باج افزار نوعی بدافزار است که طوری طراحی‌شده تا از طریق رمزنگاری فایل‌های حیاتی سیستم قربانی، از شخص طلب باج کرده و زورگیری کند. این شیوه از حمله، باتوجه به شانس دریافت حجم بزرگی سرمایه و سهولت نسبی انتشار آن، در میان مجرمان سایبری بسیار مشهور و مورد توجه قرار گرفته‌است.

باج افزار چیست؟

باج افزار چگونه کار می‌کند؟

تقریبا شبیه به دیگر انواع بدافزارها، باج افزار به طور نرمال، از طریق فریب‌دادن قربانی برای دانلود پیوست‌های مخرب ایمیل که اسکریپت‌ها را وادار می‌کند به طور خودکار بر روی سیستم اجرا شوند، پخش می‌شود. با این حال، در هر کجا که فرصتی برای پنهان‌کردن اسکریپ‌های مخرب وجود داشته‌باشد، امکان گسترش باج افزار نیز وجود دارد.

باج افزار معمولا هنگام آغاز حمله خود، تلاش می‌کند تا ناشناخته باقی بماند. به این صورت که فایل‌ها را به آرامی، یکی پس از دیگری رمزگذاری می‌کند، به طوری که کاربر به چیزی مشکوک نشود. با این حال، برخلاف دیگر گزینه‌ها، باج افزار پس از رمزگذاری کافی فایل‌ها، معمولا از طریق ransom note و یا نمایش پیامی روی صفحه، حضور خود را در سیستم، به قربانی اطلاع می‌دهد.

تصویر زیر نمونه‌ای از یک پیام نمایش داده روی صفحه است که در ابتدا به کاربر اطلاع می‌دهد که فایل‌ها قفل شده و برای بازگردانی اطلاعات‌شان نیاز دارند تا مبلغی را به عنوان باج پرداخت کنند. متن دقیق این پیام در بین گونه‌های باج افزار، متفاوت است. اما همه آن‌ها به نوعی به کاربر اطلاع می‌دهند که برای بازگردانی اطلاعاتشان نیاز است تا در یک بازه زمانی مشخص، مبلغ مشخصی را به عنوان خون‌بهای اطلاعات خود پرداخت کنند.

پیام نمایش داده شده روی صفحه مرتبط با باج افزار Cerber

بعضی از این پیام‌ها، به جهت اینکه کاربر بترسد و هرچه سریع‌تر نسبت به پرداخت باج اقدام کند، محتوای خشونت‌آمیزی دارند. درحالی‌که، برخی دیگر تلاش دارند در ظاهر سازمان‌های قانونی مانند FBI نمایان شوند. برای مثال، باج افزار Jigsaw، برای هر ساعتی که کاربر نسبت به پرداخت باج تاخیر داشته باشد، یک فایل از سیستم کاربر پاک می‌کند و اگر کاربر تلاش کند تا سیستم خود را مجددا راه‌اندازی کند، نزدیک به ۱۰۰۰ فایل از سیستم کاربر را حذف می‌کند.

اولین باج افزار، AIDS Trojan

اولین نمونه باج افزار، AIDS Trojan که در سال ۱۹۸۹ اجرا شد، تقریبا ناموفق بود. این باج افزار به جای رمزگذاری محتویات فایل، نام فایل را رمز گذاری می‌کرد. درحالی‌که کلید رمزگذاری درون کد بدافزار پنهان بود. باوجود این خطاهای موجود در گسترش باج افزار، این مورد، اولین حمله‌ای بود که در آن هکر، برای بازگرداندن اطلاعات به سرقت رفته، درخواست پول می‌کرد.

مهاجمان هنوز با همان اصول پایه و اساسی، ولی به شیوه‌ای موثرتر، عمل می‌کنند و معمولا به جای درخواست ارز فیزیکی از قربانی، درخواست ارزهای رمزنگاری شده را دارند. هکرها بیشتر طرفدار بیت کوین یا مونرو، که اساسا ردیابی آن‌ها دشوارتر است، می‌باشند.

باج افزارهای امروزی

امروزه، صدها نوع مختلف از باج افزارها در سراسر جهان، عمل می‌کنند و تهدید خاصی که احتمالا با آن روبرو می‌شوید، به قاره، کشور یا حتی شهری که در آن فعالیت می‌کنید، بستگی دارد. به عنوان مثال، پس از بررسی حمله‌های صورت گرفته به مشاغل مختلف در سراسر انگلیس، نتایج به دست آمده از یک منطقه به منطقه دیگر متفاوت بود.

باج افزار Gandcrab

باج افزار Gandcrab که در تصویر بالا آمده است، یکی از انواع مشهور باج افزار در سراسر جهان است. دلیل محبوبیت این باج افزار این است که با ابزارهای آنلاین در ارتباط است و به هکرهای مبتدی این امکان را می‌دهد تا با پرداخت هزینه به سرویسی، حمله سفارشی از طرف آن‌ها انجام دهد.

آنچه مرسوم است، محبوبیت تعداد مشخصی از انواع این باج افزارها است که برای استخدام ارائه می‌شوند. در این مدل که تحت عنوان باج افزار به عنوان سرویس شناخته می‌شوند، مجرمان به گروهی از هکرها مبلغی پرداخت می‌کنند تا علیه یک هدف مشخص، یک کمپین باج افزاری ترتیب دهند. در این روش، مجرمان می‌توانند بدون وجود ریسک شناخته‌شدن و عدم نیاز به دانش برنامه نویسی کامل، هدفی را مورد حمله قرار دهند.

این کار، به طور قابل توجهی موانع ورود را کاهش داده است. به این معنی که هر کس، به شرط داشتن پول و تمایل به انجام این کار، می‌تواند یک حمله سازمان یافته و کامل را صورت دهد.

بر طبق گزارشات تیم Beazley Breach Response، در سه ماه اول سال ۲۰۱۹، نسبت به سال گذشته آن ۱۰۵ درصد افزایش حملات باج افزاری نسبت به مشاغل وجود داشته است. همین گزارش بیان میکند که متوسط تقاضای باج افزار نیز ۹۳٪ افزایش یافته و به ۲۲۴،۸۷۱ دلار رسیده‌است.

با این حال، از آن جایی که باج افزارها تمرکز خود را بر روی سازمان‌های بزرگ و یا خدمات عمومی حیاتی قرار داده‌اند، پرداخت مبالغ کلان به امری بدیهی تبدیل می‌شود. برای مثال، دو شهر در فلوریدا بر سر پرداخت ۱.۱ میلیون دلار برای دستیابی مجدد به سیستم‌هایشان به دنبال یک حمله باج افزاری در بخش عمومی، توافق کردند.

آیا باید بهای باج را بپردازیم؟

باج افزارها، به طور باورنکردنی مخل کار سازمان‌ها هستند و پرداخت خون‌بها برای دسترسی سریع‌تر به اطلاعات وسوسه‌برانگیز است. چرا که هر دقیقه‌ای که تجارت شما آفلاین باشد، می‌تواند خسارات مالی و اعتباری بزرگتری برای شما به ارمغان آورد.

اما، بیشتر متخصصان بر این باورند که پرداخت درخواست باج افزار، بدترین کاری است که می‌توانید انجام دهید. باج افزار فوق‌العاده سودآور شده است. در نیم سال اول ۲۰۲۰، ۱۲۱ میلیون حمله باج افزاری ثبت شده‌است که این میزان نسبت به سال قبل بیش از ۲۰ درصد افزایش داشته‌است. این امر ناشی از عدم مقاومت قربانیان صورت می‌گیرد. هرچه مشاغل بیشتری در مقابل خواسته هکرها تسلیم شوند، حتی باوجود کم بودن مبلغ درخواست شده، تعداد افراد بیشتری به کسب درآمد از این طریق، تمایل پیدا می‌کنند.

حتی اگر مبلغ موردنظر هکر را پرداخت کنید، هیچ تضمینی وجود ندارد که هکر بر سر معامله توافق شده باقی بماند. درواقع هیچ تضمینی وجود ندارد که هکر بعد از دریافت باج، فایل‌های قربانی را پاک نکند.

متأسفانه، در بسیاری از موارد، بهتر است داده‌های رمزگذاری شده توسط باج افزار را از دست رفته تصور کنیم. میزان خسارتی که این حملات برای کسب و کار شما به عمل می‌آورد، به چگونگی قوی بودن بکاپ‌گیری از اطلاعات و فرآیندهای بازیابی شما بستگی دارد. از طریق یک برنامه بازیابی قوی، میتوان قبل از شروع حمله، از آن جلوگیری کرد.

حمله باج افزار NHS در سال ۲۰۱۷

شاید معروف‌ترین حمله باج افزاری که انگلیس را تحت تاثیر قرار داده و در ۱۱ ماه می ۲۰۱۷ اتفاق افتاده‌است، زمانی باشد که NHS و تعدادی از سازمان‌های بزرگ انگلستان و اسکاتلند توسط باج افزار Wannacry مورد حمله قرار گرفتند. این حمله به سرعت در سراسر اروپا پخش شده و سازمان‌های بسیار بزرگی نظیر Telefonica در اسپانیا، Deutsche Bahn در آلمان، رنو و FedEx. اعتقاد بر این است که صدها هزار سیستم رایانه‌ای در ۹۹ کشور تحت تأثیر قرار گرفته‌اند.

حمله باج افزار Wannacry

آلودگی سیستمی از طریق سه عامل گسترش می‌یابد. محموله اولیه (به عنوان مثال، نرم افزار باج افزار معروف به WannaCry یا WannaCrypt) از طریق ایمیل فیشینگ، با کلیک کاربر بر روی لینک مخرب یا بارگیری یک پرونده مخرب، به شبکه سازمان‌ها وارد شد. سپس این آلودگی، به سرعت از طریق شبکه و با استفاده از دو ابزار گسترش می‌یابد.

درنتیجه، تمام فایل‌های کامپیوترهای آلوده شده روی شبکه، رمزگذاری شده و یک پیام رنسام روی صفحه نمایش داده می‌شد که شامل میزان درخواست باج افزارنویس بود، که باید ۳۰۰ دلار بیت کوین را ظرف سه روز و یا ۶۰۰ دلار را ظرف هفت روز پرداخت می‌کردند. مشخص نیست که چه تعداد سازمان این مبلغ را پرداخت کردند، اما تا روز دوشنبه ۱۵ می، مجرمان اینترنتی با توجه به URLهای مرتبط با مطالبات باج، بیش از ۴۰،۰۰۰ دلار درآمد کسب کردند.

مایکروسافت patchای برای تمام سیستم عامل ویندوز از ۷ تا نسخه ۸.۱، برای مقابله با آسیب‌پذیری منتشر کرد. با این حال، برای همه عناصر شبکه سازمان‌های آسیب‌دیده اعمال نشده است. این مسئله به دلایل مختلفی ممکن است رخ بدهد، از جمله نیاز سازمان‌ها به اجرای مرحله ای برنامه و درگیری‌های احتمالی با سایر سیستم‌ها و نرم افزارهای مهم.

دلیل دیگر این است که بسیاری از سازمان‌ها هنوز از ویندوز XP استفاده می‌کنند. که این مسئله به دلیل مشکلات سازگاری است. به دلیل اینکه ویندوز XP پشتیبانی نمی‌شود، در ماه مارچ برای آن patchای منتشر نشد. درنتیجه، سیستم‌های دارای ویندوز XP، درمقابل این حمله، آسیب‌پذیر باقی ماندند. ۹۰% از سیستم‌های فناوری اطلاعات NHS در سال ۲۰۱۷ دارای ویندوز XP بودند، که قرارداد پشتیبانی آن‌ها در سال ۲۰۱۵ فسخ شده بود.

با این حال ، با توجه به شدت حمله، مایکروسافت پچ را برای XP ایجاد و منتشر کرد، اما توصیه کرد که سازمان‌ها و افراد باید همیشه در اولین فرصت، آخرین بروزرسانی‌های نرم افزار را برای محافظت در برابر تهدیدات از این دست، اعمال کنند.