گروگانگیری سایت، روش جدید برای باج خواهی
مجرمان سایبری به این نتیجه رسیده اند که چرا یک کامپیوتر را به گروگان بگیرند، وقتی می توانند یک سایت را گروگان گرفته و باج بیشتری درخواست کنند.
اخیراً مشاهده شده که مجرمان و مهاجمین سایبری از گروگانگیری کامپیوتر کاربران عادی دست کشیده و به سوی سایتهای آسیب پذیر رو آورده اند و با رمزگذاری بانک های اطلاعاتی اینگونه سایتها، از صاحبان آنها ارقام بزرگی درخواست باج می کنند. به این روش جدید، اصطلاح RansomWeb داده شده است.
اولین نمونه از حمله به روش RansomWeb حدود دو ماه قبل به شرکت امنیتی High-Tech Bridge گزارش شد. یک شرکت مالی اعتباری دچار مشکل در سایت اینترنتی شده بود. سایت دائماً پیام های خطای بانک اطلاعاتی را نشان می داد و قبل از اینکه کسی پی به دلیل این خطاها ببرد، یک ایمیل که در آن درخواست باج برای رمزگشایی بانک اطلاعاتی شده بود، همه چیز را روشن کرد ولی دیگر دیر شده بود !
بررسی های بیشتر نشان داد که نرم افزار کاربردی که از این بانک اطلاعاتی استفاده می کند، حدود شش ماه قبل مورد حمله و نفوذ قرار گرفته. همچنین چند Script بر روی سرور دستکاری شده تا داده ها را قبل از ضبط در بانک اطلاعاتی رمزگذاری کند و به محض فراخوانی داده ها از بانک اطلاعاتی، داده ها را رمزگشایی نماید. این دو عملیات به سرعت و آنی صورت می گرفته تا توجه کسی را جلب نکند.
البته تمام داده های بانک اطلاعاتی رمزگذاری نمی شده و رمزگذاری تنها بر روی داده های با اهمیت انجام می شده تا تاثیر قابل توجهی بر روی عملکرد نرم افزار کاربردی نداشته باشد.
کلید رمزگذاری بر روی یک سرور اینترنتی نگهداری می شده و تنها از طریق پودمان امن HTTPS قابل دسترسی بوده تا در صورتیکه ابزارهای امنیتی برای کنترل ترافیک شبکه مورد استفاده قرار می گیرند، نتوانند ترافیک HTTPS را کنترل کنند.
طی شش ماه گذشته، مجرمان سایبری منتظر بودند تا تمام نسخه های بایگانی بانک اطلاعاتی با داده های رمزگذاری شده، تهیه شوند و هیچ نسخه سالمی از بانک اطلاعاتی در بایگانی وجود نداشته باشد. در چنین زمانی، مهاجمین کلید رمزگذاری را از روی سرور اینترنتی برداشته تا دیگر امکان رمزگشایی آنی داده ها نباشد.
بانک اطلاعاتی دیگر قابل دسترسی نبود، سرویس های سایت متوقف شدند و وقت آن بود که ایمیل باج خواهی به شرکت قربانی ارسال شود.
بعد از این اولین حادثه، چندین مورد دیگر از باجگیری به همین روش RansomWeb مشاهده و گزارش شده است. هنوز مشخص نشده که مهاجمین چگونه به سرورهای تحت وب نفوذ می کنند و قادر هستند تغییرات لازم را بر روی فایلهای سرور انجام دهند.
استفاده از ابزارهای امنیتی برای کنترل اصالت فایلها (File Integrity) می توانند تغییر در فایلها و شاخه های سیستم را تشخیص داده و گزارش کنند.