باج افزار چیست؟
باجافزار، نوعی بدافزار است که کاربران را از دسترسی به سیستم یا فایلهای شخصی خود بازمیدارد و برای دسترسی مجدد درخواست باج میکند. درحالیکه برخی از مردم ممکن است فکر کنند “ویروس کامپیوتر من را قفل کرده است”، باجافزار معمولاً بهعنوان یک بدافزار متفاوت از ویروس طبقهبندی میشود. اولین گونههای باجافزار در اواخر دهه ۱۹۸۰ توسعه یافتند. امروزه، درخواست پول از طریق ارز دیجیتال توسط مهاجمان به افراد، مشاغل و سازمانهای مختلف را هدف قرار میدهند صورت میگیرد. برخی از نویسندگان باجافزار این سرویس را به مجرمان سایبری دیگر میفروشند که با نام Ransomware-as-a-Service یا RaaS شناخته میشود.
باج گیری اینترنتی
بهبیاندیگر باجافزار بدافزاری است که برای ممانعت از دسترسی کاربر یا سازمان به فایلهای رایانهشان طراحیشده است. این بدافزارها با رمزگذاری این فایلها و درخواست پرداخت باج برای دریافت کلید رمزگشایی، سازمانها را در موقعیتی قرار میدهند که پرداخت باج سادهترین و ارزانترین راه برای دسترسی مجدد به فایلهایشان است. برخی از انواع باج افزارها، قابلیتهای اضافی مانند سرقت دادهها را اضافه کردهاند تا برای قربانیان باجافزار انگیزه بیشتری برای پرداخت باج فراهم کنند.
حملات باج افزاری از چه طریقی صورت میگیرند
هرزنامه
هرزنامه یا spam mail یکی از روشهای مرسوم حملات باج افزارها است. برخی از عوامل تهدید از هرزنامه استفاده میکنند، جایی که ایمیلی را با یک پیوست مخرب برای عده زیادی از افراد ارسال میکنند و میبینند چه کسی پیوست را باز میکند و بهاصطلاح «طعمه را میگیرد». هرزنامه مخرب یا malspam ایمیل ناخواستهای است که برای ارسال بدافزار استفاده میشود. این ایمیل ممکن است شامل پیوست های معمولی مانند فایلهای PDF یا Word باشد. همچنین ممکن است حاوی پیوندهایی به وبسایتهای مخرب باشد.
تبلیغات آلوده
یکی دیگر از روشهای رایج انتشار، تبلیغات آلوده است. تبلیغات آلوده به بدافزار است، استفاده از تبلیغات آنلاین برای توزیع بدافزار بدون نیاز به تعامل کاربر نیز امکانپذیر است. در حین جستجو در صفحات وب، حتی سایتهای قانونی، ممکن است کاربران حتی بدون کلیک بر روی آگهی به سرورهای مجرم هدایت شوند. این سرورها جزئیات مربوط به رایانههای قربانی و مکان آنها را فهرست بندی میکنند و سپس بدافزار مناسب برای حمله را انتخاب میکنند.
بدافزارها معمولاً از یک نمایه Iframe آلوده یا یک عنصر مخفی وب برای اهداف خود استفاده میکنند. نمایه آلوده قربانی را به یک صفحه فرود جدید هدایت کرده و با استفاده از exploit kit کدهای مخرب را به قربانی منتقل میکند. این اتفاق معمولاً بدون اینکه قربانی از حمله مطلع شده باشد در پی یک واکنش مانند فشردن دگمه دانلود اتفاق میافتد.
رمزگیری
یک وسیله هدفمندتر برای حمله باجافزار از طریق نیزه رمزگیری Spear phishing است. نمونهای از رمزگیری میتواند ارسال ایمیل به کارمندان یک شرکت خاص باشد، با این ادعا که مدیرعامل از شما میخواهد در نظرسنجی مهم کارمندان شرکت کنید، یا بخش منابع انسانی از شما میخواهد که یک خطمشی جدید را دانلود و بخوانید. اصطلاح “صید نهنگ” برای توصیف چنین روشهایی استفاده میشود که هدف آن تصمیمگیرندگان سطح بالا در یک سازمان، مانند مدیرعامل یا سایر مدیران اجرایی است.
تفاوت این روش با هرزنامهها در این است که در هرزنامه حملات بهصورت انبوه و غیر هدفمند صورت میگیرد ولی درروش رمزگیری مخاطبان حمله دستچین شده و منحصر به یک گروه یا سازمان خاص هستند.
مهندسی اجتماعی
مهاجمین ممکن است از مهندسی اجتماعی برای فریب دادن افراد برای باز کردن پیوستها یا کلیک کردن بر روی پیوندها با نشان دادن مشروعیت خودشان استفاده کنند. ممکن است خود را بهجای یک موسسه قابلاعتماد یا یک دوست جا بزنند. مجرمان سایبری از مهندسی اجتماعی در انواع دیگر حملات باجافزار استفاده میکنند، مثلاً انتشار نسخه رایگان یک کتاب موردنیاز گروهی از دانشجویان یک رشته خاص.
مثال دیگری از مهندسی اجتماعی این است که یک عامل تهدید اطلاعاتی را از پروفایلهای عمومی رسانههای اجتماعی شما در مورد علایق شما، مکانهایی که اغلب بازدید میکنید، شغلتان و غیره جمعآوری کند و از برخی از این اطلاعات برای ارسال پیامی که برای شما آشنا به نظر میرسد استفاده کند.
روش مهندسی اجتماعی باعث ایجاد اعتماد لحظهای و به تبعان غفلت قربانی و ورود به صفحه یا دانلود فایل آلوده میشود.
باجافزار چگونه کار میکند
برای موفقیت، باجافزار باید به یک سیستم هدف دسترسی پیدا کند، فایلها را در آنجا رمزگذاری کند و از قربانی باج بگیرد.
درحالیکه جزئیات پیادهسازی از یک نوع باجافزار به باجافزار دیگر متفاوت است، همه سه مرحله بنیادین یکسانی دارند.
مرحله ۱٫ آلوده نمودن سیستم
باجافزار، مانند هر بدافزار، میتواند به روشهای مختلف به دستگاههای سازمان دسترسی پیدا کند. بااینحال، اپراتورهای باجافزار تمایل دارند چند روش خاص را ترجیح دهند.
یکی دیگر از روشهای آلود سازی محبوب توسط باجافزار مورداستفاده توسط مهاجمین زمانی است که قربانی از خدماتی مانند پروتکل دسکتاپ از راه دور Remote Desktop Protocol (RDP) بهره میبرد. با RDP، مهاجمی که اطلاعات ورود یک کارمند را به سرقت برده یا حدس زده است، میتواند از آنها برای احراز هویت و دسترسی از راه دور به یک رایانه در شبکه سازمانی استفاده کند. با این دسترسی، مهاجم میتواند مستقیماً بدافزار را وارد کرده و آن را بر روی دستگاه تحت کنترل خود اجرا کند.
مرحله ۲٫ رمزگذاری دادهها
پسازاینکه باجافزار به یک سیستم دسترسی پیدا کرد، میتواند رمزگذاری فایلهای خود را آغاز کند. ازآنجاییکه قابلیت رمزگذاری در یک سیستمعامل تعبیهشده است، مهاجم بهسادگی میتواند به فایلها دسترسی پیداکرده و آنها را با کلیدی که تنها در اختیار خود اوست رمزگذاری نموده و با فایلهای اصلی جایگزین نماید. برخی از باج افزارها فایلهای پشتیان موجود را نیز از سیستم بهطور دائم حذف میکنند.
رمز گذاری
مرحله ۳٫درخواست باج
هنگامیکه رمزگذاری فایل کامل شد، باجافزار برای درخواست باج آماده میشود. انواع مختلف باجافزار این کار را به روشهای متعددی اجرا میکنند، معمولاً تغییر پسزمینه نمایش به یادداشت باج یا درج فایلهای متنی در هر فهرست رمزگذاریشده حاوی یادداشت باج، متداول است.
بهطورمعمول، این یادداشتها درازای دسترسی به فایلهای قربانی، مقدار مشخصی ارز دیجیتال را طلب میکنند. اگر باج پرداخت شود، اپراتور باجافزار یا یک کپی از کلید خصوصی مورداستفاده برای محافظت از کلید رمزگذاری متقارن یا یک کپی از خود کلید رمزگذاری متقارن ارائه میدهد. این اطلاعات را میتوان در یک برنامه رمزگشا (که توسط مجرم سایبری نیز ارائه میشود) وارد کرد که میتواند از آن برای معکوس کردن رمزگذاری و بازگرداندن دسترسی به فایلهای کاربر استفاده کند.
درحالیکه این سه مرحله اصلی در همه انواع باجافزار وجود دارد، باجافزارهای مختلف میتوانند شامل پیادهسازیهای متفاوت یا مراحل اضافی باشند. برای مثال، انواع باجافزار مانند Maze، اسکن فایلها، اطلاعات رجیستری و سرقت دادهها را قبل از رمزگذاری دادهها انجام میدهند، و باجافزار WannaCry سایر دستگاههای آسیبپذیر را برای آلوده کردن و رمزگذاری اسکن میکند.
حملات مشهور باج افزارها
حمله باج افزار به مدارس دولتی بوفالو
انواع باج افزارها ازنظر عملکرد
باج افزارهای رمزنگاری یا رمزگذارها encryptors
یکی از شناختهشدهترین و مخربترین انواع هستند. این نوع فایلها و دادههای درون یک سیستم را رمزگذاری میکند و محتوا را بدون کلید رمزگشایی غیرقابل دسترسی میکند.
باج افزارهای قفل کننده Lockers بهطور کامل دسترسی شما را به سیستم خودتان قفل میکنند، بنابراین فایلها و برنامههای شما غیرقابل دسترسی هستند. یک صفحه قفل تقاضای باج را نشان میدهد، احتمالاً با یک ساعت شمارش معکوس برای افزایش فوریت و وادار کردن قربانیان به اقدام و واکنش سریع به خواسته باج گیر.
هراس افزارها Scareware
نرمافزار جعلی است که ادعا میکند ویروس یا مشکل دیگری را در رایانه شما شناسایی کرده است و به شما دستور میدهد برای رفع مشکل پول پرداخت کنید. برخی از انواع نرمافزارهای ترسناک کامپیوتر را قفل میکنند، درحالیکه برخی دیگر بهسادگی صفحه را با هشدارهای پاپ آپ بدون آسیب رساندن به فایلها پر میکنند.
نشت افزارها Doxware
تهدید میکند که اطلاعات حساس شخصی یا شرکتی را بهصورت آنلاین توزیع میکند و بسیاری از مردم وحشت میکنند و باج میپردازند تا از افتادن دادههای خصوصی به دست افراد نادرست یا ورود به دامنه عمومی جلوگیری کنند. یکی از انواع باجافزار با مضمون پلیس است که ادعا میکند مجری قانون است و هشدار میدهد که فعالیت آنلاین غیرقانونی شناساییشده است، اما میتوان با پرداخت جریمه از زندان جلوگیری کرد.
باجافزار بهعنوان سرویس RaaS به بدافزاری اطلاق میشود که بهطور ناشناس توسط یک هکر حرفهای میزبانی میشود که تمام جنبههای حمله، از توزیع باجافزار گرفته تا جمعآوری پرداختها و بازگرداندن دسترسی، درازای پول را مدیریت میکند.
باج افزارهای معروف
ده ها نوع باجافزار وجود دارد که هرکدام ویژگیهای منحصربهفرد خود رادارند. بااینحال، برخی از گروههای باجافزار پرکارتر و موفقتر از سایرین بودهاند و باعث میشوند که آنها را از بقیه متمایز کنند.
پشتیبانگیری مداوم از دادهها:
تعریف باجافزار میگوید که بدافزاری است که بهگونهای طراحیشده است که پرداخت باج تنها راه برای بازگرداندن دسترسی به دادههای رمزگذاری است. پشتیبان خودکار و محافظتشده از دادهها، سازمان را قادر میسازد تا پس از حمله با حداقل از دست دادن داده و بدون پرداخت باج، بازیابی کند. تهیه نسخه پشتیبان بهطور منظم از دادهها بهعنوان یک فرآیند زمانبندیشده یک عمل بسیار مهم برای جلوگیری از دست رفتن دادهها و امکان بازیابی آنها در صورت حمله باجافزار یا خرابی سختافزار دیسک است.
Patching یک مؤلفه حیاتی در دفاع در برابر حملات باجافزار است زیرا مجرمان سایبری اغلب به دنبال آخرین سوءاستفادههای کشف نشده در Patch های موجود میگردند و سپس دستگاههایی را هدف قرار میدهند که هنوز از Patch استفاده نکردهاند. بهاینترتیب، بسیار مهم است که سازمانها اطمینان حاصل کنند که همه سیستمها آخرین Patch های اعمالشده روی آنها رادارند، زیرا این امر تعداد آسیبپذیریهای بالقوه در کسبوکار را برای مهاجم کاهش میدهد.
احراز هویت کاربر:
دسترسی به خدماتی مانند RDP با اطلاعات کاربری دزدیدهشده یکی از روشهای موردعلاقه مهاجمان باجافزار است. استفاده از احراز هویت قوی یا دوگانه کاربر میتواند استفاده مهاجم از رمز عبور حدس زده یا دزدیدهشده را دشوارتر کند.