روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ باج‌افزار از لحظه‌ی پیدایش اولیه‌اش دستخوش تغییرات زیادی شد و سیری تکاملی را طی کرد- از ابزارهای قطعه به قطعه[1]  ساخته‌شده توسط علاقمندان گوشه‌گیر گرفته تا صنعت قدرتمند امور محرمانه که به سازندگان خود پاداش‌های خوبی می‌دهد. علاوه بر اینها، هزینه‌ی ورود به این جهان تاریک دارد کم و کمتر نیز می‌شود!

این روزها، مجرمان سایبریِ احتمالی دیگر نیازی ندارند بدافزار مخصوص به خود را بسازند و یا حتی آن را از روی دارک‌وب بخرند. تمام آنچه بدان نیاز دارند دسترسی به پلت‌فرم کلودِ RaaS (باج‌افزار در قالب سرویس[2]) است. چنین سرویس‌هایی هم کاربرد راحت دارند و هم هیچ مهارت برنامه‌نویسی‌ای نمی‌خواهند و بدین‌ترتیب هر کسی به خود اجازه می‌دهد تا از ابزارهای باج‌افزار استفاده کند؛ همین ماجراست که طبعاً باعث شده تعداد حوادث سایبری ناشی از باج‌افزار به طرز بی‌سابقه‌ای افزایش پیدا کند.

رویه‌ی نگران‌کننده‌ی دیگر، گذار از مدل ساده‌ی باج‌افزاری به حملات ترکیبی است که در چنین وضعیتی همه داده‌ها پیش از رمزگذاری تخلیه می‌شوند. در چنین مواردی، عدم پرداخت باج نه تنها تخریب اطلاعاتی را موجب خواهد شد؛ که حتی نشر آن در منابع باز یا فروش آن در حراجی‌های (بسته) را در پی خواهد داشت. در چنین حراجی –که در طول تابستان 2020 اتفاق افتاد- پایگاه‌های اطلاعاتیِ شرکت‌های کشاورزی –که بواسطه باج‌افزار REvil  سرقت شده بودند- با رقم کف 55 هزار دلار به مزایده گذاشته شدند.

متأسفانه بسیاری از قربانیان باج‌افزار مجبور  به پرداخت باج می‌شوند؛ هرچند که خوب می‌دانند هیچ تضمینی برای برگشت اطلاعات از دست‌رفته‌شان وجود ندارد. دلیلش هم این است که هکرها تمایل دارند شرکت‌ها و سازمان‌هایی را که طاقت زمان پِرتی ندارند مورد هدف خود قرار دهد. خسارت ناشی از توقف تولید –بعنوان مثال- روزانه میلیون‌ها دلار است؛ درحالیکه بررسی و تحقیق در خصوص رخداد می‌تواند تنها در عرض چند هفته صورت گیرد و لزوماً هم تضمینی برای برگشت اطلاعات نخواهد بود. و اما در خصوص سازمان‌های پزشکی نیز باید بگوییم که برخی از صاحبان کسب و کار در شرایط اضطراری حس می‌کنند چاره‌ای جز باج دادن ندارند. همین پاییز گذشته سازمان FBI در خصوص باج‌افزار شفاف‌سازی ویژه‌ای ارائه داد و توصیه کرد هیچ کس به هکرها باج پرداخت نکند. (باج دادن باعث تقویت حملات بیشتر می‌شود و تازه هیچ تضمینی هم نیست که اطلاعات رمزگذاری‌شده بازیابی شوند).

مهمترین اخبار باج‌افزار

در این بخش قصد داریم تعدادی رخداد را با هم بررسی کنیم که در نیمه اول امسال اتفاق افتادند؛ رخدادهایی که علت رشد بیشتر این مشکل شدند:

در ماه فوریه، یک شرکت خدمات تأسیساتی دانمارکی به نام ISS قربانی باج‌افزار شد. مجرمان سایبری پایگاه‌ اطلاعاتی این شرکت را رمزگذاری کردند و همین باعث شد صدها هزار کارمند از 60 کشور دسترسی خود را به این سرویس‌های سازمانی از دست بدهند. دانمارکی‌ها حاضر به پرداخت باج نشدند. بازیابی بخش زیادی از زیرساخت و انجام بازرسی و تحقیق حدود یک ماه طول کشید و خسارت کلی چیزی بین 75 تا 114 میلیون دلار تخمین زده شد. باج‌افزار بهار سال جاری نیز یک شرکت ارائه‌دهنده سرویس بین‌المللی آی‌تی به نام Cognizant را مورد هدف خود قرار داد. در تاریخ 18 آوریل این شرکت رسماً اعلام کرد قربانی حمله‌ای توسط باج‌افزار محبوب تحت عنوان  Maze شده است. مشتریان این شرکت از نرم‌افزارها و سرویس‌های این شرکت برای ارائه‌ی پشتیبانی دورکاریِ کارمندان –که فعالیت‌هایشان مختل شده بود- استفاده می‌کنند. Cognizant بلافاصله در بیانیه‌ای ارسال‌شده به شرکایش بعد از این حمله، آدرس‌های آی‌پی سرور و هش‌های مخصوص Maze را (kepstl32.dll، memes.tmp، maze.dll) به عنوان شاخص‌های دستکاری فهرست کرد.

بازسازی بخش بیشتر زیرساخت سازمانی سه هفته به طول انجامید و  Cognizant خسارت بین 50 تا 70 میلیون دلاری را در نتایج مالی سه‌ماهه‌ی دوم 2020 خود، گزارش داد. در ماه فوریه شورای Redcar and Cleveland Borough  (انگلستان) نیز مورد حمله باج‌افزار قرار گرفت. روزنامه بریتانیاییِ گاردین به گفته یکی از اعضای هیئت مدیره مبنی بر اینکه شورا سه هفته مجبور شده بوده تا تنها از کاغذ و قلم استفاده کند استناد کرد؛ این سه هفته زمان خوبی بود برای اینکه به طور مؤثری زیرساخت آی‌تی خود را که صدها هزار شهروند محلی از آن استفاده می‌کردند بازسازی کند.

راهکارهای امنیتی

بهترین راهبرد، آمادگی داشتن است. سرویس‌های میل خود را که بالقوه دروازه‌هایی‌اند برای دسترسی غیرقانونی با فیلترهای اسپم –برای مسدود یا قرنطینه کردن پیوست‌های قابل‌اجرا- تجهیز کنید. اگر علی‌رغم آمادگی شما، حمله‌ای موفق شد پِرتی زمان را کاهش داده و خسارت احتمالی را با مرتباً بک‌آپ گرفتن از تمامی اطلاعات مهم سازمانی به حداقل برسانید. بک‌آپ‌های خود را در یک کلود مطمئن ذخیره کنید.

علاوه بر اینها از راهکارهای تخصصی همچون Kaspersky Anti-Ransomware Tool نیز استفاده کنید.Kaspersky Anti-Ransomware Tool   با استفاده از تحلیل رفتاری و بررسی کلود مانع نفوذ باج‌افزار به سیستم‌ها می‌شود. این راهکار رفتار اپلیکیشن مشکوک را شناسایی کرده و برای سیستم‌هایی که از پیش مبتلا شده‌اند می‌تواند اقدامات مخرب را ترمیم کند. راهکار یکپارچه‌ی ما تحت عنوان Kaspersky Total Security for Business حتی به لایه‌ی امنیتی وسیعتری در مقابل همه نوع تهدید مجهز است. این راهکار علاوه بر قابلیت‌های Kaspersky Anti-Ransomware Tool، شامل طیف کاملی از کنترل‌های وب و دستگاه، ابزار  Adaptive Anomaly Control  و توصیه‌هایی برای تنظیم خط‌مشی‌های امنیتی نیز می‌شود. بدین‌ترتیب این راهکار حتی قابلیت شکست دادن جدیدترین نوع تهدیدها را نیز دارد (از جمله آن‌هایی که از بدافزارهایی بدون فایل استفاده می‌کنند).

[1] piecemeal tools

[2] Ransomware-as-a-Service

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.