در طی چند سال گذشته، باجافزار به یکی از بزرگترین تهدیدات امنیتی تبدیل شده و مهاجمان فعالیت هایشان را تا حدی گسترش دادهاند که میانگین آمارهای این قبیل حملات در طول یکسال ۱۰ برابر بیشتر شده است.
در حال حاضر دهها اپراتور به عنوان سرویس دهنده باجافزارها فعالیت میکنند که هر کدام سرورهای وابسته خود را دارند و بر روی سازمانهای بخصوصی تمرکز کردهاند.
پس از توقف فعالیتهای گروه GandCrab در اوایل سال ۲۰۱۹، چشم انداز باجافزارها به شدت تغییر یافت. مدلی که این گروه ارائه داد، به یک استراتژی تبدیل شد و راه هکرهای حرفهای برای رسیدن به درآمدهای کلان را هموار کرد.
افزایش شدید باج خواهی:
سازمان امنیت سایبری Group-IB تحقیقاتی انجام داده و در آن نحوه تغییرات باجافزارها را از سال ۲۰۱۸ تا به امروز بررسی کرده است. این تحقیقات نشان میدهد که هکرها با استخراج دادهها قبل از رمزنگاری کردن آنها، قیمت خود را افزایش میدهند. همچنین با همین دادهها، قربانی را به پرداخت هزینه درخواستی مجبور میکنند.
این تحقیقات نشان میدهد که حملات باجافزاری ۴۰% افزایش یافته و اغلب شرکت ها و سازمانهای بزرگ هدف قرار داده میشوند. این اتفاق باعث شده که مبلغ وجه درخواستی در این حملات از ۶۰۰۰ دلار به ۸۴ هزار دلار افزایش پیدا کند. دو گروه شناخته شده در زمینه باجافزار Ryuk و REvil هستند.
طبق آمارهای منتشر شده از شرکتهای فعال در زمینه امنیت باجافزار، میانگین وجه درخواستی در هر حمله به ۱۱۱۶۰۵ دلار رسیده که بازهم دو گروه Ryuk و REvil در این افزایش نقش زیادی داشتهاند.
تاکتیکها، ترفندها و فرآیندها
یک شرکت سنگاپوری در مورد ترفندهای نفوذ مورد استفاده در باجافزارها تحقیقاتی انجام داده که نتایج آن نشان میدهد، نفوذ از طریق پروتکل RDP (اتصال از راه دور) و فیشینگ هدفمند در صدر این لیست قرار دارند.
۷۰ تا ۸۰% حملات باجافزاری از طریق RDP صورت میگیرد. هکرهای حرفهایتر در حملات خود از روشهایی استفاده میکنند که امکان دسترسی به هدفهای با ارزشتری را برای آنها فراهم میکند. این افراد زنجیرههای توزیع و ارائه دهندگان سرویس های مدیریت شده را هدف قرار داده و از ایرادات پچ نشده در اپلیکیشنهای عمومی بهرهجویی میکنند.
پس از این مرحله، مهاجم میتواند فعالیتهایی مثل تداوم حضور، دستکاری سطح دسترسی (در صورت نیاز)، فریب تدابیر دفاعی، دستیابی به اطلاعات ورود به حساب، نقشه برداری از شبکه، نفوذ به میزبانهای باارزشتر سرقت و رمزنگاری فایلها را انجام دهد.
طبق گزارشی که گروه IB منتشر کرده، حتی گروههای حرفهای مثل Ryuk، LockerGoga، REvil، MegaCortex و NetWalker برای نفوذ به سیستم قربانیان خود از RDP استفاده میکنند، زیرا در این روش به راحتی میتوان از پورتهای باز شبکهها به سرورها نفوذ کرد.
برای نفوذ به شبکه سازمانها از فیشینگ به کرات استفاده شده که در این بین گروههایی مثل Emotet، Ryuk و Megacortex برای نفوذ به شبکه سازمان ها بیشتر از فیشینگ بهره گرفتهاند.
در حملاتی که توسط گروه REvil صورت گرفته، بهرهجویی از آسیبپذیریهای شناخته شده در WebLogic Server و Pulse Secure VPN بیشتر به چشم میخورد.
در حملات اخیر مشاهده شده که در صورت عدم پرداخت مبلغ درخواستی، دادههای قربانی در اینترنت منتشر میگردد. این اتفاق پس از انتشار دادههای شرکت Allied Universal، توسط گروه Magazine افزایش یافت.
در حال حاضر ۱۲ گروه فعال در زمینه باجافزار، وبسایت های انتشار داده در اختیار دارند و باقی افراد و گروهها، لینک دانلود دادهها را در انجمنها قرار میدهند.
برخی از این قیمتها واقعا غیر قابل باور هستند، برای مثال REvil برای عدم انتشار دادهها و مشخصات مربوط به مشتریان یک شرکت تفریحی(که نامهای مشهوری در این لیست قرار داشته)، ۲۱ میلیون دلار درخواست کرده است.
باجافزار دیگری به نام Ako درآمد خود را با یک روش ساده افزایش داده است. این باجافزار دوبار از قربانی پول میگیرد، بار اول برای دادن کلید رمزگشایی فایلها و بار دوم برای منتشر نکردن اطلاعات.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.