یابند.

کارشناسان همچنین واهمه دارند که باج‌افزارها در سرویس‌های ابری هم ظاهر شوند و زیرساخت به‌عنوان سرویس (IaaS) و پلتفرم به‌عنوان سرویس (PaaS) را هدف قرار بدهند. همچنین نسل جوان تحت تأثیر سریال‌هایی مثل Mr. Robot قرار خواهند گرفت و بیشتر از نسل‌های قبل به منابع متعدد از جمله Hack the Box دسترسی دارند. افراد تازه‌وارد به حوزه‌ی باج‌افزار به دنبال یادگیری و تست مهارت‌های خود هستند.

باج‌افزار اقتصاد زیرزمینی رو به رشد و پیچیده و با تمام شاخصه‌های تجارت قانونی همراه است: برای مثال جامعه‌ای از توسعه‌دهندگان ماهر بدافزار، ارائه‌کنندگان RaaS و وابستگان آن‌‌ها، تیم‌های پشتیبان مشتری IT و حتی اپراتورهای پاسخگو به گروه حمله‌کنندگان را در نظر بگیرید.

اگر داده‌های شخصی خود را به ارائه‌کنندگان سرویس ارائه بدهید و برای تمام وظایف و روتین‌های خود به فناوری وابسته باشید، حمله‌کنندگان باج‌افزاری را تشویق به گروگان‌گیری و سرقت اطلاعات کرده‌اید. در نتیجه می‌توان افزایش حملات باج‌افزاری، تهاجمی‌ شدن و خلاق شدن پرداخت‌های باج را پیش‌بینی کرد. به‌ویژه که اولین پرداخت می‌تواند برای رمزگشایی از داده‌ها و دومین پرداخت برای عدم انتشار آن‌ها باشد.

نوری در تونل تاریک رمزنگاری

هک Colonial Pipeline بر آسیب‌پذیری جامعه‌ی مدرن تأکید دارد. این حمله منجر به افزایش اضطراب و نگرانی در میان شهرهای تحت تأثیر شد و ترس و وحشت مردم برای خرید سوخت، کاهش سوخت و افزایش قیمت بنزین را بالا برد.

هزینه‌های باج‌افزاری محدود به پرداخت باج نمی‌شوند. آسیب رساندن و تخریب داده‌ها، خاموش سیستم، کاهش بهره‌وری پس از حمله، هزینه‌های مرتبط به بررسی‌های بعدی، بازیابی سیستم، بهبود امنیت سیستم و آموزش کارکنان از هزینه‌های مخفی و برنامه‌ریزی‌نشده‌ پس از حمله هستند. سازمان‌های پلیس هم نگران حملات سایبری به بیمارستان‌ها و پیامدهای مرگبار آن‌ها هستند. تأثیر منفی باج‌افزارها بر زندگی انسان و جامعه را نمی‌توان دیگر انکار کرد یا نادیده گرفت.

مقاله‌های مرتبط:

کارگروه باج‌افزار (RTF) در پایان سال ۲۰۲۰ کار خود را آغاز کرد؛ ائتلافی شامل بیش از ۶۰ عضو از بخش‌های مختلف صنعتی، دولتی، قانونی و کشورها که به دنبال راه‌ حلی برای توقف حملات باج‌افزاری است. RTF در سال ۲۰۲۱ گزارشی با عنوان «مبارزه با باج‌افزار؛ چارچوب عملی جامع» منتشر کرد که به شرح ۴۸ توصیه‌ با اولویت بالا برای حل مشکلات باج‌افزاری پرداخته بود.

با اینکه هیچ‌گونه دستگیری گزارش نشد، FBI موفق به بازیابی ۶۳٫۶ باج بیت‌کوینی (۲٫۳ میلیون دلار) شده است که در حمله‌ی Colonial Pipeline پرداخت شد. FBI و دیگر سازمان‌های قانونی سراسر جهان توانستند عنصر باج‌افزار به‌عنوان سرویس NetWalker را مختل کنند که برای برقراری ارتباط با قربانی‌ها به کار می‌رفت. در آغاز سال هم بات‌نت Emotet خنثی شد که ابزاری ضروری برای انتقال باج‌افزار به قربانی‌ها از طریق فیشینگ بود. این راه‌حل‌ها در مقایسه با تعداد حملات باج‌افزاری در سال‌های گذشته مانند قطره‌ای در اقیانوس هستند؛ اما سازمان‌های جهان و آگاهی عمومی، سازمان‌های دولتی و خصوصی بر کار فعالانه برای خنثی کردن تهدید‌های باج‌افزاری تأکید دارند.

نمایش بیشتر

دیدگاهتان را بنویسید

دکمه بازگشت به بالا