در طی چند سال گذشته، باج‌افزار به یکی از بزرگ‌ترین تهدیدات امنیتی تبدیل شده و مهاجمان فعالیت هایشان را تا حدی گسترش داده‌اند که میانگین آمارهای این قبیل حملات در طول یکسال ۱۰ برابر بیشتر شده است.

در حال حاضر ده‌ها اپراتور به عنوان سرویس دهنده باج‌افزارها فعالیت می‌کنند که هر کدام سرورهای وابسته خود را دارند و بر روی سازمان‌های بخصوصی تمرکز کرده‌اند.

پس از توقف فعالیت‌های گروه GandCrab در اوایل سال ۲۰۱۹، چشم انداز باج‌افزارها به شدت تغییر یافت. مدلی که این گروه ارائه داد، به یک استراتژی تبدیل شد و راه هکرهای حرفه‌ای برای رسیدن به درآمدهای کلان را هموار کرد.

افزایش شدید باج خواهی:

سازمان امنیت سایبری Group-IB تحقیقاتی انجام داده و در آن نحوه تغییرات باج‌افزارها را از سال ۲۰۱۸ تا به امروز بررسی کرده است. این تحقیقات نشان می‌دهد که هکرها با استخراج داده‌ها قبل از رمزنگاری کردن آنها، قیمت خود را افزایش می‌دهند. همچنین با همین داده‌ها، قربانی را به پرداخت هزینه درخواستی مجبور می‌کنند.

این تحقیقات نشان می‌دهد که حملات باج‌افزاری ۴۰% افزایش یافته و اغلب شرکت ها و سازمان‌های بزرگ هدف قرار داده می‌شوند. این اتفاق باعث شده که مبلغ وجه درخواستی در این حملات از ۶۰۰۰ دلار به ۸۴ هزار دلار افزایش پیدا کند. دو گروه شناخته شده در زمینه باج‌افزار Ryuk و REvil هستند.

طبق آمارهای منتشر شده از شرکتهای فعال در زمینه امنیت باج‌افزار، میانگین وجه درخواستی در هر حمله به ۱۱۱۶۰۵ دلار رسیده که بازهم دو گروه Ryuk و REvil در این افزایش نقش زیادی داشته‌اند.

تاکتیک‌ها، ترفندها و فرآیندها

یک شرکت سنگاپوری در مورد ترفند‌های نفوذ مورد استفاده در باج‌افزارها تحقیقاتی انجام داده که نتایج آن نشان می‌دهد، نفوذ از طریق پروتکل RDP (اتصال از راه دور) و فیشینگ هدفمند در صدر این لیست قرار دارند.

۷۰ تا ۸۰% حملات باج‌افزاری از طریق RDP صورت می‌گیرد. هکرهای حرفه‌ای‌تر در حملات خود از روش‌هایی استفاده می‌کنند که امکان دسترسی به هدف‌های با ارزش‌تری را برای آنها فراهم می‌‌کند. این افراد زنجیره‌های توزیع و ارائه دهندگان سرویس های مدیریت شده را هدف قرار داده و از ایرادات پچ نشده در اپلیکیشن‌های عمومی بهره‌جویی می‌کنند.

پس از این مرحله، مهاجم می‌تواند فعالیت‌هایی مثل تداوم حضور، دستکاری سطح دسترسی (در صورت نیاز)، فریب تدابیر دفاعی، دستیابی به اطلاعات ورود به حساب، نقشه برداری از شبکه، نفوذ به میزبان‌های باارزش‌تر سرقت و رمزنگاری فایل‌ها را انجام دهد.

طبق گزارشی که گروه IB منتشر کرده، حتی گروه‌های حرفه‌ای مثل Ryuk، LockerGoga، REvil، MegaCortex و NetWalker برای نفوذ به سیستم قربانیان خود از RDP استفاده می‌کنند، زیرا در این روش به راحتی می‌توان از پورت‌های باز شبکه‌ها به سرورها نفوذ کرد.

برای نفوذ به شبکه سازمان‌ها از فیشینگ به کرات استفاده شده که در این بین گروه‌هایی مثل Emotet، Ryuk و Megacortex برای نفوذ به شبکه سازمان ها بیشتر از فیشینگ بهره گرفته‌اند.

در حملاتی که توسط گروه REvil صورت گرفته، بهره‌جویی از آسیب‌پذیری‌های شناخته شده در WebLogic Server و Pulse Secure VPN بیشتر به چشم می‌خورد.

در حملات اخیر مشاهده شده که در صورت عدم پرداخت مبلغ درخواستی، داده‌های قربانی در اینترنت منتشر می‌گردد. این اتفاق پس از انتشار داده‌های شرکت Allied Universal، توسط گروه Magazine افزایش یافت.

در حال حاضر ۱۲ گروه فعال در زمینه باج‌افزار، وب‌سایت های انتشار داده در اختیار دارند و باقی افراد و گروه‌ها، لینک دانلود داده‌ها را در انجمن‌ها قرار می‌دهند.

برخی از این قیمت‌ها واقعا غیر قابل باور هستند، برای مثال REvil برای عدم انتشار داده‌ها و مشخصات مربوط به مشتریان یک شرکت تفریحی(که نام‌های مشهوری در این لیست قرار داشته)، ۲۱ میلیون دلار درخواست کرده است.

باج‌افزار دیگری به نام Ako درآمد خود را با یک روش ساده افزایش داده است. این باج‌افزار دوبار از قربانی پول می‌گیرد، بار اول برای دادن کلید رمزگشایی فایل‌ها و بار دوم برای منتشر نکردن اطلاعات.

نظرات

نظر (به‌وسیله فیس‌بوک)