روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  با نزدیک شدن به روز جهانی مقابله با باج‌افزار در تاریخ ۱۲می، شرکت کسپرسکی نگاهی به چشم‌انداز در حال تغییر تهدیدات باج‌افزاری و پیامدهای آن برای امنیت سایبری انداخته است. بر اساس داده‌های «شبکه امنیتی کسپرسکی[1]»، تعداد شناسایی‌های باج‌افزار در سال ۲۰۲۴ نسبت به سال ۲۰۲۳ با کاهش ۱۸ درصدی از ۵,۷۱۵,۸۹۲ به ۴,۶۶۸,۲۲۹ مورد رسیده است. با این حال، سهم کاربران تحت تأثیر حملات باج‌افزاری در این مدت ۰.۰۲ درصد افزایش یافته و به ۰.۴۴ درصد رسیده است. این درصد نسبتاً پایین در مقایسه با سایر تهدیدات سایبری به این دلیل است که مهاجمان معمولاً این نوع بدافزار را به‌صورت گسترده منتشر نمی‌کنند، بلکه اهداف ارزشمند را ترجیح می‌دهند که این امر باعث کاهش تعداد کلی حملات می‌شود.

با این حال، اگر به مواردی نگاه کنیم که در آن‌ها سازمان‌ها به خدمات پاسخ فوری نیاز داشته‌اند و توسط تیم واکنش اضطراری جهانی کسپرسکی (GERT) مدیریت شده‌اند، مشاهده می‌شود که در سال ۲۰۲۴، ۴۱.۶٪ از این موارد مربوط به باج‌افزار بوده‌اند، در حالی که این رقم در سال ۲۰۲۳، ۳۳.۳٪ بوده است. این موضوع نشان می‌دهد که باج‌افزارهای هدفمند احتمالاً همچنان تهدید اصلی برای سازمان‌ها در سراسر جهان باقی خواهند ماند.

در ادامه، برخی از روندهای جهانی باج‌افزار که کسپرسکی در سال ۲۰۲۴ شناسایی کرده، آمده است:

غلبه مدل باج‌افزار به‌عنوان سرویس یا RaaS
مدل RaaS همچنان چارچوب غالب در حملات باج‌افزاری است و با پایین آوردن سطح فنی مورد نیاز برای مجرمان سایبری، به گسترش این حملات کمک می‌کند. در سال ۲۰۲۴، پلت‌فرم‌هایی مانند RansomHub موفق بودند و با ارائه بدافزار، پشتیبانی فنی و برنامه‌های همکاری (مثلاً تقسیم سود ۹۰/۱۰ میان همکار و گروه اصلی)، به مهاجمان کم‌تجربه نیز اجازه اجرای حملات پیچیده را داده‌اند. اگرچه باج‌افزارهای سنتی هنوز وجود دارند، اما قابلیت توسعه‌پذیری و سودآوری مدل RaaS باعث شده که این مدل به نیروی محرکه اصلی تبدیل شود. این پلت‌فرم‌ها اکنون شامل خدماتی مانند فروش دسترسی اولیه به شبکه‌ها و استخراج داده‌ها نیز هستند و انتظار می‌رود این روند در سال ۲۰۲۵ نیز ادامه داشته باشد.

ادامه تمرکز بر چند پلت‌فرم، با تأکید اصلی بر ویندوز
بسیاری از حملات باج‌افزاری همچنان سیستم‌های مبتنی بر ویندوز را هدف قرار می‌دهند که دلیل آن استفاده گسترده از این سیستم عامل در محیط‌های سازمانی است. ساختار ویندوز، به همراه آسیب‌پذیری‌هایی در نرم‌افزارهایی مانند پروتکل دسکتاپ ریموت (RDP) و سیستم‌های بدون به‌روزرسانی، این پلتفرم را به هدفی اصلی برای فایل‌های اجرایی باج‌افزاری تبدیل کرده است. با این حال، در سال‌های اخیر برخی مهاجمان تنوع ایجاد کرده‌اند و گروه‌هایی مانند RansomHub و Akira نسخه‌هایی برای سیستم‌های لینوکس و VMware، به‌ویژه در محیط‌های ابری و مجازی‌سازی‌شده، توسعه داده‌اند. اگرچه ویندوز هنوز در مرکز توجه است، تمرکز فزاینده بر باج‌افزارهای چند پلتفرمی، حاکی از تمایل مهاجمان به بهره‌برداری از زیرساخت‌های متنوع است، به‌ویژه با توجه به گرایش سازمان‌ها به محیط‌های هیبریدی و کلود. این روند جدیدی نیست و انتظار می‌رود در سال‌های آینده نیز ادامه یابد.

کاهش کلی پرداخت‌های باج‌افزار، افزایش میانگین مبلغ باج

بر اساس گزارش Chainalysis، پرداخت‌های باج‌افزار در سال ۲۰۲۴ به‌طور قابل‌توجهی کاهش یافته و به حدود ۸۱۳.۵۵ میلیون دلار رسید که نسبت به رکورد ۱.۲۵ میلیارد دلاری در سال ۲۰۲۳، کاهش ۳۵ درصدی را نشان می‌دهد. از سوی دیگر، شرکت Sophos گزارش داده است که میانگین مبلغ باج در سال ۲۰۲۴ از ۱,۵۴۲,۳۳۳ دلار در سال ۲۰۲۳ به ۳,۹۶۰,۹۱۷ دلار افزایش یافته است. این موضوع نشان‌دهنده روند تمرکز مهاجمان سایبری بر روی سازمان‌های بزرگ‌تر با تقاضاهای مالی بیشتر است. این گزارش همچنین نشان می‌دهد که تعداد بیشتری از سازمان‌ها برای بازیابی داده‌های خود باج پرداخت کرده‌اند، هرچند گزارش‌های دیگر حکایت از آن دارند که نسبت به سال ۲۰۲۳ تعداد کمتری از سازمان‌ها حاضر به پرداخت باج شده‌اند. به عنوان مثال، شرکت Coveware که در مقابله با باج‌افزار تخصص دارد، اعلام کرده است که نرخ پرداخت باج در سه‌ماهه چهارم سال ۲۰۲۴ به پایین‌ترین حد خود یعنی ۲۵ درصد رسیده است، در حالی که این نرخ در مدت مشابه سال قبل ۲۹ درصد بود. این کاهش، ناشی از اقدامات نیروهای امنیتی، بهبود وضعیت امنیت سایبری و فشارهای قانونی برای خودداری از پرداخت باج است.

اگرچه رمزگذاری همچنان جزء اصلی بسیاری از حملات باج‌افزاری است، اما هدف اصلی برخی گروه‌ها تغییر کرده یا گسترده‌تر شده. در سال ۲۰۲۴، مجرمان سایبری به‌طور فزاینده‌ای بر سرقت اطلاعات حساس در کنار یا حتی به جای رمزگذاری تمرکز کرده‌اند تا از این طریق اهرم فشار بیشتری برای دریافت باج ایجاد کنند یا حتی تهدیداتی علیه طرف سوم‌ها مانند مشتریان، شرکا و تأمین‌کنندگان مطرح کنند. اگرچه رمزگذاری همچنان رایج است، اما افزایش استفاده از تاکتیک‌های باج‌گیری مضاعف یا سه‌گانه نشان‌دهنده تغییر استراتژیک است. گروه‌هایی مانند RansomHub و بسیاری از گروه‌های مدرن باج‌افزار، معمولاً رمزگذاری را با سرقت اطلاعات ترکیب می‌کنند و در صورت عدم پرداخت، تهدید به افشای یا فروش داده‌های سرقت‌شده می‌کنند، به همین دلیل سرقت داده اکنون به تاکتیکی اساسی در این حملات تبدیل شده است.

برهم خوردن یا مختل شدن فعالیت برخی از گروه‌های باج‌افزاری در سال ۲۰۲۴
چندین گروه اصلی باج‌افزار در سال ۲۰۲۴ با اختلالات جدی روبه‌رو شدند، هرچند انعطاف‌پذیری این اکوسیستم، تأثیر بلندمدت این اقدامات را محدود کرد. گروه LockBit که مسئول ۲۷.۷۸ درصد از حملات در سال ۲۰۲۳ بود، در فوریه ۲۰۲۴ در عملیات Cronos مورد هدف قرار گرفت و نیروهای امنیتی زیرساخت‌های آن را مصادره کردند، اعضایش را بازداشت کردند و رهبر آن، دیمیتری خروشوف را شناسایی کردند. با این حال، با وجود این تلاش‌ها، LockBit  فعالیت خود را دوباره آغاز کرد و در طول سال ۲۰۲۴ فعال باقی ماند.

گروه ALPHV/BlackCat نیز پس از عملیات FBI در دسامبر ۲۰۲۳ از هم پاشید، اما اعضای آن به گروه‌هایی مانند RansomHub مهاجرت کردند. عملیات Radar/Dispossessor در اوت ۲۰۲۴ توسط FBI مختل شد و مقامات آلمانی نیز ۴۷ صرافی رمزارز مرتبط با پول‌شویی باج‌افزار را توقیف کردند. با وجود این اقدامات، گروه‌هایی مانند RansomHub و Play به‌سرعت جای خالی گروه‌های حذف‌شده را پر کردند که این موضوع نشان‌دهنده دشواری نابودی کامل شبکه‌های باج‌افزاری است. با این حال، طبق آخرین تحقیقات، گروه RansomHub از اول آوریل ۲۰۲۵ فعالیت خود را به‌طور موقت متوقف کرده است.

برخی گروه‌ها ناپدید می‌شوند، دیگران فعالیت آن‌ها را ادامه می‌دهند
زمانی که گروه‌های باج‌افزاری از هم می‌پاشند یا ناپدید می‌شوند، ابزارها، تاکتیک‌ها و زیرساخت‌های آن‌ها اغلب در اکوسیستم مجرمان سایبری باقی می‌ماند و به گروه‌های دیگر اجازه می‌دهد تا آن‌ها را به کار گرفته و حتی بهبود دهند. به عنوان مثال، گروه‌هایی مانند BlackMatter یا REvil پس از فشارهای نیروهای امنیتی، شاهد استفاده مجدد از کدها و روش‌های خود توسط گروه‌های جانشینی مانند BlackCat بودند؛ گروهی که خود نیز بعدها جای خود را به Cicada3301 داد. گروه‌های ناپدیدشده ممکن است کد منبع، کیت‌های بهره‌برداری یا مدل‌های همکاری خود را در فروم‌های دارک‌وب به فروش برسانند، که این امکان را برای گروه‌های نوظهور یا موجود فراهم می‌کند تا این منابع را مجدداً مورد استفاده قرار دهند.

افزون بر این، گاهی ابزارهای مخرب به اینترنت نشت پیدا می‌کنند، مانند مورد LockBit 3.0. در نتیجه، بسیاری از گروه‌های کوچکتر یا افراد مستقل و غیرمرتبط با توسعه‌دهندگان اصلی باج‌افزار – از جمله هکتیویست‌ها یا مجرمان سایبری کم‌تجربه – به این ابزارها دست یافته و آن‌ها را برای اهداف خود به کار می‌گیرند. این چرخه انتقال دانش، روند تکامل باج‌افزارها را تسریع می‌بخشد، زیرا بازیگران جدید بر پایه راهکارهای اثبات‌شده عمل می‌کنند، در برابر اقدامات دفاعی سازگار می‌شوند و سریع‌تر از توان واکنش مدافعان، از آسیب‌پذیری‌ها بهره‌برداری می‌کنند. در تله‌متری، این گروه‌های جدید که از کیت‌های قدیمی استفاده می‌کنند، گاهی به اشتباه به‌عنوان گروه‌های قدیمی مانند LockBit شناسایی می‌شوند.

افزایش توسعه کیت‌های ابزار اختصاصی توسط گروه‌های باج‌افزار
گروه‌های باج‌افزاری برای افزایش اثربخشی حملات خود و دور زدن سیستم‌های شناسایی، روز‌به‌روز بیشتر به توسعه ابزارهای اختصاصی روی می‌آورند. این کیت‌ها اغلب شامل ابزارهای بهره‌برداری، حرکت جانبی در شبکه، حملات رمز عبور و غیره هستند که برای اهداف یا صنایع خاص سفارشی‌سازی شده‌اند. با ساخت ابزارهای اختصاصی، این گروه‌ها وابستگی خود به بهره‌برداری‌های رایج و قابل‌شناسایی را کاهش می‌دهند و کنترل کامل‌تری بر عملیات خود دارند. توسعه داخلی همچنین به آن‌ها اجازه می‌دهد تا به‌طور منظم ابزارهای خود را به‌روزرسانی کنند، از سامانه‌های دفاعی عبور کنند و آسیب‌پذیری‌های جدید را هدف بگیرند؛ این امر باعث می‌شود حملات آن‌ها پایدارتر و مقابله با آن‌ها دشوارتر شود.

سهم حملات باج‌افزاری عمومی در برابر هدفمند
حملات باج‌افزاری هدفمند که سازمان‌های خاص را برای ایجاد بیشترین اختلال و کسب بیشترین باج نشانه می‌گیرند، معمولاً بر نهادهای حساس مانند بیمارستان‌ها، مؤسسات مالی و نهادهای دولتی متمرکز هستند. این حملات با بهره‌گیری از شناسایی اولیه و آسیب‌پذیری‌های روز صفر، با دقت عمل می‌کنند. در مقابل، باج‌افزارهای عمومی به‌صورت تصادفی و گسترده از طریق فیشینگ یا دستگاه‌های خارجی منتشر می‌شوند و اغلب کسب‌و‌کارهای کوچک‌تر یا افراد با امنیت ضعیف‌تر را هدف قرار می‌دهند. تمرکز بر حملات هدفمند نشان‌دهنده ترجیح مجرمان سایبری به دریافت باج‌های بزرگ‌تر است، هرچند باج‌افزار عمومی همچنان به دلیل نیاز به تلاش اندک و پتانسیل انتشار گسترده پابرجاست. طبق تحقیقات ما، در سال ۲۰۲۴ گروه RansomHub فعال‌ترین گروه در انجام حملات هدفمند بوده است و پس از آن گروه Play در رتبه دوم قرار دارد.

ابزارهای هوش مصنوعی در توسعه باج‌افزار (FunkSec)
گروه FunkSec در اواخر سال ۲۰۲۴ به‌عنوان یک گروه باج‌افزاری ظهور کرد و به‌سرعت شناخته شد. این گروه تنها در ماه دسامبر چندین قربانی داشت و حتی از گروه‌های شناخته‌شده‌ای مانند Cl0p و RansomHub نیز پیشی گرفت. FunkSec با بهره‌گیری از مدل  (RaaS)، از تاکتیک اخاذی دوگانه استفاده می‌کند که کارش ترکیب رمزگذاری داده‌ها با سرقت اطلاعات است. این گروه بخش‌هایی مانند دولت، فناوری، مالی و آموزش را در کشورهایی نظیر هند، اسپانیا و مغولستان هدف قرار می‌دهد.

ویژگی قابل‌توجه FunkSec، وابستگی زیاد آن به ابزارهای مبتنی بر هوش مصنوعی به‌ویژه در توسعه بدافزار است. باج‌افزار این گروه دارای کدی است که با کمک هوش مصنوعی تولید شده و دارای توضیحاتی است که از نظر زبانی بی‌نقص هستند، که نشان‌دهنده استفاده از مدل‌های زبانی بزرگ (LLMs) برای تسریع توسعه و فرار از شناسایی است. برخلاف گروه‌های معمول باج‌افزاری که باج‌های چند میلیون دلاری درخواست می‌کنند، FunkSec رویکردی باج‌خواهی با مبلغ پایین و در حجم بالا را در پیش گرفته است.

ادامه حملات با روش استفاده از درایورهای آسیب‌پذیر (BYOVD)
حملات با استفاده از تکنیک «استفاده از درایور آسیب‌پذیر خودی[2]» در حملات باج‌افزاری به‌شدت در حال افزایش است. این روش برای دور زدن سامانه‌های امنیتی و دستیابی به دسترسی سطح کرنل  در سیستم‌های ویندوز به کار می‌رود.

در روش BYOVD، مهاجمان یک درایور معتبر اما آسیب‌پذیر – که معمولاً توسط فروشنده‌ای معتبر یا حتی مایکروسافت امضا شده است – را در سیستم هدف مستقر می‌کنند. این درایورها که در سطح هسته (Ring 0) و با دسترسی بسیار بالا عمل می‌کنند، دارای نقص‌هایی هستند که مهاجم می‌تواند با بهره‌گیری از آن‌ها، ابزارهای امنیتی را غیرفعال کرده، سطح دسترسی خود را افزایش دهد یا کد مخرب را بدون شناسایی اجرا کند. با استفاده از درایورهای امضاشده، مهاجمان از بررسی‌های امنیتی پیش‌فرض ویندوز عبور می‌کنند.

با وجود اینکه BYOVD یک تکنیک پیشرفته محسوب می‌شود، ابزارهای متن‌باز متعددی مانند EDRSandblast و Backstab این نوع حملات را ساده‌تر و قابل‌دسترسی‌تر کرده‌اند. بر اساس پروژه Living Off The Land Drivers (LOLDrivers)، صدها درایور آسیب‌پذیر شناسایی شده‌اند که وسعت این مشکل را نشان می‌دهد. مهاجمان همچنان به کشف درایورهای جدید آسیب‌پذیر ادامه می‌دهند و ابزارهایی مانند KDMapper امکان بارگذاری درایورهای امضانشده در حافظه از طریق BYOVD را فراهم می‌کنند، که باعث پیچیده‌تر شدن دفاع سایبری می‌شود.

در مناطق خاورمیانه و آسیا-اقیانوسیه، باج‌افزار سهم بیشتری از کاربران را تحت تأثیر قرار داده است؛ دلیل اصلی این موضوع، تحول دیجیتال سریع، گسترش سطح حمله و تفاوت در بلوغ امنیت سایبری میان کشورها است. در منطقه آسیا-اقیانوسیه، شرکت‌ها به‌ویژه هدف حملات گسترده‌ای قرار گرفتند که زیرساخت‌ها و فناوری عملیاتی (OT) را نشانه گرفته‌اند؛ این روند عمدتاً در کشورهایی مشاهده می‌شود که اقتصادشان در حال رشد بوده و قوانین جدیدی در زمینه حریم خصوصی داده‌ها وضع کرده‌اند.

در آفریقا، باج‌افزار شیوع کمتری دارد، زیرا سطح دیجیتالی شدن پایین‌تر و محدودیت‌های اقتصادی باعث کاهش تعداد اهداف باارزش می‌شود. با این حال، با گسترش اقتصاد دیجیتال در کشورهایی مانند آفریقای جنوبی و نیجریه، حملات باج‌افزاری نیز در حال افزایش هستند، به‌ویژه در بخش‌های تولید، مالی و دولتی. آگاهی و منابع امنیت سایبری محدود، سازمان‌های زیادی را در معرض خطر قرار داده، هرچند به دلیل سطح حمله کوچک‌تر، این منطقه همچنان عقب‌تر از مناطق پرریسک جهانی باقی مانده است.

در آمریکای لاتین نیز حملات باج‌افزاری مشاهده می‌شود، به‌ویژه در کشورهایی مانند برزیل، آرژانتین، شیلی و مکزیک. صنایعی همچون تولید، کشاورزی، خرده‌فروشی، و همچنین بخش‌های حیاتی مانند دولت و انرژی، در معرض خطر قرار دارند. هرچند محدودیت‌های اقتصادی و مبالغ نسبتاً پایین باج ممکن است برخی مهاجمان را منصرف کند، اما رشد روزافزون دیجیتال‌سازی در این منطقه سطح تهدید را افزایش داده است. به‌عنوان مثال، باج‌افزار NightSpire شرکت شیلیایی EmoTrans را که در حوزه لجستیک برای صنایع کلیدی مانند معدن، کشاورزی و تجارت بین‌المللی فعالیت می‌کند، هدف قرار داد.

این گروه که نخستین بار در مارس ۲۰۲۵ ظاهر شد، نهادهای دولتی، تولیدکنندگان و شرکت‌های مختلفی در سراسر جهان را هدف قرار داده و مانند بسیاری از گروه‌های دیگر، از تاکتیک اخاذی دوگانه استفاده کرده و دارای سایت مخصوص افشای داده‌ها  است.

در کشورهای عضو اتحادیه کشورهای مستقل مشترک‌المنافع (CIS)، سهم کاربران مواجه‌شده با باج‌افزار کمتر است. با این حال، گروه‌های هکتیویستی مانند Head Mare و Twelve که در این منطقه فعال هستند، از باج‌افزارهایی مانند LockBit 3.0 برای آسیب‌رسانی به سازمان‌های هدف استفاده می‌کنند. بخش‌های تولید، دولت و خرده‌فروشی بیشترین هدف‌گیری را داشته‌اند و تفاوت در بلوغ امنیتی در سراسر منطقه بر سطح حفاظت مؤثر است.

اروپا نیز با باج‌افزار مواجه است، اما به دلیل چارچوب‌ها و مقررات امنیت سایبری قدرتمند، برخی مهاجمان را بازمی‌دارد. بخش‌هایی مانند تولید، کشاورزی و آموزش هدف قرار می‌گیرند، اما بلوغ در واکنش به حوادث و آگاهی بالا، ابعاد این حملات را محدود کرده است. اقتصاد متنوع و دفاع‌های قوی این منطقه را به نقطه‌ای کمتر جذاب برای گروه‌های باج‌افزار در مقایسه با مناطقی با رشد دیجیتال سریع و امنیت ضعیف تبدیل کرده است.

به‌عنوان نمونه، گروه RansomHub مسئولیت حمله‌ای در سال ۲۰۲۴ به دفاتر اروپایی شرکت Kawasaki را بر عهده گرفت که منجر به اختلال در عملیات در چندین کشور شد. این نفوذ منجر به افشای اطلاعات مشتریان و داده‌های عملیاتی شد و زنجیره تأمین محصولات موتورسیکلت و صنعتی Kawasaki در اروپا را تحت تأثیر قرار داد. تأثیر منطقه‌ای این حمله در کشورهایی مانند آلمان و هلند – که Kawasaki حضور بازار قدرتمندی دارد – بسیار چشمگیر بود و ضعف‌های موجود در بخش تولید اروپا را برجسته کرد.

تهدیدات نوظهور و چشم‌انداز آینده

با نگاهی به سال ۲۰۲۵، پیش‌بینی می‌شود باج‌افزارها از طریق بهره‌برداری از آسیب‌پذیری‌های غیرمتعارف تکامل یابند؛ برای نمونه، گروه Akira از یک دوربین وب برای دور زدن سامانه‌های شناسایی و پاسخ به تهدیدات (EDR)  و نفوذ به شبکه‌های داخلی استفاده کرده است. مهاجمان به احتمال زیاد بیش‌ازپیش به سراغ نقاط ورود نادیده‌ گرفته‌شده، مانند دستگاه‌های اینترنت اشیاء (IoT)، لوازم هوشمند یا سخت‌افزارهای پیکربندی‌ نشده در محیط‌های کاری می‌روند و از سطح حمله گسترده‌ای که سیستم‌های به‌هم‌پیوسته ایجاد می‌کنند، بهره می‌برند. هرچه سازمان‌ها دفاع‌های سنتی خود را تقویت کنند، مجرمان سایبری نیز تاکتیک‌های خود را با تمرکز بر شناسایی پنهانی و حرکت جانبی در شبکه‌ها برای استقرار دقیق‌تر باج‌افزارها به‌روز می‌کنند، که این امر تشخیص و پاسخ‌دهی به‌موقع را دشوارتر می‌سازد.

انتظار می‌رود گروه‌های باج‌افزاری تاکتیک‌های اخاذی خود را نیز تشدید کرده و از اخاذی دوگانه فراتر رفته، به تهدیدهایی مانند افشای داده‌های حساس برای نهادهای نظارتی، رقبا یا عموم روی آورند. مدل «باج‌افزار به‌عنوان سرویس» (RaaS) همچنان فعال باقی خواهد ماند و به عاملان کم‌تجربه اجازه می‌دهد تا با خرید ابزارها و کیت‌های بهره‌برداری آماده، حملات پیچیده‌ای اجرا کنند.

تنش‌های ژئوپلیتیک نیز می‌توانند موجب افزایش فعالیت گروه‌های هکتیویستی یا کارزارهای باج‌افزاری تحت حمایت دولت‌ها شوند که زیرساخت‌های حیاتی مانند شبکه‌های انرژی یا سیستم‌های سلامت را هدف قرار می‌دهند. سازمان‌های کوچک با بودجه محدود برای امنیت سایبری بیش از پیش در معرض خطر خواهند بود، زیرا مهاجمان از ضعف دفاعی آن‌ها سوءاستفاده می‌کنند. برای تطبیق با این تهدیدات، کسب‌وکارها باید مدل‌های امنیتی مبتنی بر اعتماد صفر (Zero Trust)، ایمن‌سازی اکوسیستم IoT و آموزش کارکنان در برابر تهدیدات مهندسی اجتماعی و فیشینگ را در اولویت قرار دهند.

گسترش مدل‌های زبانی بزرگ (LLMs) طراحی‌شده برای مقاصد مجرمانه، دامنه و تأثیر باج‌افزار را افزایش خواهد داد. این مدل‌ها که در دارک‌وب به فروش می‌رسند، آستانه مهارت فنی موردنیاز برای تولید کد مخرب، اجرای کمپین‌های فیشینگ یا حملات مهندسی اجتماعی را کاهش می‌دهند، به‌گونه‌ای که حتی مجرمان غیرماهر نیز می‌توانند فریب‌های بسیار متقاعدکننده طراحی کرده یا استقرار باج‌افزار را خودکار کنند. همچنین، مفاهیم نوآورانه‌ای مانند RPA (اتوماسیون فرایند رباتیک) و LowCode که توسعه نرم‌افزار با رابط بصری و کمک هوش مصنوعی را ساده کرده‌اند، ممکن است توسط مهاجمان برای خودکارسازی حملات یا تولید کدهای جدید باج‌افزاری مورد استفاده قرار گیرند و تهدید را بیش از پیش گسترده کنند.

راهکارهای امنیتی

برای مقابله مؤثر با باج‌افزارها در سال ۲۰۲۵، سازمان‌ها و افراد باید یک استراتژی دفاعی چندلایه اتخاذ کنند که با تاکتیک‌های در حال تحول گروه‌هایی مانند  FunkSec، RansomHub  و دیگران که از هوش مصنوعی، BYOVD و اخاذی دوگانه بهره می‌برند، همخوانی داشته باشد.

• اولویت‌دهی به پیشگیری فعالانه از طریق وصله‌گذاری و مدیریت آسیب‌پذیری‌ها: بسیاری از حملات باج‌افزاری از سیستم‌های بدون وصله بهره می‌برند، بنابراین باید ابزارهای خودکار مدیریت وصله به‌کار گرفته شوند تا به‌روزرسانی‌های به‌موقع برای سیستم‌عامل‌ها، نرم‌افزارها و درایورها انجام شود.
• فعال‌سازی فهرست مسدودسازی درایورهای آسیب‌پذیر مایکروسافت: در محیط‌های ویندوزی، این کار برای مقابله با حملات BYOVD حیاتی است.
• اسکن منظم و اولویت‌بندی آسیب‌پذیری‌های با شدت بالا: به‌ویژه در نرم‌افزارهایی که به‌طور گسترده استفاده می‌شوند، مانند Microsoft Exchange یا VMware ESXi، که در سال ۲۰۲۴ به‌شدت هدف حمله قرار گرفتند.

•          تقویت امنیت نقاط پایانی و شبکه با شناسایی پیشرفته و تفکیک‌بندی
•          برای مقابله با حملات باج‌افزاری، ضروری است که امنیت اندپوینت و شبکه را با راهکارهای پیشرفته تقویت کنید. راه‌حل‌هایی مانند Kaspersky NEXT EDR  می‌توانند فعالیت‌های مشکوک مانند بارگذاری درایورها یا خاتمه فرایندها را پایش کرده و شناسایی کنند. تفکیک‌بندی شبکه  نیز به همان اندازه مهم است؛ با جداسازی سیستم‌های حیاتی و استفاده از دیوارهای آتشبرای محدود کردن ترافیک، می‌توان از حرکت جانبی  مهاجمان جلوگیری کرد. همچنین پیاده‌سازی معماری اعتماد صفرکه مستلزم احراز هویت مستمر برای دسترسی به منابع است، به کاهش سطح حمله کمک شایانی می‌کند.
•          سرمایه‌گذاری در پشتیبان‌گیری، آموزش و برنامه‌ریزی واکنش به رخداد
•          داشتن نسخه‌های پشتیبان  آفلاین یا تغییرناپذیر  و تست‌شده به‌طور منظم، به سازمان‌ها امکان می‌دهد بدون پرداخت باج، به سرعت بازیابی شوند. این نسخه‌ها باید شامل داده‌ها و سیستم‌های حیاتی باشند و در محیط‌های جدا از شبکه  ذخیره شوند تا از رمزگذاری یا حذف آن‌ها توسط مهاجمان جلوگیری شود.
•          آموزش کاربران نیز برای مقابله با فیشینگ حیاتی است؛ فیشینگ همچنان یکی از اصلی‌ترین بردارهای حمله است. اجرای تمرین‌های شبیه‌سازی‌شده فیشینگ و آموزش تشخیص ایمیل‌های طراحی‌شده با کمک هوش مصنوعی – همان‌طور که گروهFunkSec استفاده می‌کند – باعث افزایش آگاهی کارکنان می‌شود. تیم GERT کسپرسکیمی‌تواند به طراحی و تست برنامه واکنش به رخداد (IRP) کمک کند تا میزان توقف کار و هزینه‌ها در صورت حمله کاهش یابد.
•          توصیه به عدم پرداخت باج
•          توصیه قوی به پرداخت نکردن باج همچنان پابرجاست، به‌ویژه با در نظر گرفتن خطرهایی مانند در دسترس نبودن کلیدهای رمزگشایی به دلیل از کار افتادن زیرساخت گروه‌ها، بی‌نظمی میان همکارانیا اهداف مخرب، همان‌طور که در اختلالات سال ۲۰۲۴ مشاهده شد. با سرمایه‌گذاری در نسخه پشتیبان، آموزش، برنامه پاسخ به حادثه و اقدامات پیشگیرانه مانند وصله‌گذاری، سازمان‌ها می‌توانند از تأمین مالی مجرمان جلوگیری کرده و اثر حمله را به حداقل برسانند.
•          کسپرسکی همچنین رمزگشاهای رایگانبرای برخی خانواده‌های باج‌افزاری ارائه می‌دهد. در صورت آلودگی به باج‌افزار، بررسی کنید که آیا برای نوع مورد نظر شما رمزگشا وجود دارد یا خیر. حتی اگر در حال حاضر رمزگشایی در دسترس نباشد، ممکن است در آینده افزوده شود.

[1] Kaspersky Security Network

[2] BYOVD

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.