گزارش سایت VirusTotal درخصوص فعالیت باج‌افزارها

اخیراً سایت VirusTotal گزارش خود را تحت عنوان Ransomware Activity Report منتشر کرده است.

این سایت طی 16 سال گذشته، روزانه بیش از 2 میلیون فایل ارسالی از 232 کشور را بررسی و پردازش کرده است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده چکیده‌ای از گزارش VirusTotal ارائه شده است.

سایت VirusTotal هر فایل ارسالی را توسط 70 ضدویروس بررسی کرده و گزارش شناسایی یا عدم شناسایی آن‌ها را در اختیار کاربر قرار می‌دهد.

در این گزارش، سایت VirusTotal فعالیت‌های باج‌افزارها را با توجه به فایل‌های ارسالی مرتبط با سال 2020 به بعد که شامل بررسی 80 میلیون نمونه باج‌افزار از 140 کشور جهان بوده مورد تحلیل قرار داده است.

نمودار زیر فهرست کشورهایی که بیشترین نمونه‌های باج‌افزاری را جهت بررسی به سایت مذکور ارسال کرده‌اند، نشان می‌دهد.

تمایزهای جغرافیایی قابل توجهی در نمودار فوق وجود دارد، البته به این معنا نیست که کشورهایی که بیشترین آمار فایل‌های ارسالی را در این نمودار دارند، بیشترین حمله در آن‌ها صورت گرفته است. محققان VirusTotal معتقدند آمار بیشتر می‌تواند مربوط به بسیاری از شرکت‌ها و ارسال خودکار فایل از آن‌ها باشد.

در نموداری از این گزارش به توزیع زمانی باج‌افزارهای جدید و باج‌افزارهای شناخته‌شده از ابتدای سال 2020 پرداخته شده است. این نمودار بیانگر این نکته است که با وجود این‌که مهاجمان سایبری در حملات خود از نمونه‌های جدیدی باج‌افزاری استفاده می‌کنند، با این حال، با بررسی قله‌های نمودار کاملاً مشهود است که در سه ماهه اول سال 2021 اکثر حملات توسط باج‌افزارهای شناخته‌شده صورت گرفته است.

به گزارش محققان VirusTotal، از ابتدای سال 2020، فعالیت باج‌افزارها در دو فصل اول سال 2020 در اوج خود بوده که آن را به فعالیت گروه باج‌افزاری GandCrab نسبت دادند. GandCrab با 78.5 درصد در اوایل 2020 در صدر حملات سایبری قرار داشت و پس از آن به طرز چشمگیری کاهش یافت و همچنان نیز با آمار کمتری فعال می‌باشد. Babuk نمونه قابل توجه دیگری است که با 7.61 درصد در جایگاه دوم این نمودار قرار گرفته است.

محققان در این تحقیق، حداقل 130 خانواده مختلف باج‌افزاری را شناسایی نموده‌اند. نمودار زیر خانواده باج‌افزارهای مورد بررسی در این تحقیق را نشان می‌دهد.

بر اساس این گزارش، حدود 95 درصد از فایل‌های باج‌افزاری شناسایی شده از نوع PE_EXE و PE_DLL بوده است. به نقل از VirusTotal این امر کاملاً منطقی است زیرا نمونه‌های باج‌افزاری معمولاً با استفاده از مهندسی اجتماعی و/یا توسط فایل‌های فراخوانی‌کننده بدافزار (dropper) اجرا می‌شوند.

روش انتشار 5 درصد از نمونه‌های بررسی شده، سوءاستفاده از آسیب‌پذیری‌های امنیتی بوده است. “ترفیع امتیازی” (Privilege Escalation)، “افشای اطلاعات” (Information disclosure) و “اجرای کد از راه دور” (Remote Execution) اصلی ترین نوع از این آسیب‌پذیری‌ها بوده‌اند. از میان 10 آسیب‌پذیری برتر، تنها دو مورد از آن‌ها در سال 2020 کشف شده بودند.

قبلاً در گزارش شرکت مهندسی شبکه‌گستر نیز که مشروح آن در نشانی زیر قابل مطالعه است، به نقل از محققان کوالیس (.Qualys, Inc)، مشاهده شده که در حملات بزرگ باج‌افزاری پنج سال گذشته، مهاجمان علاوه بر بهره‌جویی از ضعف‌های امنیتی شناخته شده و جدید، در بیشتر موارد از برخی آسیب‌پذیری‌های بسیار قدیمی برای توزیع باج‌افزار سوءاستفاده می‌کنند.

https://newsroom.shabakeh.net/22650/criminals-are-still-exploiting-old-vulnerabilities.html

در این گزارش اینطور نتیجه‌گیری شده که فعالیت باج‌افزارها هرگز متوقف نمی‌شود و همواره بین 1000 تا 2000 دسته باج‌افزاری در طول بازه زمانی تحلیل فعال بوده اند.

مشروح گزارش VirusTotal در نشانی زیر قابل مطالعه است:

https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf