انگیزه حملات ransomware

حملات ransomware چیست؟

Ransomware یک زیرمجموعه از نرم افزارهای مخرب است که در آن معمولا به وسیله رمزگذاری، داده ها بر روی کامپیوتر قربانی قفل می شوند و قبل از رمزگشایی و بازگشت دسترسی به قربانی، از او درخواست پرداخت وجه می شود. انگیزه حملات ransomware تقریبا همیشه پولی است و برخلاف انواع دیگر حملات سایبری، معمولا قربانی مطلع می شود که یک سوء استفاده رخ داده و دستورالعملهایی برای نحوه بازیابی از حمله وجود دارد. پرداخت اغلب از طریق یک ارز مجازی مانند بیت کوین درخواست می شود بنابراین هویت مجرم سایبری شناسایی نمی شود.
بدافزار Ransomeware می تواند از طریق پیوست های مخرب ایمیل، نرم افزارهای آلوده، دستگاه های ذخیره سازی خارجی آلوده و وب سایت های خطرناک، منتشر شود. تعداد روزافزون حملات از پروتکل ریموت دسکتاپ و سایر رویکردهایی که به هیچ تعاملی از کاربر متکی نیستند، استفاده می کنند.
در یک نوع از حمله ransomware تحت عنوان lockscreen، ممکن است نرم افزار مخرب اطلاعات ورود قربانی به دستگاه رایانه را تغییر دهد. در یک حمله سرقت اطلاعات، ممکن است نرم افزار مخرب فایل های موجود در دستگاه آلوده و همچنین سایر دستگاه های متصل در شبکه را رمزگذاری نماید.
درحالیکه موارد اولیه از این حملات گاهی صرفا موجب قفل شدن مرورگر وب یا دستکتاپ ویندوز میشد—که معمولا به سادگی توسط مهندسی معکوس قابل بازگشایی مجدد بود – هکرها از زمان ایجاد ورژن های جدید ransomware که از رمزگذاری قوی با کلید عمومی استفاده می کند، دسترسی کاربران به فایل های روی سیستم را غیرممکن می سازند.
Ransomwareهای معروف: CryptoLocker و WannaCry
شاید اولین مثال از یک حمله وسیع منتشر شده، که از رمزگذاری کلید عمومی استفاده کرد، Cryptolocker باشد؛ یک اسب تروجان که از سپتامبر ۲۰۱۳ تا ماه می سال بعد در اینترنت فعال بود. بدافزار مبتنی بر درخواست وجه بود در هر دو نوع بیت کوین یا یک کوپن پیش پرداخت و کارشناسان به طور کلی معتقد بودند که رمزنگاری RSA استفاده شده زمانی که به درستی اجرا شود، اساسا غیر قابل نفوذ است. به هر حال، در ماه می سال ۲۰۱۴ یک شرکت امنیتی به سرور command-and-control استفاده شده به وسیله حمله دسترسی یافت و کلید های رمزنگاری مورد استفاده در حملات را بازیابی نمود. یک ابزار آنلاین که اجازه بازیابی کلیدی رایگان را برای دفاع موثر در مقابل حمله فراهم می ساخت.
در می سال ۲۰۱۷ یک حمله به نام WannaCry قادر به آلوده نمودن و رمزگذاری بیش از یک چهارم میلیون از سیستم های موجود در سطح جهان بود. بدافزار از رمزنگاری نامتقارن استفاده نمود در نتیجه قربانی نمی توانست به طور منطقی انتظار داشته باشد که بتواند کلید مورد نیاز برای رمزگشایی فایلهای ransom شده را بازیابی نماید.
پرداخت ها از طریق بیت کوین درخواست شده بود در نتیجه گیرنده ی پرداخت ransom نمی توانست شناسایی شود و البته به این معنا نیز است که تراکنش ها قابل مشاهده بود و بنابراین کلیه پرداخت های ransom قابل شمارش بود (هیچ حساب کاربری که بعد از پرداخت رمزگشایی شده باشد وجود ندارد).
تاثیر WannaCry در برخی موارد بیان شده است. برای مثال سرویس بهداشت ملی در U.K. به شدت تحت تاثیر قرار گرفت و مجبور شد در طی حمله خدمات خود را به صورت آفلاین ارائه نماید. گزارش های منتشر شده نشان می دهد که خسارات ایجاد شده در هزاران شرکت آسیب دیده، بیش از یک میلیارد دلار می باشد.
بر طبق گزارش Symantec 2017 Internet Security Threat Report، مقدار ransom demanded از دو سال پیش در ۲۰۱۶ تقریبا سه برابر شده است. به طور کلی دشوار است که بگوییم چقدر از این خواسته ها پاسخ داده شده. در تحقیقی که توسط IBM انجام شد مشخص شد ۷۰% از مدیران ارشد بررسی شده گفته بودند که درخواست ransomware را پرداخت کرده اند اما در تحقیقی که توسط Osterman Research انجام شده، نشان می دهد که تنها ۳% از شرکت های وابسته به ایالات متحده این مبلغ را پرداخت کرده اند ( هر چند این درصد در سایر کشورها به مراتب بالاتر بوده است). در بیشتر موارد به نظر می رسد که پرداخت کار کرده هر چند به هیچ وجه بدون خطر نمی باشد. یک بولتن Kaspersky Security از سال ۲۰۱۶ ادعا کرده است که ۲۰% از شرکت هایی که نسبت به پرداخت تقاضای ransom اقدام کرده اند، قفل فایل های خود را دریافت ننموده اند.
از سال ۲۰۱۵ همچنین mobile ransomware به وجود امد. یک برنامه اندروید مخرب به نام Porn Droid تلفن کاربر را قفل کرده، شماره PIN دسترسی را تغییر داده و ۵۰۰ دلار درخواست می نمود. ransomware اینترنت اشیا خیلی دور نیست. دو محقق Andrew Tierney و Ken Munro، حمله برنامه مخرب و قفل کردن و درخواست بیت کوین یک ransom بر روی یک ترموستات هوشمند در سال ۲۰۱۶ در کنفرانس Def Con را نشان دادند.
Ransomware چگونه کار می کند؟
کیت های Ransomware در deep web به مجرمان اینترنتی اجازه خرید و استفاده از یک ابزار نرم افزاری برای ایجاد ransomware با ویژگی های خاص را می دهند و سپس این بدافزار را برای توزیع خود، تولید کرده و با استفاده از ransoms هزینه را به حساب های بیت کوین خود پرداخت می کنند.
همانند بسیاری در دنیای IT، اکنون برای افرادی که دارای پس زمینه فنی کم یا فاقد هرگونه دانش فنی هستند این امر ممکن است که بتوانند ransomware ارزان قیمت را به عنوان سرویس (RaaS) سفارش دهند و حملات را با تلاش بسیار کم اجرا نمایند. در یک سناریوی RaaS، ارائه دهنده، هزینه های ransom را جمع آوری می کند و قبل از توزیع درآمد به کاربر خدمات، درصد خود را می گیرد.
مهاجمان ممکن است از یکی از چندین رویکرد مختلف برای دریافت پول دیجیتالی از قربانیان خود، استفاده کنند. برای مثال:
– قربانی ممکن است یک پیام پاپ آپ یا متن ایمیل ransom دریافت نماید که هشدار دهد اگر تا تاریخ مشخصی مبلغ درخواست شده پرداخت نشود، کلید خصوصی موردنیاز برای بازکردن قفل دستگاه یا رمزگشایی فایل ها، نابود خواهد شد.
– قربانی ممکن است در ابتدا برای باور کردن اینکه مخاطب یک پرس و جوی رسمی قرار گرفته، فریب بخورد. پس از اینکه قربانی مطلع شد نرم افزار بدون مجوز یا محتوای وب غیرقانونی بر روی کامپیوترش یافت شده، دستورالعملی برای نحوه پرداخت جریمه الکترونیکی دریافت خواهد کرد.
– مهاجم فایل ها را بر روی دستگاه آلوده رمزگذاری می نماید و با فروش محصولی که به قربانی قول می دهد با استفاده از آن می تواند فایلها را باز کند و از حملات مخرب آینده جلوگیری نماید، کسب درآمد می نماید.
– در یک معکوس جالب، اخاذی ممکن است توسط تهدیدی ایجاد شود که به این صورت که داده ها از دسترس خارج شوند نباشد، اما در صورتی که قربانی در موعد مقرر اقدام به پرداخت ننماید، داده ها در یک حالت رمزگذری نشده، در دسترس عموم قرار گیرد.
جلوگیری از Ransomware
به منظور حفاظت در مقابل حملات ransomware و سایر انواع اخاذی های سایبری، کارشناسان از کاربران می خواهند که به طور منظم از فایل های سیستم خود بک آپ تهیه نمایند و نرم افزارها به خصوص نرم افزارهای ضد ویروس را به طور منظم بروزرسانی نمایند. کاربران نهایی می بایست در مورد کلیک بر روی لینک های موجود در ایمیل های ناشناس یا باز کردن پیوست های ایمیل آگاه باشند. قربانیان باید به منظور جلوگیری از پرداخت ransomها هر چه می توانند انجام دهند.
درحالیکه ممکن است توقف حملات ransomware تقریبا غیرممکن باشد، راه هایی برای محافظت از داده های مهم وجود دارد که به سازمانها اطمینان می دهد خسارت وارده توسط این حملات را به حداقل برساند و در سریعترین زمان ممکن بازیابی انجام شود. استراتژی ها عبارتند از: جداسازی سیستم ها و دامنه های احراز هویت شده، بروز نگهداشتن عکس های ذخیره شده در خارج از پایگاه اصلی ذخیره سازی و اجرای محدودیت های سخت برای کسانی که می توانند به داده ها دسترسی داشته باشند و تعیین زمان دسترسی مجاز.
استفاده از آنتی ویروس مناسب نیز می تواند در جلوگیری از اینگونه حملات موثر باشد. برای مثال بیت دیفندر به کاربران دفاع مقابل screen-locking ransomware را ارائه می نماید. همچنین برای کاربران گزینه ای را فراهم می اورد که می توانند فایلهایشان را قفل کنند و به این ترتیب در طول حمله ی ransomware هکرها نمی توانند آنها را رمزگشایی کنند. با فراهم آوردن کیبورد مجازی از سرقت اطلاعات حساس توسط ورود و لاگین به نرم افزارهای مختلف جلوگیری کرده و به این ترتیب بیت دیفندر تمامی جنبه های امنیتی را پوشش می دهد.
منبع : https://searchsecurity.techtarget.com
0دیدگاه