عدم بازگشت فایل‌ها حتی در صورت پرداخت باج

در دنیای فناوری اطلاعات همواره بدافزارهای خاصی بوده‌اند که حداقل برای مدتی توجه رسانه‌ها را به خود جلب کرده‌اند.

برای مثال، در سال 1379، ویروس Love Bug در عرض چند روز بیش از 10 میلیون دستگاه را در سرتاسر جهان به خود آلوده کرد.

یا کرم CodeRed که در تابستان 1380 با سوءاستفاده از یک آسیب‌پذیری امنیتی در مدتی کوتاه به صدهاهزار دستگاه راه پیدا کرد.

در سال 1387 نیز Conficker با روش‌های متعدد از جمله سوءاستفاده از یک آسیب‌پذیری امنیتی، در مدتی بسیار کوتاه موفق به تسخیر میلیون‌ها دستگاه در بیش از ۱۹۰ کشور جهان شد.

یا Stuxnet که نقطه عطفی در روند تکامل بدافزارها محسوب می‌شود و بسیاری آن را آغازگر جنگ‌های سایبری واقعی در جهان می‌دانند.

اما بغیر از معدود بدافزارهای مخرب مشهور، هیچ‌کدام از تهدیدات سایبری به اندازه باج‌افزارها سرخط اخبار نبوده‌اند.

گسترش باج‌افزارها از اوایل دهه 1390 آغاز شد. با ظهور ارز رمزهایی همچون بیت‌کوین و ویژگی‌های آنها در ناشناس نگاه داشتن دریافت‌کننده پول، محبوبیت آنها نزد تبهکاران سایبری روزبه‌روز بیشتر شد.

انتشار اولین نسخه از باج‌افزار معروف CryptoLocker در خرداد 1393 و موفقیت‌های آن در اخاذی از کاربران سرآغاز دوره‌ای جدید در دنیای ویروس‌نویسان بود. “باج را پرداخت کن یا دیگر هیچ‌وقت دستت به فایل‌ها نمی‌رسد،” پیام این باج‌افزارها بود.

از آن زمان تاکتیک‌ها و تکنیک‌های گردانندگان این تهدیدات مخرب تغییراتی چشم‌گیر داشته است.

در سال 1393 میانگین مبلغ اخاذی شده به ازای هر دستگاه، صرف‌نظر از میزان اهمیت اطلاعات بر روی آن حدود 300 دلار بود.

اما اکنون مهاجمان پس از نفوذ به شبکه سازمان، با صبر و حوصله، بی‌سروصدا به سرورهای حساس رخنه کرده و در زمانی مشخص (معمولاً در شب‌ها یا روزهای تعطیل) فایل مخرب باج‌افزار را بر روی تمامی دستگاه‌های تحت سیطره خود اجرا می‌کنند.

بدیهی است که در نتیجه اجرای موفقیت‌آمیز چنین حملاتی، سرورها و به دنبال آن روال روزمره سازمان دچار اختلالاتی جدی می‌شود. مبلغ اخاذی شده از قربانیان این حملات گاهاً به میلیون‌ها دلار می‌رسد.

فاجعه‌بارتر این‌که در بسیاری از این حملات، گردانندگان باج‌افزار با سرقت اطلاعات بالقوه حساس زمینه را برای اخاذی مؤثرتر آماده می‌کنند.

پیام مهاجمان در این حملات، دیگر فقط “باج را بپرداز یا دیگر فایل‌ها را نخواهید دید،” نیست و به “پول را بفرستید یا دیگر ما همه داده‌های حساس شما را به حراج می‌گذاریم، یا آنها را در اختیار رقبایتان قرار می‌دهیم، یا آنها را در جایی به اشتراک می‌گذاریم که برای همه قابل دسترس باشند و یا شاید همه اینها” تغییر کرده است.

به عبارت دیگر اگر فرایند رمزگذاری هم با موفقیت انجام نشود یا قربانی دارای نسخه پشتیبان قابل بازگشتی باشد همچنان مهاجمان برای اخاذی مبالغ هنگفت حرفی برای گفتن خواهند داشت.

به گزارش شرکت مهندسی شبکه گستر، گردانندگان این حملات معمولاً سایت‌هایی را در Dark Web راه‌اندازی می‌کنند و همزمان با مذاکره با قربانیان بخشی از اطلاعات سرقت شده را بر روی سایت منتشر می‌کنند.

شرکت امنیتی سوفوس (Sophos Ltd) بر اساس نظرسنجی‌های انجام شده از 5400 نفر تصمیم‌گیر در حوزه فناوری اطلاعات در 30 کشور به بررسی وضعیت باج‌افزارها در سال 2021 پرداخته است.

بر اساس گزارش مذکور سهم افرادی که هدف باج‌افزار قرار گرفته‌اند از 54 درصد در سال 2017 به 37 درصد در سال میلادی جاری کاهش یافته است.

نکته قابل توجه این که 4 درصد از قربانیانی که اقدام به پرداخت باج کرده‌اند اظهار داشته‌اند که هیچ کدام از فایل‌های آنها به‌درستی رمزگشایی نشده است؛ تنها 8 درصد اعلام کرده‌اند که بدنبال پرداخت باج کل اطلاعات آنها به حالت اولیه بازگردانده شده است.

به‌عبارت دیگر علیرغم پرداخت مبلغ اخاذی شده، 92 درصد از قربانیان حداقل بخشی از داده‌های خود را از دست داده‌اند و در بیش از 50 درصد موارد حداقل یک‌سوم فایل‌های رمزشده غیرقابل دسترس باقی مانده‌اند.

یکی از وعده‌هایی که در حملات اخیر به قربانیان داده می‌شود این است که اگر قربانی اقدام به پرداخت باج پرداخت کند مهاجمان ضمن بازگرداندن فایل‌ها به حالت اولیه برای همیشه و به‌طور غیرقابل بازگشتی تمامی فایل‌های سرقت شده را معدوم خواهند کرد.

همان‌طور که تجارب گذشته نشان می‌دهد که بازگردانی کامل داده‌ها در اکثر مواقع صورت نمی‌پذیرد، تضمینی برای این وعده (حذف فایل‌های سرقت شده) نیز وجود ندارد.

به گفته سوفوس در بسیاری از موارد مهاجمان در جریان حمله، فایل‌های قربانی را از طریق یک حساب کاربری که برای آن حمله خاص ساخته شده به یک سرویس‌دهنده میزبانی فایل ارسال می‌کنند.

با فرض آن‌که مهاجمان به قول خود عمل کنند و حساب کاربری را پس از دریافت باج حذف کنند از کجا معلوم که در زمان فعال بودن حساب، افرادی که به رمز عبور آن دسترسی داشته‌اند فایل‌ها را دانلود نکرده باشند؟

سوفوس انجام اقدامات زیر را توصیه می‌کند:

  • همواره فرض شود که روزی هدف باج‌افزار قرار خواهید گرفت.
  • نسخه پشتیبان تهیه شود؛ تهیه مستمر نسخه پشتیبان همچنان مطمئن‌ترین راه برای بازگرداندن داده‌های رمزگذاری شده توسط باج‌افزارهاست. نگهداری یکی از نسخ پشتیبان به‌صورت برون‌خط و ترجیحاً خارج از سازمان نیز اقدامی مؤثر در ایمن و در دسترس نگاه داشتن فایل‌های پشتیبان است.
  • از فناوری‌های حفاظتی چندلایه استفاده شود.
  • فناوری‌های ضدباج‌افزاری در کنار تحلیل‌های انسانی بکار گرفته شوند.
  • از پرداخت باج پرهیز شود.
  • برنامه‌ای از قبل آماده شده برای بازیابی از حوادث بدافزاری داشته باشید.

مشروح گزارش سوفوس با عنوان “The State of Ransomware 2021” در لینک زیر قابل دریافت و مطالعه است:

https://newsroom.shabakeh.net/wp-content/uploads/2021/05/sophos-state-of-ransomware-2021-wp.pdf

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *