روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بک‌آپ گرفتن از داده‌ها همیشه راه‌حلی کارامد بوده است؛ هرچند زحمت زیادی دارد. این روش تا کنون در مقابله با رمزگذاریِ باج‌افزارها بسیار موفقیت‌آمیز عمل کرده است. اکنون مهاجمین به نظر می‌رسد از افرادی که به نوعی به گرفتن بک‌آپ وابستگی پیدا کرده‌اند خوششان آمده است. سازندگان برنامه‌های باج‌افزاریِ مختلف در مواجهه با قربانیانی که در دادن باج مقاومت می‌کردند این داده‌ها را به طور آنلاین به اشتراک گذاشتند. در ادامه همراهمان باشید تا شما را از چند و چون ماجرا باخبر کنیم.

انتشار داده‌ها تهدیدها را به واقعیت تبدیل می‌کند

تهدید به نشر عمومیِ اطلاعات شخصی چیز جدیدی نیست. بعنوان مثال، در سال 2016، عاملین رمزافزاری که سیستم‌های راه‌آهن شهری سان‌فرانسیسکو را آلوده کردند درست همین شیوه را به کار برده بودند؛ هر چند هرگز پشت این تهدید را نگرفته و ادامه‌اش ندادند.

Maze، اولین بود

عاملین باج‌افزار Maze بر خلاف پیشینیان خود اواخر سال 2019 دو بار از این روش استفاده کردند. در ماه نوامبر وقتی شرکت Allied Universal باج نداد، این مجرمان سایبری 700 مگابایت داده‌ی داخلی آن را اعم از قراردادها، توافق‌های فسخ‌شده، گواهی‌های دیجیتالی و غیره را به طور عمومی منتشر کردند. بلک‌میلرها گفتند تازه این تنها 10 درصد از چیزی بود که دزدیده‌اند و همچنین تهدید نمودند اگر باج داده نشود بقیه اطلاعات نیز نشر داده خواهد شد.

در ماه دسامبر، عاملین Maze وبسایتی ساختند و از آن برای پست کردن نام شرکت‌های قربانی، تاریخ آلودگی‌شان، مقدار اطلاعات سرقت‌شده و آدرس‌های آی‌پی و نام سرورهای آلوده استفاده نمودند. آن‌ها یک سری داکیومنت نیز آپلود کردند. آخر ماه، 2 گیگابایت فایل که ظاهراً از دو شهر پنساکولا و فلوریدا سرقت شده بود در محیط آنلاین دیده شد. بلک‌میلرها گفتند آن‌ها این کار را برای کردند که کسی نگوید بلوف می‌زده‌اند. در ماه ژانویه، سازندگان Maze 9.5 گیگابایت اطلاعات آزمایشگاه‌های تشخیص پزشکی و همچنین 14.1 گیگابایت اطلاعات اسناد و مدارک از شرکت کابل‌سازِ Southwire (که قبل‌تر هم بخاطر افشای اطلاعات محرمانه از عاملین شکایت کرده بود) آپلود کردند. در طی این دادخواست، وبسایت Maze بسته شد اما این پایان ماجرا نبود.

بعد، Sodinokibi،  Nemty، BitPyLock ملحق شدند

سایر مجرمان سایبری نیز پیروی کردند. عاملین باج‌افزار Sodinokibi–که برای حمله به شرکت مالیِ بین‌المللی به نام Travelex در شب سال نو به کار برده شد- اوایل ژانویه قصد خود را از نشر داده‌های متعلق به مشتریان این بیان کردند. مجرمان سایبری می‌گویند بیش از 5 گیگابایت اطلاعات شامل تاریخ‌های تولد، شماره‌های امنیت اجتماعی و جزئیات کارت‌های بانکی در اختیار دارند. در مورد Travelex نیز باید گفت، این شرکت ادعا کرده هیچ شواهدی مبنی بر نشتی اطلاعاتش دیده نشده و اینکه ابداً باجی به عاملین نداده است.

افزون بر این، مهاجمین می‌گویند این شرکت خودش موافقیت کرده که وارد مذاکره شود. در تاریخ 11 ژانویه، همان گروه لینک‌هایی در خصوص 337 مگابایت داده در صفحه پیامِ هکر آپلود کردند. آن‌ها ادعا داشتند داده‌ها به شرکت استخدامی‌ای به نام Artech Information Systems تعلق داشته است که تن به باج نداد. مهاجمین ضمناً به این موضوع اشاره کردند که این داده‌های آپلودشده تنها بخش کوچکی از آنچه سرقت کردند است. آن‌ها گفتند قصد دارند در صورت همراهی نکردنِ قربانیان، بقیه اطلاعات را بفروشند نه اینکه نشر دهند.

نویسندگان بدافزار Nemty نیز اعلام کرد قصد کرده داده‌های محرمانه‌ی قربانیانی که تن به باج ندادند را به طور عمومی نشر کند. عاملین گفتند هدفشان ساخت بلاگ برای پست کردن یک به یکِ داکیومنت‌های داخلی قربانیان است؛ قربانیانی که در برابر باج‌دهی مقاومت کرده بودند. اپراتورهای باج‌افزار BitPyLock نیز با افزودن یک وعده به یادداشت باج خود (مبنی بر اینکه به طور حتم داده‌‌های محرمانه‌ی قربانیان را نشر عمومی می‌کنند) به این رویه ملحق شدند. گرچه هنوز مانده این کار را کنند اما BitPyLock ممکن است به وعده‌ی خود عمل کند.

عدم صرفِ حضورِ باج‌افزار

قابلیت‌های پیشرفته‌ی افزوده‌شده به برنامه‌های باج‌افزاری هم چیز جدیدی نیست. بعنوان مثال در سال 2016، نسخه‌ای از تروجان Shade اگر متوجه می‌شد تیرش به ماشین حسابداری نخورده است به جای رمزگذاری فایل‌ها، ابزارهای مدیریتی از راه‌دور را نصب می‌کرد. CryptXXX هم فایل‌ها را رمزگذاری کرد و هم بیتکوین و لاگین‌های قربانیان را دزدید. عاملین RAA نیز با تروجان Pony (که کار آن نیز مورد هدف قرار دادن لاگین‌ها بود) خود را به یک سری نمونه بدافزارها مجهز کردند. توانایی باج‌افزار در سرقت داده‌ها بر هیچ‌کس پوشیده نیست- خصوصاً اکنون که شرکت‌ها دارند به طور فزاینده‌ای نیاز به بک‌آپ گرفتن از اطلاعاتشان را با تمام وجود حس می‌کنند. این بسیار نگران کننده است که هیچ‌گونه محافظتی در برابر این حملات با استفاده از بک‌آپ‌گیری وجود ندارد. اگر آلوده شده باشید، دیگر راهی برای جلوگیری از خسران‌های واردشده برای وجود ندارد (این خسران‌ها فقط به باج هم محدود نمی‌شود)؛ بلک‌میلرها هیچ تضمینی برای بازیابی اطلاعات‌تان ارائه نمی‌دهند. تنها راه این است که نگذارید بدافزار از همان ابتدای کار به سیستم‌های شما رخنه کند.

چطور خود را در برابر باج‌افزارها در امان نگه داریم؟

اینکه این رویه‌ی جدید باج‌افزار مؤثر خواهد یا بزودی از آن دست کشیده می‌شود هنوز مشخص نیست. این حملات تازه دارند جان می‌گیرند؛ بنابراین باید حسابی حواس خود را جمع کرده و از سیستم‌های خود محافظت کنید. این بدان‌معناست که باید کاری ورای صرفِ جلوگیری از خدشه‌دار شدن اعتبار و یا افشای رازهای کسب و کارتان انجام دهید- اگر طوری شود که داده‌های شخصی کلاینت‌تان به سرقت رود، شاید جریمه‌های سنگینی را متحمل شوید. بنابراین برای شما چند توصیه داریم:

• ارتقای آگاهی امنیت اطلاعات. هر قدر کارمند یک شرکت دانش بیشتری داشته باشند امکان اینکه فیشینگ یا سیر تکنیک‌های مهندسی اجتماعی مؤثر واقع شود کمتر خواهد بود. ما پلت‌فرم یادگیری به نام Kaspersky Automated Security Awareness Platform داریم که مخصوص کارمندان با سطوح مختلف حجم کار، علاقمندی و میزان دسترسی به اطلاعات محرمانه طراحی شده است.
• سیستم‌عامل‌ها و نرم‌افزارهای خود را فوراً بروزرسانی کنید- خصوصاً هر چیزی را که می‌بینید حاوی آسیب‌پذیری‌هایی است (آسیب‌پذیری‌هایی که اجازه‌ی غیرقانونی به سیستم و به دست گرفتن کنترل کلی آن را موجب می‌شود).
• از راهکار محافظتی تخصصی که کارش مبارزه با باج‌افزار است استفاده کنید. بعنوان مثال، شما می‌توانید به طور رایگان از Kaspersky Anti-Ransomware Tool ما استفاده کنید.