روایت تازه سوفوس از واقعیت باج‌افزارها

شرکت سوفوس (Sophos) در تازه‌ترین گزارش خود از سوی تیم تحقیقاتی Sophos Counter Threat Unit – CTU اعلام کرد که برخلاف تصور رایج، بیشتر حملات باج‌افزاری ماهیتی فرصت‌طلبانه دارند و یک صنعت یا منطقه جغرافیایی خاص را به‌طور مستقیم هدف نمی‌گیرند.

این گزارش، به یکی از پرتکرارترین پرسش‌های مدیران امنیتی پاسخ می‌دهد:

آیا گروه‌های باج‌افزاری واقعاً یک صنعت خاص را «هدف» قرار می‌دهند؟

پاسخ کوتاه محققان سوفوس این است: در اغلب موارد، خیر.

تمرکز بر «دفاع عمومی» به‌جای نگرانی از یک گروه خاص

محققان سوفوس تأکید می‌کنند که تمرکز بر دفاع در برابر یک گروه باج‌افزاری مشخص، استراتژی درستی برای کاهش ریسک نیست. چرا که:

    – اکثر حملات باج‌افزاری بر اساس دسترسی موجود انجام می‌شوند، نه انتخاب از پیش تعیین‌شده یک قربانی خاص؛

    – مهاجمان از هر سازمانی که بتوانند به آن نفوذ کنند، سوءاستفاده می‌کنند؛

    – فرآیند «انتخاب قربانی» اغلب پس از دسترسی اولیه اتفاق می‌افتد، نه قبل از آن.

به بیان دیگر، سازمان‌ها بیشتر «قربانی می‌شوند» تا اینکه «هدف‌گذاری شوند».

انگیزه مهاجمان؛ عامل اصلی در نحوه انتخاب قربانی

گزارش سوفوس نشان می‌دهد که انگیزه مهاجمان نقش تعیین‌کننده‌ای در نوع حمله دارد. این انگیزه‌ها به دو دسته اصلی تقسیم می‌شوند:

    1-  جرایم سایبری با انگیزه مالی

    2-  عملیات‌های باج‌افزاری با حمایت دولتی

جرایم سایبری؛ پول مهم‌تر از هر چیز

بیشتر حملات باج‌افزاری توسط مجرمان سایبری با هدف کسب درآمد انجام می‌شود. در این مدل:

    –  هر سازمانی که قابل نفوذ باشد، یک هدف بالقوه است.

    –  حملات معمولاً از طریق فیشینگ، سرقت اعتبارنامه‌ها و بهره‌برداری از آسیب‌پذیری سرویس‌های اینترنتی انجام می‌شوند.

    –  رویکرد حمله غالباً تصادفی و غیرهدفمند است.

سوفوس ترجیح می‌دهد به‌جای واژه «Targeting» از واژه «Victimization» استفاده کند؛ یعنی فرآیند قربانی شدن، نه هدف‌گیری از پیش تعیین‌شده.

چرا شرکت‌های کوچک بیشتر آسیب می‌بینند؟

بر اساس داده‌های تله‌متری مشتریان سوفوس:

    –  بیشترین تلاش برای استقرار باج‌افزار در سازمان‌های کوچک دیده می‌شود.

دلیل اصلی:

    –  بودجه محدود امنیت سایبری

    –  نبود تیم امنیت داخلی

    –  کنترل‌های ضعیف‌تر

در مقابل، بانک‌ها نمونه جالبی هستند. با وجود اینکه:

    –  درآمد بالایی دارند

    –  حساسیت توقف عملیات‌شان می‌تواند انگیزه پرداخت باج ایجاد کند

اما کمتر قربانی باج‌افزار می‌شوند. دلیل آن:

    –  مقررات سخت‌گیرانه

    –  چارچوب‌های امنیتی مشخص

    –  سرمایه‌گذاری گسترده در دفاع سایبری

مدل RaaS و پیچیدگی انتخاب قربانی

مدل «باج‌افزار به‌عنوان سرویس» (RaaS) باعث شده فرآیند انتخاب قربانی پیش‌بینی‌ناپذیرتر شود.

در این مدل:

    –  اپراتورها زیرساخت را فراهم می‌کنند؛

    –  همکاران (Affiliates) حملات را اجرا می‌کنند.

برخی اپراتورها شرط می‌گذارند که:

    –  درآمد قربانی بالاتر از حد مشخصی باشد؛

    –  برخی کشورها یا صنایع هدف قرار نگیرند.

اما در عمل، برخی همکاران کم‌تجربه بدون ارزیابی دقیق اقدام به استقرار باج‌افزار می‌کنند؛ که این موضوع می‌تواند خسارات غیرمنتظره و گسترده ایجاد کند.

حملات زنجیره تأمین؛ هدفمند به نظر می‌رسند اما نیستند

برخی گروه‌ها با بهره‌برداری از آسیب‌پذیری‌های گسترده در نرم‌افزارهای پرکاربرد، تعداد زیادی سازمان را همزمان آلوده می‌کنند.

برای مثال، گروه GOLD TAHOE که باج‌افزار Clop را اداره می‌کند، از آسیب‌پذیری‌های روز-صفر در سرویس‌های انتقال فایل مدیریت‌شده (MFT) سوءاستفاده کرده است.

در این سناریو:

    –  سازمان‌ها به‌صورت مستقیم هدف‌گذاری نشده‌اند؛

    –  صرفاً از همان سرویس آسیب‌پذیر استفاده می‌کرده‌اند؛

    –  غربالگری قربانیان پس از سرقت داده انجام می‌شود.

باج‌افزارهای دولتی؛ اقلیت اما بسیار خطرناک

طبق گزارش سوفوس، عملیات‌های باج‌افزاری دولتی سهم کوچکی از کل حملات را تشکیل می‌دهند، اما ماهیت آن‌ها متفاوت است.

سه انگیزه اصلی در این حملات دیده می‌شود:

1- درآمدزایی

برخی گروه‌های وابسته به دولت‌ها برای تأمین منابع مالی از باج‌افزار استفاده می‌کنند.

نمونه شناخته‌شده: باج‌افزار WannaCry که به‌صورت گسترده منتشر شد.

2- ایجاد پوشش برای جاسوسی

برخی گروه‌ها از باج‌افزار برای پنهان کردن فعالیت‌های جاسوسی استفاده می‌کنند.

گروه چینی BRONZE STARLIGHT نمونه‌ای از این رویکرد است؛ رمزگذاری سیستم‌ها باعث از بین رفتن ردپای دیجیتال می‌شود.

3- تخریب و بی‌ثبات‌سازی

باج‌افزار به‌عنوان ابزار اخلال در عملیات کشور هدف استفاده می‌شود.

نمونه بارز: حملات مخرب NotPetya علیه بخش مالی اوکراین که عملاً انگیزه مالی نداشتند.

جمع‌بندی: آنچه واقعاً اهمیت دارد

پیام کلیدی گزارش سوفوس روشن است:

    –  بیشتر حملات باج‌افزاری فرصت‌طلبانه‌اند؛

    –  مهاجمان از دسترسی موجود سوءاستفاده می‌کنند؛

    –  تمرکز بر دفاع در برابر «یک گروه خاص» اشتباه است؛

    –  تمرکز باید بر کنترل‌های پایه امنیتی باشد.

توصیه‌های کلیدی سوفوس برای پیشگیری از باج‌افزار

محققان سوفوس بار دیگر تأکید می‌کنند که در اغلب رخدادهای بررسی‌شده، قربانیان این اقدامات پایه را به‌طور کامل اجرا نکرده بودند:

1- به‌روزرسانی سریع سرویس‌های اینترنتی؛ اعمال اصلاحیه‌های امنیتی سرویس‌های در معرض اینترنت مانع از سوءاستفاده در اسکن‌های روزانه مهاجمان می‌شود.

2-  اجرای احراز هویت چندعاملی مقاوم در برابر فیشینگ؛ استفاده از MFA پیشرفته مانع استفاده مجدد از اعتبارنامه‌های سرقت‌شده می‌شود.

3- بهره‌گیری از راهکارهای EDR؛ استفاده از راهکارهای تشخیص و پاسخ در نقطه پایانی یا همان EDR شانس کشف و مهار حمله را افزایش می‌دهد.

4- داشتن نسخه‌های پشتیبان تغییرناپذیر (Immutable Backups)؛ وجود نسخه‌های پشتیبان امن و غیرقابل‌دستکاری، زمان بازیابی را به‌شدت کاهش می‌دهد و وابستگی به پرداخت باج را از بین می‌برد.

نتیجه نهایی برای مدیران امنیتی

اگرچه برخی گروه‌ها مهارت بالاتری دارند و برخی کمتر حرفه‌ای هستند، اما هر حمله‌ای می‌تواند پیامدهای جدی داشته باشد.

به‌جای پرسیدن اینکه «کدام گروه ما را هدف گرفته؟» بهتر است بپرسیم:

آیا زیرساخت ما در برابر تکنیک‌ها و روش‌های رایج همه گروه‌های باج‌افزاری مقاوم است؟

در فضای تهدید امروز، آمادگی جامع مهم‌تر از تمرکز بر نام مهاجم است.

اطلاعات بیشتر

مشروح گزارش سوفوس از طریق لینک زیر قابل دریافت و مطالعه است:

https://www.sophos.com/en-gb/blog/eeny-meeny-miny-moe-how-ransomware-operators-choose-victims