شکارچیان اطلاعات«5 گروه برتر باج افزار»

در طول پنج سال گذشته ، باج افزار ها از تهدیدی برای رایانه های شخصی به یک خطر جدی برای شبکه های سازمانی و عمومی تبدیل شده است. مجرمان اینترنتی تلاش خود را برای آلوده کردن رایانه های خانگی متوقف کرده اند و اکنون قربانیان بزرگ را هدف قرار داده اند. حمله به سازمان های تجاری و سازمان های دولتی نیاز به برنامه ریزی دقیق دارد و می تواند برای مجرمان سایبری ده ها میلیون دلار سود آور باشد.

باندهای باج افزاری دنیا از حفره های امنیتی در شرکت ها سو استفاده می کنند  ، علاوه بر این ، بسیاری از گروه های باج افزاری مدرن قبل از رمزگذاری، اطلاعات را می دزدند و تهدید به انتشار را به عنوان اهرم فشار به آن اضافه می کنند. برای شرکت متضرر ، این خطرات مختلفی را ایجاد می کند ، از صدمه اعتباری گرفته تا ایجاد مشکلات جدی برای  سهامداران تا جریمه های نظارتی ، که اغلب برای قربانیان به وجود می آید.

طبق اطلاعات ما ، سال 2016 سالی با روند صعود از نظر حملات سایبری بوده است. فقط در طی چند ماه اخیر ، تعداد حملات سایبری باج افزارها به سازمان ها سه برابر شده ، در حالی که در ژانویه 2016 ما به طور متوسط هر 2 دقیقه یک حادثه را ثبت می کردیم ، تا اواخر سپتامبر این فاصله به 40 ثانیه کاهش یافت.

از سال 2019 ، متخصصان امنیتی به طور منظم شرکت هایی را که مورد حمله گروه های بزرگ باجگیر قرار میگیرند را زیر نظر دارند. سایتهای خود اپراتورهای بدافزارها، آمار حمله ها را نشان می دهند. کارشناسان امنیت سایبری از این داده ها برای رتبه بندی فعال ترین گروه های جرایم اینترنتی استفاده کردیم.

Maze  (معروف به باج افزار ChaCha)

باج افزار Maze که برای اولین بار در سال 2019 مشاهده شد ، به سرعت در بالای سطر لیست بدافزار ها قرار گرفت. از کل تعداد قربانیان باج افزار ها ، بیش از یک سوم حملات را به خود اختصاص داده است. گروه پشت Maze اولین کسانی بودند که اطلاعات را قبل از رمزگذاری، سرقت می کردند. اگر قربانی از پرداخت باج خودداری می‌کرد ، مجرمان اینترنتی تهدید می‌کردند که فایل های به سرقت رفته را منتشر می کنند. این روش موفق واقع شد و بعداً توسط بسیاری دیگر از باج افزار ها از جمله REvil و DoppelPaymer به کار گرفته شد که در زیر به آنها می پردازیم.

در یک نوآوری دیگر ، مجرمان اینترنتی شروع به گزارش حملات خود به رسانه ها کردند. در اواخر سال 2019 ، گروه Maze، در مورد هک کردن شرکت Allied Universal با ضمیمه کردن چند پرونده سرقت شده به عنوان مدرک ، به Bleeping Computer گزارش دادن ، این گروه در مکالمات ایمیل خود با سردبیران وب سایت، تهدید به ارسال اسپم از سرورهای Allied Universal کردن و بعداً اطلاعات محرمانه شرکت هک شده را در فروم Bleeping Computer منتشر کرد. حملات Maze تا سپتامبر سال 2020 ادامه داشت، از آن تاریخ به بعد این گروه شروع به پایان دادن به فعالیت های خود کرد ، هرچند بعد از اینکه چندین شرکت بین المللی ، یک بانک دولتی در آمریکای لاتین و یک سیستم اطلاعاتی یک شهر ایالات متحده قبلا از فعالیت های آن گروه  آسیب دیده بودند. در هر یک از این موارد  اپراتورهای Maze چندین میلیون دلار از قربانیان طلب می کردند.

Conti (معروف به باج افزار IOCP)

Conti در اواخر سال 2019 ظاهر شد و در طول سال 2020 بسیار فعال بود و بیش از 13٪ از کل قربانیان در این مدت، قربانی این باج‌افزار بودند. سازندگان آن همچنان فعال هستند و به توسعه باج افزار خود ادامه می دهند.

جزئیات جالب در مورد حملات Conti این است که مجرمان اینترنتی به شرکت های هدف خود در ازای موافقت با پرداخت هزینه ، به امنیت شبکه کمک می کردند و می گویند: "شما دستورالعمل های مربوط به چگونگی بستن شکاف امنیتی و چگونگی جلوگیری کردن از چنین مشکلی را در آینده خواهید گرفت به علاوه ما نرم افزار خاصی را به شما معرفی میکنیم که بیشترین امنیت را در مقابل باجگیر ها به شما میدهد. "

همانند Maze ، این باج افزار نه تنها رمزگذاری می کند ، بلکه نسخه هایی از فایل ها را از سیستم های هک شده به اپراتورهای باج افزار ارسال می کند. سپس مجرمان اینترنتی تهدید می کنند در صورت عدم رعایت موارد خواسته شده، اطلاعات را به صورت آنلاین منتشر می کنند. یکی از مهمترین حملات Conti ، هک مدرسه ای در ایالات متحده و به دنبال آن درخواست 40 میلیون دلار باج بود. (مدریریت آن مدرسه گفت آماده پرداخت 500000 دلار است اما 80 برابر این مبلغ مذاکره نخواهد کرد.)

REvil (معروف به باج‌افزار Sodin یا Sodinokibi)

اولین حملات باج افزار REvil در اوایل سال 2019 در آسیا شناسایی شد. این بدافزار به دلیل قدرت فنی خود ، مانند استفاده از منابع و هسته های  CPU برای دور زدن سیستم های امنیتی ، به سرعت مورد توجه متخصصان قرار گرفت.

طبق آمار REVIL 11 درصد از کل قربانیان را تشکیل میدهند. این بدافزار تقریباً 20 بخش تجاری را تحت تأثیر قرار داده است. بیشترین سهم قربانیان مربوط به مهندسی و ساخت (30٪) و پس از آن امور مالی (14٪) ، خدمات حرفه ای و مصرف کننده (9٪) ، حقوقی (7٪) و فناوری اطلاعات و ارتباطات از راه دور (7٪) است. دسته دوم یکی از مهمترین حملات باج افزار در سال 2019 را به خود اختصاص داده است ، زمانی که مجرمان اینترنتی چندین MSP را هک کرده و Sodinokibi را بین مشتریان توزیع کردند.

این گروه در حال حاضر رکورد بزرگترین تقاضای باج شناخته شده را در اختیار داشته است: 50 میلیون دلار از ایسر در مارس 2021.

Netwalker (معروف به باج‌افزار Mailto)

از کل تعداد قربانیان Netwalker بیش از 10٪ را به خود اختصاص داده است. از جمله اهداف آن ، غول های تدارکات ، گروه های صنعتی ، شرکت های انرژی و سایر سازمان های بزرگ هستند. در عرض تنها چند ماه در سال 2020 ، مجرمان اینترنتی بیش از 25 میلیون دلار پول جمع کردند.

به نظر می رسد سازندگان آن مصمم هستند که عموم مردم را به این باج افزار آلوده کنند. آنها پیشنهاد دادند Netwalker را در ازای دریافت بخشی از سود حمله به کلاهبرداران اجاره دهند. به گفته Bleeping Computer ، سهم توزیع کننده بدافزار می تواند به 70٪ باج برسد ، اگرچه چنین طرح هایی معمولاً به شرکت های وابسته، مبلغ بسیار کمتری پرداخت می کنند.

مجرمان اینترنتی به عنوان مدرکی برای قصد خود ، تصاویری از نقل و انتقال پولهای بزرگ را منتشر کردند. آنها برای سهولت انجام مراحل اجاره ، وب سایتی را راه اندازی کردند تا پس از پایان مهلت باج ، داده های مسروقه را به طور خودکار منتشر کند.

در ژانویه 2021 پلیس منابع Netwalker را در Dark Web توقیف و شهروند کانادایی Sebastien Vachon-Desjardins را به بدست آوردن بیش از 27.6 میلیون دلار از فعالیت اخاذی متهم کرد. Vachon-Desjardins مسئول یافتن قربانیان ، نفوذ به سیستم آنها و استقرار Netwalker در سیستم های آنها بود. این عملیات اجرای قانون باعث از بین رفتن  Netwalker شد.

باج افزار DoppelPaymer

آخرین مورد از بحث ما باج افزار DoppelPaymer  است . باج افزاری که قربانیان آن حدود 9٪ از کل آمار را تشکیل می دهند. سازندگان آن در بدافزارهای دیگری نیز از جمله banking Trojan Dridex و باج افزار BitPaymer (معروف به FriedEx) که امروزه نسخه قبلی DopplePaymer محسوب می شود، ساخته‌اند. بنابراین تعداد کل قربانیان این گروه در واقع بسیار بیشتر است.

سازمان های تجاری متضرر از DoppelPaymer شامل تولید کنندگان لوازم الکترونیکی، خودرو و همچنین یک شرکت بزرگ نفتی آمریکای لاتین هستند. DoppelPaymer اغلب سازمان های دولتی، مثل خدمات بهداشتی ، اورژانس و آموزش در سراسر جهان را هدف میگیرند. این گروه همچنین پس از انتشار اطلاعات رأی دهندگان به سرقت رفته از Hall County در  Georgia و دریافت 500000 دلار از Delaware County، در Pennsylvania، هر دو در ایالات متحده ، خبرساز شد. حملات DoppelPaymer تا امروز ادامه دارد: «  در فوریه سال جاری ، یک نهاد تحقیقاتی اروپا اعلام کرد که هک شده است.»

روشهای حمله هدفمند

هر حمله هدفمند به یک شرکت بزرگ نتیجه یک فرایند طولانی برای یافتن آسیب پذیری در زیرساخت ها ، طراحی یک سناریو و انتخاب ابزار است. سپس نفوذ رخ می دهد، که بدافزار را در زیرساخت های شرکت گسترش می دهد. مجرمان اینترنتی گاهاً قبل از رمزگذاری پرونده ها و درخواست باج، برای چندین ماه در داخل شبکه شرکت ها باقی می مانند.

راه های اصلی نفوذ بدافزارها:

• اتصالات دسترسی از راه دور با امنیت ضعیف. اتصالات آسیب پذیر RDP (پروتکل ریموت دسکتاپ) چنان رایج برای ارائه بدافزار است که گروه های موجود در بازار سیاه برای بهره برداری از آنها خدمات ارائه می دهند. وقتی بیشتر دنیا به صورت دورکاری روی آورد ، تعداد این حملات سر به فلک کشید این روش عملیاتی Ryuk ، REvil و سایر کمپین های باج افزار رایج است.
• آسیب پذیری های برنامه سرور. حملات بر روی نرم افزارهای مبتنی بر سرور به مجرمان سایبری راه های دسترسی به  حساس ترین داده ها را می دهد یک مثال اخیر در ، هنگامی که باج افزار DearCry از طریق آسیب پذیری zero‑day در Microsoft Exchange حمله سایبری رخ داد. نرم افزار مبتنی به سرور با محافظت ناکافی می تواند به عنوان یک نقطه ورود برای یک حمله هدفمند باشد. مسائل امنیتی همچنین میتواند در سرورهای VPN سازمانی ظاهر می شود ، که نمونه هایی از آنها را سال گذشته مشاهده کردیم.
• تحویل مبتنی بر Botnet. اپراتورهای باج افزار برای به دام انداختن بیشترین قربانی و افزایش سود ، از Botnet استفاده می کنند. اپراتورهای شبکه باج افزار به مجرمان سایبری دیگر، دسترسی به هزاران دستگاه در معرض خطر که به طور خودکار به دنبال سیستم های آسیب پذیر هستند و باج افزار را بر روی آنها بارگیری می کنند را میدهد. به این ترتیب ، به عنوان مثال ، باج افزار Conti و DoppelPaymer گسترش یافتند.
• حملات زنجیره ای. کمپین REvil به بهترین وجه این تهدید را برجسته می کند: این گروه با ارائه دهنده MSP سازگار است و سپس باج افزار را به شبکه های مشتریان خود توزیع کرد.
• پیوست های مخرب. ایمیل های حاوی ماکروهای مخرب در اسناد Word هنوز گزینه محبوب برای ارسال بدافزار هستند. یکی از مخرب ترین بد‌افزار ها، NetWalker، از پیوست های مخرب برای به دام انداختن قربانیان استفاده کرده است - نامه های ارسالی با موضوع "COVID-19" به قربانیان ارسال می شود.

چگونگی محافظت تجارت ها در مقابل بد‌افزار ها

• آموزش کارمندان در حوضه امنیت دیجیتال. کارمندان باید بدانند که فیشینگ چیست ، هرگز پیوندهای موجود در ایمیل های مشکوک را دانلود یا دنبال نکنند یا پرونده ها را از سایت های مشکوک دانلود نکنند و نحوه ایجاد ، یادآوری و حفاظت از رمزهای عبور قوی را بدانند آموزش منظم در زمینه امنیت اطلاعات نه تنها برای به حداقل رساندن خطر حادثه ، بلکه همچنین برای کاهش آسیب در صورت حمله مجدد مهاجمان به شبکه را به صورت چشمگیر کاهش می دهد .
• برای اطمینان از حداکثر محافظت در برابر حملات بد‌افزار ها، به طور منظم همه سیستم عامل ها و برنامه ها را به روز کنید. هم نرم افزار های سمت کلاینت باید بروزرسانی شوند، هم نرم افزار های سمت سرور.
• ممیزی های امنیتی را انجام دهید ، امنیت تجهیزات را بررسی کنید. همچنین بررسی کنید که کدام یک از درگاه ها از اینترنت قابل دسترس و ایمن هستند. برای کار از راه دور از اتصال ایمن استفاده کنید ، اما به یاد داشته باشید که حتی شبکه های VPN نیز می توانند آسیب پذیر باشند.
• از اطلاعات شرکت نسخه های پشتیبان داشته باشید. داشتن نسخه پشتیبان نه تنها به کاهش خرابی و بازگرداندن سریعتر فرایندهای تجاری در صورت حمله باج افزار کمک می کند ، بلکه همچنین به بازیابی از حوادث پر دردسر بیشتر مانند خرابی سخت افزار نیز کمک می کند.
• از یک راه حل امنیتی حرفه ای استفاده کنید که از تجزیه و تحلیل رفتاری و فناوری های ضد باج افزار استفاده می کند.

از سیستم امنیتی ای استفاده کنید که قادر به تشخیص ناهنجاری و اقدامات بد‌افزار ها در زیرساخت شبکه باشد. حتما از افرادی استفاده کنید که در کار امنیت شبکه تخصص کامل داشته باشند.

منبع