باج افزار نوعی بدافزار است که طوری طراحیشده تا از طریق رمزنگاری فایلهای حیاتی سیستم قربانی، از شخص طلب باج کرده و زورگیری کند. این شیوه از حمله، باتوجه به شانس دریافت حجم بزرگی سرمایه و سهولت نسبی انتشار آن، در میان مجرمان سایبری بسیار مشهور و مورد توجه قرار گرفتهاست.
باج افزار چگونه کار میکند؟
تقریبا شبیه به دیگر انواع بدافزارها، باج افزار به طور نرمال، از طریق فریبدادن قربانی برای دانلود پیوستهای مخرب ایمیل که اسکریپتها را وادار میکند به طور خودکار بر روی سیستم اجرا شوند، پخش میشود. با این حال، در هر کجا که فرصتی برای پنهانکردن اسکریپهای مخرب وجود داشتهباشد، امکان گسترش باج افزار نیز وجود دارد.
باج افزار معمولا هنگام آغاز حمله خود، تلاش میکند تا ناشناخته باقی بماند. به این صورت که فایلها را به آرامی، یکی پس از دیگری رمزگذاری میکند، به طوری که کاربر به چیزی مشکوک نشود. با این حال، برخلاف دیگر گزینهها، باج افزار پس از رمزگذاری کافی فایلها، معمولا از طریق ransom note و یا نمایش پیامی روی صفحه، حضور خود را در سیستم، به قربانی اطلاع میدهد.
تصویر زیر نمونهای از یک پیام نمایش داده روی صفحه است که در ابتدا به کاربر اطلاع میدهد که فایلها قفل شده و برای بازگردانی اطلاعاتشان نیاز دارند تا مبلغی را به عنوان باج پرداخت کنند. متن دقیق این پیام در بین گونههای باج افزار، متفاوت است. اما همه آنها به نوعی به کاربر اطلاع میدهند که برای بازگردانی اطلاعاتشان نیاز است تا در یک بازه زمانی مشخص، مبلغ مشخصی را به عنوان خونبهای اطلاعات خود پرداخت کنند.
بعضی از این پیامها، به جهت اینکه کاربر بترسد و هرچه سریعتر نسبت به پرداخت باج اقدام کند، محتوای خشونتآمیزی دارند. درحالیکه، برخی دیگر تلاش دارند در ظاهر سازمانهای قانونی مانند FBI نمایان شوند. برای مثال، باج افزار Jigsaw، برای هر ساعتی که کاربر نسبت به پرداخت باج تاخیر داشته باشد، یک فایل از سیستم کاربر پاک میکند و اگر کاربر تلاش کند تا سیستم خود را مجددا راهاندازی کند، نزدیک به ۱۰۰۰ فایل از سیستم کاربر را حذف میکند.
اولین باج افزار، AIDS Trojan
اولین نمونه باج افزار، AIDS Trojan که در سال ۱۹۸۹ اجرا شد، تقریبا ناموفق بود. این باج افزار به جای رمزگذاری محتویات فایل، نام فایل را رمز گذاری میکرد. درحالیکه کلید رمزگذاری درون کد بدافزار پنهان بود. باوجود این خطاهای موجود در گسترش باج افزار، این مورد، اولین حملهای بود که در آن هکر، برای بازگرداندن اطلاعات به سرقت رفته، درخواست پول میکرد.
مهاجمان هنوز با همان اصول پایه و اساسی، ولی به شیوهای موثرتر، عمل میکنند و معمولا به جای درخواست ارز فیزیکی از قربانی، درخواست ارزهای رمزنگاری شده را دارند. هکرها بیشتر طرفدار بیت کوین یا مونرو، که اساسا ردیابی آنها دشوارتر است، میباشند.
باج افزارهای امروزی
امروزه، صدها نوع مختلف از باج افزارها در سراسر جهان، عمل میکنند و تهدید خاصی که احتمالا با آن روبرو میشوید، به قاره، کشور یا حتی شهری که در آن فعالیت میکنید، بستگی دارد. به عنوان مثال، پس از بررسی حملههای صورت گرفته به مشاغل مختلف در سراسر انگلیس، نتایج به دست آمده از یک منطقه به منطقه دیگر متفاوت بود.
باج افزار Gandcrab که در تصویر بالا آمده است، یکی از انواع مشهور باج افزار در سراسر جهان است. دلیل محبوبیت این باج افزار این است که با ابزارهای آنلاین در ارتباط است و به هکرهای مبتدی این امکان را میدهد تا با پرداخت هزینه به سرویسی، حمله سفارشی از طرف آنها انجام دهد.
آنچه مرسوم است، محبوبیت تعداد مشخصی از انواع این باج افزارها است که برای استخدام ارائه میشوند. در این مدل که تحت عنوان باج افزار به عنوان سرویس شناخته میشوند، مجرمان به گروهی از هکرها مبلغی پرداخت میکنند تا علیه یک هدف مشخص، یک کمپین باج افزاری ترتیب دهند. در این روش، مجرمان میتوانند بدون وجود ریسک شناختهشدن و عدم نیاز به دانش برنامه نویسی کامل، هدفی را مورد حمله قرار دهند.
این کار، به طور قابل توجهی موانع ورود را کاهش داده است. به این معنی که هر کس، به شرط داشتن پول و تمایل به انجام این کار، میتواند یک حمله سازمان یافته و کامل را صورت دهد.
بر طبق گزارشات تیم Beazley Breach Response، در سه ماه اول سال ۲۰۱۹، نسبت به سال گذشته آن ۱۰۵ درصد افزایش حملات باج افزاری نسبت به مشاغل وجود داشته است. همین گزارش بیان میکند که متوسط تقاضای باج افزار نیز ۹۳٪ افزایش یافته و به ۲۲۴،۸۷۱ دلار رسیدهاست.
با این حال، از آن جایی که باج افزارها تمرکز خود را بر روی سازمانهای بزرگ و یا خدمات عمومی حیاتی قرار دادهاند، پرداخت مبالغ کلان به امری بدیهی تبدیل میشود. برای مثال، دو شهر در فلوریدا بر سر پرداخت ۱.۱ میلیون دلار برای دستیابی مجدد به سیستمهایشان به دنبال یک حمله باج افزاری در بخش عمومی، توافق کردند.
آیا باید بهای باج را بپردازیم؟
باج افزارها، به طور باورنکردنی مخل کار سازمانها هستند و پرداخت خونبها برای دسترسی سریعتر به اطلاعات وسوسهبرانگیز است. چرا که هر دقیقهای که تجارت شما آفلاین باشد، میتواند خسارات مالی و اعتباری بزرگتری برای شما به ارمغان آورد.
اما، بیشتر متخصصان بر این باورند که پرداخت درخواست باج افزار، بدترین کاری است که میتوانید انجام دهید. باج افزار فوقالعاده سودآور شده است. در نیم سال اول ۲۰۲۰، ۱۲۱ میلیون حمله باج افزاری ثبت شدهاست که این میزان نسبت به سال قبل بیش از ۲۰ درصد افزایش داشتهاست. این امر ناشی از عدم مقاومت قربانیان صورت میگیرد. هرچه مشاغل بیشتری در مقابل خواسته هکرها تسلیم شوند، حتی باوجود کم بودن مبلغ درخواست شده، تعداد افراد بیشتری به کسب درآمد از این طریق، تمایل پیدا میکنند.
حتی اگر مبلغ موردنظر هکر را پرداخت کنید، هیچ تضمینی وجود ندارد که هکر بر سر معامله توافق شده باقی بماند. درواقع هیچ تضمینی وجود ندارد که هکر بعد از دریافت باج، فایلهای قربانی را پاک نکند.
متأسفانه، در بسیاری از موارد، بهتر است دادههای رمزگذاری شده توسط باج افزار را از دست رفته تصور کنیم. میزان خسارتی که این حملات برای کسب و کار شما به عمل میآورد، به چگونگی قوی بودن بکاپگیری از اطلاعات و فرآیندهای بازیابی شما بستگی دارد. از طریق یک برنامه بازیابی قوی، میتوان قبل از شروع حمله، از آن جلوگیری کرد.
حمله باج افزار NHS در سال ۲۰۱۷
شاید معروفترین حمله باج افزاری که انگلیس را تحت تاثیر قرار داده و در ۱۱ ماه می ۲۰۱۷ اتفاق افتادهاست، زمانی باشد که NHS و تعدادی از سازمانهای بزرگ انگلستان و اسکاتلند توسط باج افزار Wannacry مورد حمله قرار گرفتند. این حمله به سرعت در سراسر اروپا پخش شده و سازمانهای بسیار بزرگی نظیر Telefonica در اسپانیا، Deutsche Bahn در آلمان، رنو و FedEx. اعتقاد بر این است که صدها هزار سیستم رایانهای در ۹۹ کشور تحت تأثیر قرار گرفتهاند.
آلودگی سیستمی از طریق سه عامل گسترش مییابد. محموله اولیه (به عنوان مثال، نرم افزار باج افزار معروف به WannaCry یا WannaCrypt) از طریق ایمیل فیشینگ، با کلیک کاربر بر روی لینک مخرب یا بارگیری یک پرونده مخرب، به شبکه سازمانها وارد شد. سپس این آلودگی، به سرعت از طریق شبکه و با استفاده از دو ابزار گسترش مییابد.
درنتیجه، تمام فایلهای کامپیوترهای آلوده شده روی شبکه، رمزگذاری شده و یک پیام رنسام روی صفحه نمایش داده میشد که شامل میزان درخواست باج افزارنویس بود، که باید ۳۰۰ دلار بیت کوین را ظرف سه روز و یا ۶۰۰ دلار را ظرف هفت روز پرداخت میکردند. مشخص نیست که چه تعداد سازمان این مبلغ را پرداخت کردند، اما تا روز دوشنبه ۱۵ می، مجرمان اینترنتی با توجه به URLهای مرتبط با مطالبات باج، بیش از ۴۰،۰۰۰ دلار درآمد کسب کردند.
مایکروسافت patchای برای تمام سیستم عامل ویندوز از ۷ تا نسخه ۸.۱، برای مقابله با آسیبپذیری منتشر کرد. با این حال، برای همه عناصر شبکه سازمانهای آسیبدیده اعمال نشده است. این مسئله به دلایل مختلفی ممکن است رخ بدهد، از جمله نیاز سازمانها به اجرای مرحله ای برنامه و درگیریهای احتمالی با سایر سیستمها و نرم افزارهای مهم.
دلیل دیگر این است که بسیاری از سازمانها هنوز از ویندوز XP استفاده میکنند. که این مسئله به دلیل مشکلات سازگاری است. به دلیل اینکه ویندوز XP پشتیبانی نمیشود، در ماه مارچ برای آن patchای منتشر نشد. درنتیجه، سیستمهای دارای ویندوز XP، درمقابل این حمله، آسیبپذیر باقی ماندند. ۹۰% از سیستمهای فناوری اطلاعات NHS در سال ۲۰۱۷ دارای ویندوز XP بودند، که قرارداد پشتیبانی آنها در سال ۲۰۱۵ فسخ شده بود.
با این حال ، با توجه به شدت حمله، مایکروسافت پچ را برای XP ایجاد و منتشر کرد، اما توصیه کرد که سازمانها و افراد باید همیشه در اولین فرصت، آخرین بروزرسانیهای نرم افزار را برای محافظت در برابر تهدیدات از این دست، اعمال کنند.