روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  دیروز 12 ماه می، روز جهانی مبارزه با باج‌افزار بود. این روز به‌یادماندنی در سال ۲۰۲۰ با همکاری اینترپل و کسپرسکی بنیان‌گذاری شد. با یک روز تأخیر در این مقاله قصد داریم به بررسی روندهایی بپردازیم که در رخدادهای مرتبط با باج‌افزار قابل مشاهده‌اند و نشان می‌دهند که مذاکره با مهاجمان و پرداخت باج به‌صورت رمزارز، به‌طور فزاینده‌ای به ایده‌ای نادرست تبدیل شده است.

کیفیت پایین ابزارهای رمزگشا

زمانی که زیرساخت یک شرکت در پی حمله‌ای باج‌افزاری رمزگذاری می‌شود، نخستین خواسته کسب‌وکار این است که هرچه سریع‌تر عملیات عادی خود را از طریق بازیابی داده‌ها در ایستگاه‌های کاری و سرورها از سر بگیرد. در یادداشت‌های باج‌گیری ممکن است این‌طور به نظر برسد که پس از پرداخت باج، شرکت یک برنامه رمزگشا دریافت خواهد کرد که به‌سرعت تمام اطلاعات را به حالت اولیه بازمی‌گرداند و اجازه می‌دهد فرایندهای کاری تقریباً بدون دردسر ادامه پیدا کند. اما در عمل، این اتفاق تقریباً هرگز نمی‌افتد. اول اینکه، برخی باج‌گیران قربانیان خود را فریب می‌دهند و هیچ ابزار رمزگشایی در اختیار آن‌ها نمی‌گذارند. چنین مواردی با افشای مکاتبات داخلی گروه باج‌افزاری Black Basta به‌شکل گسترده‌ای شناخته شده‌اند.

دوم، مجرمان سایبری در رمزگذاری تخصص دارند، نه در رمزگشایی؛ به همین دلیل تلاش چندانی برای بهبود عملکرد برنامه‌های رمزگشای خود نمی‌کنند. نتیجه آن، ابزارهایی با عملکرد ضعیف و کند است. در بسیاری موارد، بازیابی اطلاعات از نسخه پشتیبان سریع‌تر از استفاده از ابزار مهاجمان است. رمزگشاهای آن‌ها معمولاً در مواجهه با نام فایل‌های نادر یا مشکلات دسترسی (یا حتی بدون دلیل مشخص) دچار خطا می‌شوند و فاقد مکانیزمی برای ادامه رمزگشایی از نقطه توقف هستند. گاهی اوقات نیز به‌دلیل منطق معیوب، فایل‌ها را به‌طور کامل خراب می‌کنند.

حملات مکرر

این واقعیت که باج‌گیر همیشه می‌تواند باج‌گیری را ادامه دهد، برای همه شناخته‌شده است؛ باج‌گیری با استفاده از باج‌افزار نیز از همین قاعده پیروی می‌کند. گروه‌های مجرمانه سایبری با یکدیگر در ارتباط هستند و افراد وابسته  بین ارائه‌دهندگان خدمات باج‌افزار به‌عنوان سرویس جابه‌جا می‌شوند. علاوه‌بر‌این، در مواردی که نیروهای امنیتی موفق به متوقف‌کردن یک گروه می‌شوند، معمولاً نمی‌توانند تمام اعضای آن را بازداشت کنند، و کسانی که از دستگیری می‌گریزند، در گروهی دیگر به همان شیوه ادامه می‌دهند. در نتیجه، اطلاعات مربوط به پرداخت موفقیت‌آمیز باج توسط یک قربانی، در اختیار گروه‌های جدید قرار می‌گیرد و آن‌ها نیز تلاش می‌کنند همان سازمان را دوباره هدف قرار دهند – و اغلب نیز موفق می‌شوند.

سخت‌گیرانه‌تر شدن قوانین

مهاجمان امروزی تنها به رمزگذاری داده‌ها بسنده نمی‌کنند، بلکه اطلاعات را نیز می‌دزدند؛ موضوعی که برای شرکت‌ها ریسک‌های بلندمدتی به‌همراه دارد. پس از یک حمله باج‌افزاری، یک شرکت معمولاً با سه گزینه روبه‌روست:

•         گزارش عمومی رخداد و بازیابی عملیات و داده‌ها بدون هیچ‌گونه ارتباطی با مهاجمان؛
•         گزارش رخداد، اما پرداخت باج برای بازیابی داده‌ها و جلوگیری از انتشار آن‌ها؛
•         پنهان‌کاری و پرداخت باج در ازای سکوت مهاجمان.

گزینه سوم همواره بمبی ساعتی بوده است – همان‌طور که در پرونده‌های Westend Dental وBlackbaud مشاهده شد. افزون بر این، بسیاری از کشورها اکنون در حال تصویب قوانینی هستند که چنین اقداماتی را غیرقانونی اعلام می‌کنند. برای نمونه:

 دستورالعمل NIS2  (امنیت شبکه و اطلاعات) و قانون DORA  (قانون تاب‌آوری عملیاتی دیجیتال) که در اتحادیه اروپا تصویب شده‌اند، شرکت‌ها در صنایع مختلف، به‌ویژه کسب‌وکارهای بزرگ و حیاتی، را ملزم به گزارش سریع رخدادهای سایبری کرده و همچنین الزامات سخت‌گیرانه‌ای برای تاب‌آوری سایبری وضع می‌کنند؛ در بریتانیا، قانونی در دست بررسی است که پرداخت باج توسط سازمان‌های دولتی و زیرساخت‌های حیاتی را ممنوع کرده و همه کسب‌وکارها را ملزم به گزارش سریع حملات باج‌افزاری می‌کند؛ در سنگاپور، قانون امنیت سایبری به‌روزرسانی شده و اکنون اپراتورهای زیرساخت‌های اطلاعاتی حیاتی را موظف می‌سازد تا رخدادها – از جمله حملات زنجیره تأمین و هرگونه اختلال در خدمات مشتری – را گزارش دهند؛ در ایالات متحده، مجموعه‌ای از دستورالعمل‌های فدرال و قوانین ایالتی در حال بررسی و تا حدی تصویب شده‌اند که پرداخت‌های بزرگ (بیش از ۱۰۰٬۰۰۰ دلار) به مجرمان سایبری را ممنوع کرده و الزام گزارش‌دهی فوری را ایجاد می‌کنند.

بنابراین، حتی اگر شرکتی موفق به بازیابی عملیات خود پس از یک حادثه شود، در صورتی که باج را مخفیانه پرداخت کرده باشد، در صورت افشای این موضوع (برای مثال پس از دستگیری مهاجمان)، ممکن است سال‌ها با عواقب ناخوشایندی روبه‌رو شود.

نبود تضمین

در بسیاری از موارد، شرکت‌ها باج را نه برای رمزگشایی، بلکه برای تضمین عدم انتشار داده‌های سرقت‌شده و پنهان ماندن حمله پرداخت می‌کنند. اما هرگز هیچ تضمینی وجود ندارد که این اطلاعات بعداً در جایی منتشر نشود. همان‌طور که حوادث اخیر نشان می‌دهد، افشای حمله و داده‌های سرقتی می‌تواند در چندین سناریو اتفاق بیافتد:

در پی اختلاف داخلی میان مهاجمان: برای مثال، در نتیجه درگیری‌های درون‌گروهی یا حمله یک گروه به زیرساخت‌های گروهی دیگر. در چنین مواردی، داده‌های قربانیان برای انتقام‌جویی منتشر می‌شوند یا به‌منظور آسیب‌زدن به رقیب فاش می‌شوند. در سال ۲۰۲۵، اطلاعات قربانیان در افشای مکاتبات داخلی گروه Black Basta دیده شد؛ همچنین، پس از نابودی و تصرف زیرساخت دو گروه BlackLock و Mamona توسط گروه DragonForce، داده‌های قربانیان به‌صورت عمومی منتشر شد. در تاریخ ۷ مه نیز، وب‌سایت Lockbit هک شد و داده‌های پنل مدیریتی آن – شامل فهرست و توضیح کامل قربانیان شش ماه گذشته – در دسترس عموم قرار گرفت.

در جریان یورش نیروهای امنیتی به گروه‌های باج‌افزاری: در چنین مواردی، هرچند پلیس داده‌ها را منتشر نمی‌کند، اما افشای وقوع حمله اجتناب‌ناپذیر است. سال گذشته، فهرست قربانیان گروه Lockbit از همین طریق علنی شد. در اثر اشتباه خود گروه باج‌افزاری: زیرساخت‌های این گروه‌ها معمولاً به‌خوبی محافظت نمی‌شوند و داده‌های سرقتی ممکن است به‌طور تصادفی توسط پژوهشگران امنیتی، رقبا، یا حتی افراد عادی کشف شوند. نمونه بارز آن، انتشار مجموعه‌ای عظیم از داده‌های سرقتی از پنج شرکت بزرگ توسط گروه فعال‌گرای DDoSecrets بود.

شاید باج‌افزار مشکل اصلی نباشد

به لطف فعالیت نیروهای امنیتی و تکامل قوانین، تصویر «گروه باج‌افزاری معمولی» به‌شدت تغییر کرده است. فعالیت گروه‌های بزرگ که در سال‌های ۲۰۲۰ تا ۲۰۲۳ رایج بود، کاهش یافته و در مقابل، مدل «باج‌افزار به‌عنوان سرویسیاهمان RaaS به صحنه آمده است، جایی که حملات توسط تیم‌های کوچک یا حتی افراد مستقل انجام می‌شود. یکی از روندهای مهم این است که با وجود افزایش تعداد حملات، مجموع مبالغ پرداخت‌شده کاهش یافته است. دو دلیل اصلی برای این موضوع وجود دارد: نخست، قربانیان بیش از گذشته از پرداخت خودداری می‌کنند؛ دوم، باج‌گیرها ناچار شده‌اند شرکت‌های کوچک‌تر را هدف قرار دهند و باج کمتری طلب کنند. آمار دقیق‌تر را می‌توان در گزارش ما در  Securelist  مشاهده کرد. اما تغییر اصلی در انگیزه مهاجمان است. مواردی دیده شده که در آن‌ها اهداف حمله ترکیبی است؛ به‌عنوان‌مثال، یک گروه هم‌زمان در حال جاسوسی سایبری و آلوده‌سازی زیرساخت‌ها با باج‌افزار بوده است. گاهی اوقات باج‌افزار تنها بهانه‌ای برای پوشاندن عملیات جاسوسی است و گاه مهاجمان برای طرفی دیگر مشغول استخراج اطلاعات هستند و باج‌گیری تنها منبع درآمد جانبی محسوب می‌شود. این یعنی برای صاحبان کسب‌وکار و مدیران، در صورت بروز یک حادثه باج‌افزاری، تعیین دقیق انگیزه مهاجم یا سنجش سابقه و اعتبار آن عملاً غیرممکن است.

نحوه مقابله با یک حمله باج‌افزاری

نتیجه‌گیری روشن است: پرداخت پول به اپراتورهای باج‌افزار نه‌تنها راه‌حل نیست، بلکه می‌تواند موجب تداوم و تشدید مشکل شود. کلید بازیابی سریع کسب‌وکار، در داشتن یک برنامه واکنش از پیش آماده‌شده نهفته است. سازمان‌ها باید برای تیم‌های فناوری اطلاعات و امنیت اطلاعات خود، برنامه‌های واکنش دقیق و ساختاریافته در مواجهه با حمله باج‌افزاری تدوین کنند. در این برنامه‌ها باید به‌طور خاص به موارد زیر توجه شود:

•         قرنطینه‌سازی سریع سیستم‌ها و زیرشبکه‌ها برای جلوگیری از گسترش آلودگی؛
•         غیرفعال‌سازی دسترسی‌های VPN و ارتباطات راه دور در کوتاه‌ترین زمان ممکن؛
•         غیرفعال کردن حساب‌های کاربری حساس، به‌ویژه حساب‌های ادمین اصلی و انتقال موقت به حساب‌های پشتیبان؛
•         تمرین منظم برای بازیابی از نسخه‌های پشتیبان تا تیم‌ها در زمان واقعی آماده عمل باشند؛ نگهداری نسخه‌های پشتیبان در سیستم‌های ایزوله‌شده که از دسترس حملات خارج هستند و امکان خراب شدن آن‌ها وجود ندارد.

 برای اجرای مؤثر این اقدامات و واکنش سریع پیش از آن‌که حمله به کل شبکه گسترش یابد، وجود یک فرآیند پایش عمیق و مداوم ضروری است. شرکت‌های بزرگ می‌توانند از راهکارهای XDR  (تشخیص و پاسخ گسترده) بهره‌مند شوند؛ شرکت‌های کوچک‌تر نیز با استفاده از خدمات MDR  (تشخیص و پاسخ مدیریت‌شده) می‌توانند نظارت و پاسخ‌گویی سطح بالا را بدون نیاز به تیم داخلی پرهزینه تجربه کنند. در نهایت، واکنش مؤثر به حملات باج‌افزاری بیش از آنکه به پرداخت وابسته باشد، به آمادگی پیشگیرانه، آموزش مستمر، و ابزارهای مناسب امنیتی بستگی دارد.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.