عدم بازگشت فایلها حتی در صورت پرداخت باج
در دنیای فناوری اطلاعات همواره بدافزارهای خاصی بودهاند که حداقل برای مدتی توجه رسانهها را به خود جلب کردهاند.
برای مثال، در سال 1379، ویروس Love Bug در عرض چند روز بیش از 10 میلیون دستگاه را در سرتاسر جهان به خود آلوده کرد.
یا کرم CodeRed که در تابستان 1380 با سوءاستفاده از یک آسیبپذیری امنیتی در مدتی کوتاه به صدهاهزار دستگاه راه پیدا کرد.
در سال 1387 نیز Conficker با روشهای متعدد از جمله سوءاستفاده از یک آسیبپذیری امنیتی، در مدتی بسیار کوتاه موفق به تسخیر میلیونها دستگاه در بیش از ۱۹۰ کشور جهان شد.
یا Stuxnet که نقطه عطفی در روند تکامل بدافزارها محسوب میشود و بسیاری آن را آغازگر جنگهای سایبری واقعی در جهان میدانند.
اما بغیر از معدود بدافزارهای مخرب مشهور، هیچکدام از تهدیدات سایبری به اندازه باجافزارها سرخط اخبار نبودهاند.
گسترش باجافزارها از اوایل دهه 1390 آغاز شد. با ظهور ارز رمزهایی همچون بیتکوین و ویژگیهای آنها در ناشناس نگاه داشتن دریافتکننده پول، محبوبیت آنها نزد تبهکاران سایبری روزبهروز بیشتر شد.
انتشار اولین نسخه از باجافزار معروف CryptoLocker در خرداد 1393 و موفقیتهای آن در اخاذی از کاربران سرآغاز دورهای جدید در دنیای ویروسنویسان بود. “باج را پرداخت کن یا دیگر هیچوقت دستت به فایلها نمیرسد،” پیام این باجافزارها بود.
از آن زمان تاکتیکها و تکنیکهای گردانندگان این تهدیدات مخرب تغییراتی چشمگیر داشته است.
در سال 1393 میانگین مبلغ اخاذی شده به ازای هر دستگاه، صرفنظر از میزان اهمیت اطلاعات بر روی آن حدود 300 دلار بود.
اما اکنون مهاجمان پس از نفوذ به شبکه سازمان، با صبر و حوصله، بیسروصدا به سرورهای حساس رخنه کرده و در زمانی مشخص (معمولاً در شبها یا روزهای تعطیل) فایل مخرب باجافزار را بر روی تمامی دستگاههای تحت سیطره خود اجرا میکنند.
بدیهی است که در نتیجه اجرای موفقیتآمیز چنین حملاتی، سرورها و به دنبال آن روال روزمره سازمان دچار اختلالاتی جدی میشود. مبلغ اخاذی شده از قربانیان این حملات گاهاً به میلیونها دلار میرسد.
فاجعهبارتر اینکه در بسیاری از این حملات، گردانندگان باجافزار با سرقت اطلاعات بالقوه حساس زمینه را برای اخاذی مؤثرتر آماده میکنند.
پیام مهاجمان در این حملات، دیگر فقط “باج را بپرداز یا دیگر فایلها را نخواهید دید،” نیست و به “پول را بفرستید یا دیگر ما همه دادههای حساس شما را به حراج میگذاریم، یا آنها را در اختیار رقبایتان قرار میدهیم، یا آنها را در جایی به اشتراک میگذاریم که برای همه قابل دسترس باشند و یا شاید همه اینها” تغییر کرده است.
به عبارت دیگر اگر فرایند رمزگذاری هم با موفقیت انجام نشود یا قربانی دارای نسخه پشتیبان قابل بازگشتی باشد همچنان مهاجمان برای اخاذی مبالغ هنگفت حرفی برای گفتن خواهند داشت.
به گزارش شرکت مهندسی شبکه گستر، گردانندگان این حملات معمولاً سایتهایی را در Dark Web راهاندازی میکنند و همزمان با مذاکره با قربانیان بخشی از اطلاعات سرقت شده را بر روی سایت منتشر میکنند.
شرکت امنیتی سوفوس (Sophos Ltd) بر اساس نظرسنجیهای انجام شده از 5400 نفر تصمیمگیر در حوزه فناوری اطلاعات در 30 کشور به بررسی وضعیت باجافزارها در سال 2021 پرداخته است.
بر اساس گزارش مذکور سهم افرادی که هدف باجافزار قرار گرفتهاند از 54 درصد در سال 2017 به 37 درصد در سال میلادی جاری کاهش یافته است.
نکته قابل توجه این که 4 درصد از قربانیانی که اقدام به پرداخت باج کردهاند اظهار داشتهاند که هیچ کدام از فایلهای آنها بهدرستی رمزگشایی نشده است؛ تنها 8 درصد اعلام کردهاند که بدنبال پرداخت باج کل اطلاعات آنها به حالت اولیه بازگردانده شده است.
بهعبارت دیگر علیرغم پرداخت مبلغ اخاذی شده، 92 درصد از قربانیان حداقل بخشی از دادههای خود را از دست دادهاند و در بیش از 50 درصد موارد حداقل یکسوم فایلهای رمزشده غیرقابل دسترس باقی ماندهاند.
یکی از وعدههایی که در حملات اخیر به قربانیان داده میشود این است که اگر قربانی اقدام به پرداخت باج پرداخت کند مهاجمان ضمن بازگرداندن فایلها به حالت اولیه برای همیشه و بهطور غیرقابل بازگشتی تمامی فایلهای سرقت شده را معدوم خواهند کرد.
همانطور که تجارب گذشته نشان میدهد که بازگردانی کامل دادهها در اکثر مواقع صورت نمیپذیرد، تضمینی برای این وعده (حذف فایلهای سرقت شده) نیز وجود ندارد.
به گفته سوفوس در بسیاری از موارد مهاجمان در جریان حمله، فایلهای قربانی را از طریق یک حساب کاربری که برای آن حمله خاص ساخته شده به یک سرویسدهنده میزبانی فایل ارسال میکنند.
با فرض آنکه مهاجمان به قول خود عمل کنند و حساب کاربری را پس از دریافت باج حذف کنند از کجا معلوم که در زمان فعال بودن حساب، افرادی که به رمز عبور آن دسترسی داشتهاند فایلها را دانلود نکرده باشند؟
سوفوس انجام اقدامات زیر را توصیه میکند:
- همواره فرض شود که روزی هدف باجافزار قرار خواهید گرفت.
- نسخه پشتیبان تهیه شود؛ تهیه مستمر نسخه پشتیبان همچنان مطمئنترین راه برای بازگرداندن دادههای رمزگذاری شده توسط باجافزارهاست. نگهداری یکی از نسخ پشتیبان بهصورت برونخط و ترجیحاً خارج از سازمان نیز اقدامی مؤثر در ایمن و در دسترس نگاه داشتن فایلهای پشتیبان است.
- از فناوریهای حفاظتی چندلایه استفاده شود.
- فناوریهای ضدباجافزاری در کنار تحلیلهای انسانی بکار گرفته شوند.
- از پرداخت باج پرهیز شود.
- برنامهای از قبل آماده شده برای بازیابی از حوادث بدافزاری داشته باشید.
مشروح گزارش سوفوس با عنوان “The State of Ransomware 2021” در لینک زیر قابل دریافت و مطالعه است:
https://newsroom.shabakeh.net/wp-content/uploads/2021/05/sophos-state-of-ransomware-2021-wp.pdf