همه چیز در رابطه با باج‌افزار

باج‌افزار چیست؟

این کد مخرب با قفل کردن فایل‌ها یا سیستم‌عامل یک نقطه‌ی انتهایی (Endpoint)، مانند رایانه کاربر یا یک سرور، تا زمان پرداخت باج، دسترسی به آن را مسدود می‌کند.

ما در ادامه این مقاله مفصلا به بد‌افزار باج‌افزار خواهیم پرداخت.

تاریخچه باج‌افزار:از تروجان ایدز تا حملات پیشرفته WannaCry

با وجود اینکه باج‌افزارها در چند سال گذشته به طور مداوم سرتیتر اخبار بوده‌اند، ایده گروگان گرفتن فایل‌های کاربر یا رایانه‌ها با رمزگذاری فایل‌ها، ممانعت از دسترسی به سیستم یا روش‌های دیگر و سپس درخواست باج برای بازگرداندن آنها، کاری بسیار قدیمی است.

در اواخر دهه 1980، مجرمان در ازای دریافت پول نقدی که از طریق سرویس پستی ارسال می‌شد، پرونده‌های رمزگذاری شده را گروگان نگه می‌داشتند. پس از کنفرانس ایدز سازمان جهانی بهداشت در سال 1989، جوزف ال. پاپ، زیست‌شناس تحصیل‌کرده هاروارد، 20000 فلاپی دیسک را برای شرکت‌کنندگان در این رویداد پست کرد. این دیسک حاوی پرسشنامه‌ای برای تعیین احتمال ابتلای فردی به HIV بود. در آن زمان، دلایل کمی وجود داشت که باور کرد دیسک‌ها با نیت بد ارسال شده‌اند. به هر حال، این بسته توسط یک محقق معتبر ارائه شده بود و هیچ‌کس قبلاً در مورد باج‌افزار چیزی نشنیده بود.

تروجان ایدز

این بدافزار که تروجان ایدز نام داشت، پس از راه‌اندازی به سیستم قربانیان، از یک رمزگذار متقارن ساده برای جلوگیری از دسترسی کاربران به فایل‌هایشان استفاده می‌کرد و پیامی بر روی صفحه نمایش کاربران ظاهر می‌شد که از آنها واریز مبلغ 189 دلار به یک P.O. در ازای دسترسی به فایل‌هایشان خواسته می‌شد. به دلیل سادگی ویروس، متخصصان فناوری اطلاعات به سرعت یک کلید رمزگشایی را کشف کردند که قربانیان را قادر می‌ساخت تا بدون پرداخت باج، دوباره به داده‌هایشان دسترسی پیدا کنند.

پاپ احتمالاً از این کلاهبرداری پول کمی به دست آورد، اما ایده او در نهایت به یک صنعت چند میلیارد دلاری تبدیل شد و باعث شد تا او را “پدر باج‌افزار” نامگذاری کنند.

ظهور باج‌افزار ها در دهه 2000 علیرغم سابقه طولانی، حملات باج‌افزاری در دهه 2000 چندان شناخته شده نبودند. با این حال، ظهور ارزهای دیجیتال، مانند بیت کوین در سال 2010، جلوه باج‌افزارها را تغییر داد. ارزهای مجازی با ارائه روشی آسان و غیرقابل ردیابی برای دریافت پرداخت از قربانیان، این فرصت را برای مهاجمان باج‌افزارها ایجاد کرد تا این حملات را به یک تجارت پرسود تبدیل کنند.

باج‌افزار های WinLock و Reveton

در سال 2011، WinLock به عنوان اولین باج‌افزار قفل کننده ظاهر شد، گونه‌ای که دستگاه‌های قربانیان را به طور کامل قفل می‌کرد. Reveton در سال 2012 اولین باج‌افزار تحت عنوان سرویس (RaaS) بود، یک سرویس اجاره‌ای که به مجرمان سایبری با مهارت‌های فنی محدود امکان خرید باج‌افزار در دارک وب را می‌داد. Reveton پیام‌های متقلبانه‌ای را به نمایش گذاشت که قربانیان را به ارتکاب جرم متهم می‌کرد. مهاجمان قربانیان را در صورت عدم پرداخت باج با زندان تهدید می‌کردند. Reveton همچنین یکی از اولین حملات باج‌افزاری بود که خواستار پرداخت بیت کوین شد.

باج‌افزار های CryptoLocker و SimpleLocker

در سال 2013، یک نوع باج‌افزار با استفاده از یک کلید پیشرفته 2048 بیتی RSA کشف شد. پیچیده‌ترین باج‌افزار تا به حال، CryptoLocker هم یک نوع قفل و هم نوعی رمزنگاری بود. مجرمان سایبری پشت کریپتولاکر ۲۷ میلیون دلار در دو ماه اول به دست آوردند.

در سال 2014، SimpleLocker اولین باج‌افزاری بود که فایل‌ها را در دستگاه‌های اندرویدی رمزگذاری کرد. این باج‌افزار تصاویر، اسناد و ویدئوها را روی کارت‌های SD دستگاه‌ها رمزگذاری می‌کرد و تغییر بزرگی را در مسیر تکامل باج‌افزارها به وجود آورد زیرا درها را به روی مجموعه جدیدی از قربانیان و حملات باز کرد.

تکامل باج‌افزار ها و تهدیدات

تکامل باج‌افزارها و تهدیدات جدید Ransom32، یک RaaS که در سال 2016 ظاهر شد، این باج‌افزار اولین باج‌افزار مبتنی بر جاوا اسکریپت بود. به دلیل توانایی کد برای عملکرد در همه سیستم‌عامل‌ها، مهاجمان را قادر ساخت تا شبکه گسترده‌تری ایجاد کنند. مرحله بعدی تکامل باج‌افزارها، پیشرفت مداوم در تکنیک‌های حمله و همچنین گسترش حملات در سطح جهانی را به همراه داشت.

در سال 2016، Petya اولین گونه‌ای بود که فایل‌های فردی را رمزگذاری نکرد، بلکه رکورد اصلی بوت را بازنویسی کرد و جدول فایل اصلی را رمزگذاری کرد. این کار هارد دیسک قربانیان را سریع‌تر از سایر تکنیک‌ها قفل می‌کرد.

سه ماه بعد، جهان در معرض Zcryptor قرار گرفت که ویژگی‌های باج‌افزار را با کرم‌ها ترکیب کرد و تهدیدی به نام cryptoworm یا ransomworm ایجاد کرد. این ترکیب به‌ویژه به دلیل توانایی آن در کپی کردن گسسته خود در کل سیستم و هر دستگاه شبکه‌ای آسیب‌رسان معروف است.

حملات بزرگ و تأثیرات جهانی

حملات بزرگ و تأثیرات جهانی حمله‌ی بدنام باج‌افزاری به نام WannaCry در سال 2017 صدها هزار دستگاه را در بیش از 150 کشور مورد هدف قرار داد، نویسندگان خطاهای رمزگشایی را در نسخه‌های قبلی باج‌افزار برطرف کردند تا باج‌افزاری قوی‌تر و خطرناک‌تر بسازند. در همان سال، NotPetya ظهور کرد. این باج‌افزار هارد دیسک‌های قربانیان را مانند نسخه پیشین خود رمزگذاری می‌کرد، اما ویژگی‌های جدید پاک‌کنندگی را نیز در خود جای داده بود که می‌توانست فایل‌های کاربران را حذف و از بین ببرد.

در اواخر دهه 2010 و تا اوایل دهه 2020، باج‌افزار به مخرب‌ترین مرحله خود تا کنون رسیده است. همچنین همه‌گیری جهانی COVID-19 باعث گسترش انواع باج‌افزار شد. در می 2021، از نوع REvil RaaS برای انجام یکی از بزرگترین حملات باج‌افزار در تاریخ استفاده شد. باند REvil برای باز کردن قفل بیش از 1 میلیون دستگاه آسیب‌دیده در حمله به ارائه‌دهنده خدمات مدیریت شده Kaseya حدود 70 میلیون دلار باج درخواست کردند.

آینده باج‌افزارها آینده ممکن است ناشناخته باشد، اما آنچه مشخص است این است که بازیگران بدخواه به اصلاح روش‌های خود برای پیچیده‌تر، کارآمدتر و موثرتر شدن ادامه خواهند داد. تاکتیک‌ها و تکنیک‌های مهاجمان به بلوغ‌های جدیدی می‌رسند و قربانیان همچنان با سیستم‌های قفل‌شده، فایل‌های رمزگذاری‌شده و درخواست‌های باج مواجه خواهند شد و تا زمانی که مهاجمان به کسب درآمد ادامه دهند، حملات همچنان ادامه خواهند داشت.

نحوه‌ی عملکرد مجرمان سایبری در حملات باج‌افزار

مجرمان سایبری با استفاده از باج‌افزار، سیستم‌ها و دستگاه‌ها را تحت کنترل خود درمی‌آورند. به‌محض نصب این بدافزار، کنترل سیستم از دست کاربر خارج می‌شود تا زمانی که باج مورد نظر پرداخت گردد. در نسخه‌های ابتدایی باج‌افزار، مهاجم ادعا می‌کرد که پس از پرداخت باج، کلید رمزگشایی به کاربر ارائه می‌شود. تا بتواند به سیستم خود دسترسی پیدا کند.

تکامل حملات باج‌افزار

حملات باج‌افزاری به‌سرعت تکامل یافته‌اند و امروزه در اشکال مختلفی ظاهر می‌شوند. برخی از باج‌افزارها فقط فایل‌ها را رمزگذاری می‌کنند، در حالی‌که برخی دیگر ممکن است کل سیستم را نابود کنند. برخی از مجرمان صرفاً به‌دنبال انگیزه مالی هستند و پس از دریافت باج، سیستم‌ها را به حالت عادی بازمی‌گردانند، اما

دسته‌ای دیگر، به دلایلی چون خصومت یا انگیزه‌های سیاسی، حتی پس از پرداخت نیز دسترسی به سیستم را بازنمی‌گردانند.

پیشگیری از حملات باج‌افزار

در حملات پیچیده و چندمرحله‌ای امروزی، سازمان‌ها و افراد هنوز فرصت‌هایی برای شناسایی و متوقف کردن حمله قبل از قفل شدن فایل‌ها یا سرقت داده‌ها دارند. برای مقابله با چنین حملاتی، شناسایی مراحل اولیه مانند شناسایی شبکه، ارتباطات کنترل و فرمان، حرکات جانبی و جمع‌آوری و رمزگذاری داده‌ها بسیار مهم است.

توصیه‌هایی برای کاهش ریسک باج‌افزار

1. اجتناب از کلیک روی لینک‌های تأییدنشده: هکرها اغلب با استفاده از لینک‌های مخرب در ایمیل‌های اسپم یا وب‌سایت‌های ناشناس، بدافزار را منتشر می‌کنند.
2. اسکن ایمیل‌ها برای شناسایی بدافزار: ابزارهای اسکن ایمیل می‌توانند از ورود ایمیل‌های مخرب به صندوق ورودی جلوگیری کنند.
3. استفاده از فایروال و حفاظت از Endpoint: فایروال‌ها و سیستم‌های حفاظت از Endpoint می‌توانند ترافیک ورودی و خروجی را بررسی کنند. و از آلوده شدن دستگاه‌ها جلوگیری نمایند.
4. دانلود از منابع معتبر: برای کاهش خطر، تنها از وب‌سایت‌های معتبر و شناخته‌شده دانلود کنید.
5. پشتیبان‌گیری منظم از داده‌ها: داشتن پشتیبان‌های منظم می‌تواند در بازیابی داده‌ها پس از یک حمله موفقیت‌آمیز بسیار مؤثر باشد.
6. استفاده از VPN در هنگام اتصال به Wi-Fi عمومی : VPN از داده‌های شما در شبکه‌های عمومی محافظت می‌کند و از ورود افراد متفرقه به شبکه جلوگیری می‌کند.
7. نصب نرم‌افزارهای امنیتی به‌روز: نرم‌افزارهای امنیتی می‌توانند از ورود فایل‌های مخرب به سیستم پیشگیری کنند.
8. عدم استفاده از دستگاه‌های USB ناشناس: دستگاه‌های USB ممکن است حامل بدافزار باشند و بهتر است تنها از USBهای معتبر استفاده شود.
9. اجتناب از ارائه‌ی داده‌های شخصی به منابع ناشناس: مجرمان سایبری از داده‌های شخصی برای ایجاد تله‌های فریبکارانه استفاده می‌کنند.

در انتها به عنوان سایت مرجع در رابطه با انواع باج‌افزارها و کلیدهای شناسایی شده. برای حل این مشکل می‌توانید از سایت No More Ransom استفاده کنید.