باج افزار چیست؟ آشنایی با انواع باج افزارها

باج افزار تهدیدی برای شما و دستگاه شما است، اما چه چیزی این نوع بدافزار را تا این حد خاص می‌کند؟ کلمه "باج" هر آنچه را که باید در مورد این آفت بدانید به شما می‌گوید. باج افزار یک نرم افزار اخاذی است که می‌تواند رایانه شما را قفل کند و سپس برای انتشار آن باج  بگیرد. در بیشتر موارد، عفونت باج افزار به شرح زیر رخ می‌دهد. بدافزار ابتدا به دستگاه دسترسی پیدا می‌کند. بسته به نوع باج افزار، کل سیستم عامل یا فایل‌های جداگانه رمزگذاری می‌شوند. سپس از قربانی دیه مطالبه می‌شود. اگر می‌خواهید خطر حمله باج افزار را به حداقل برسانید، باید به نرم افزار حفاظت باج افزار با کیفیت بالا اعتماد کنید. بدافزار ترکیبی از دو کلمه "مضر" و "نرم افزار" است. بنابراین اصطلاح بدافزار تمام نرم افزارهای مخربی را که می‌توانند برای رایانه شما خطرناک باشند، پوشش می‌دهد. این شامل ویروس‌ها و تروجان‌ها می‌شود.

باج افزار چیست؟

باج‌افزار (Ransomware) نوعی بدافزار است که داده‌ها یا دستگاه قربانی را قفل می‌کند و تهدید می‌کند که آن را قفل نگه می‌دارد - یا بدتر از آن - مگر اینکه قربانی به مهاجم باج بدهد. 

با توجه به  IBM Security X-Force Threat Intelligence Index 2023 ، حملات باج‌افزاری 17 % از کل حملات سایبری را در سال 2022 تشکیل می‌دهند. شاخص اطلاعات تهدید X-Force 2023 نشان داد که سهم باج افزار از تمام حوادث امنیت سایبری از سال 2021 تا 2022 به میزان 4 درصد کاهش یافته است، احتمالاً به این دلیل که مدافعان در شناسایی و جلوگیری از حملات باج افزار موفق‌تر بوده‌اند.

تاریخچه باج افزارها 

باج‌افزار بیش از سه دهه است که سازمان‌ها و افراد را فریب داده است، با اولین کمپین باج‌افزار شناخته‌شده که در سال 1989 از طریق پست حلزون به قربانیان خود رسید. جوزف ال. پاپ، زیست‌شناس تحصیل‌کرده در هاروارد، که اکنون به عنوان «پدر باج‌افزار» شناخته می‌شود، فلاپی دیسک‌های آلوده را به 20000 نفر که در کنفرانس ایدز سازمان جهانی بهداشت شرکت کرده بودند ارسال کرد.

بدافزار پاپ به تروجان ایدز معروف شد. پس از قرار دادن در رایانه قربانی، دیسک، که به نظر می رسید حاوی یک پرسشنامه تحقیقات پزشکی بود اما در واقع حاوی کد مخرب بود، سیستم را رمزگذاری کرد و به قربانی دستور داد 189 دلار را به صندوق پستی در پاناما پست کند. کارشناسان فناوری اطلاعات به زودی یک کلید رمزگشایی پیدا کردند، اما این حادثه آغاز دوره جدیدی از جنایات سایبری بود.

تولد کریپتوکارنسی در سال 2009، لحظه مهم دیگری را در تاریخ باج افزار رقم زد، زیرا به عوامل تهدید راهی آسان و ناشناس برای جمع آوری پرداخت‌ها داد. در سال 2012، Reveton یکی از اولین کمپین‌های باج‌افزاری بود که در آن مهاجمان از قربانیان می‌خواستند باج به بیت‌کوین بپردازند. یکی از بزرگترین و جدی‌ترین حملات باج افزار در بهار سال 2017 رخ داد و WannaCry نام داشت. در جریان این حمله، از حدود 200000 قربانی از تقریباً 150 کشور خواسته شد تا باج به بیت کوین بپردازند.

باج افزار چگونه کار می‌کند؟

چرخه حیات باج افزار دارای شش مرحله کلی است : 

• توزیع بدافزار و آلودگی
• فرماندهی و کنترل 
• کشف و حرکت جانبی
• سرقت مخرب و رمزگذاری فایل
• اخاذی
• حل و فصل

توزیع بدافزار و آلودگی

قبل از اینکه مهاجمان بتوانند درخواست باج کنند، باید به سیستم قربانیان خود نفوذ کرده و آنها را با بدافزار آلوده کنند. رایج‌ترین بردارهای حمله باج افزار عبارتند از فیشینگ، پروتکل دسکتاپ از راه دور (RDP) و سوء استفاده از اعتبار، و آسیب پذیری‌های نرم افزاری قابل بهره برداری.

• فیشینگ: این محبوب‌ترین نوع مهندسی اجتماعی است و همچنان برترین بردار حمله برای انواع بدافزارها است. مهاجمان ایمیل‌هایی با ظاهر قانونی را با لینک‌ها و پیوست‌های مخرب به کار می‌برند تا کاربران را فریب دهند تا ناخواسته بدافزار را نصب کنند. حملات Smishing، Vishing، Spear phishing و watering hole همگی انواعی از کلاهبرداری‌های فیشینگ و مهندسی اجتماعی هستند که مهاجمان برای فریب دادن افراد برای شروع نصب بدافزار استفاده می‌کنند.
• RDP پروتکل دسکتاپ از راه دور و سوء استفاده از اعتبار: این شامل استفاده از حملات بی رحمانه یا پرکردن اعتبار یا خرید اعتبارنامه‌ها از دارک وب، با هدف ورود به سیستم‌ها به عنوان کاربران قانونی و سپس آلوده کردن شبکه با بدافزار است. RDP که مورد علاقه مهاجمان است، پروتکلی است که مدیران را قادر می‌سازد تا به سرورها و دسکتاپ‌ها تقریباً از هر نقطه دسترسی داشته باشند و به کاربران اجازه می‌دهد از راه دور به دسکتاپ خود دسترسی داشته باشند. با این حال، پیاده‌سازی‌های RDP با امنیت نادرست، یک نقطه ورودی رایج باج‌افزار هستند.
• آسیب پذیری‌های نرم افزاری: اینها همچنین یک هدف مکرر برای عفونت‌های باج افزار هستند. مهاجمان با حمله به نرم افزارهای اصلاح نشده یا قدیمی به سیستم قربانی نفوذ می‌کنند. یکی از بزرگترین حوادث باج افزار در تاریخ، WannaCry ، به سوء استفاده EternalBlue مرتبط است، آسیب پذیری در نسخه های اصلاح نشده پروتکل Windows Server Message Block (SMB).

فرماندهی و کنترل

یک سرور فرمان و کنترل (C&C) که توسط مهاجمان باج‌افزار راه‌اندازی و اداره می‌شود، کلیدهای رمزگذاری را به سیستم هدف ارسال می‌کند، بدافزار اضافی را نصب می‌کند و سایر مراحل چرخه حیات باج‌افزار را تسهیل می‌کند.

کشف و حرکت جانبی

این مرحله دو مرحله‌ای، شامل جمع‌آوری اطلاعات در مورد شبکه قربانی برای کمک به آنها برای درک بهتر نحوه انجام یک حمله موفقیت‌آمیز می‌شود و سپس عفونت را به دستگاه‌های دیگر سرایت می‌کند و امتیازات دسترسی خود را برای جستجوی داده‌های ارزشمند افزایش می‌دهد.

سرقت مخرب و رمزگذاری فایل

در این مرحله، مهاجمان داده‌ها را به سرور C&C منتقل می‌کنند تا از آنها در حملات اخاذی استفاده کنند. سپس مهاجمان داده‌ها و سیستم‌ها را با استفاده از کلیدهای ارسال شده از سرور C&C خود رمزگذاری می کنند.

اخاذی

مهاجمان خواستار پرداخت باج هستند. این سازمان اکنون می‌داند که قربانی یک حمله باج افزار است.

حل و فصل

سازمان قربانی باید برای رسیدگی و بازیابی حمله وارد عمل شود. این می‌تواند شامل بازیابی نسخه‌های پشتیبان، اجرای طرح بازیابی باج افزار، پرداخت باج، مذاکره با مهاجمان یا بازسازی سیستم‌ها از ابتدا باشد.

انواع باج افزار و مخرب‌ترین باج افزارها

جدول زیر انواع مختلف باج افزار را بیشتر توضیح می دهند:

باج افزار بر اساس نحوه ارائه و تأثیر آن تعریف و دسته بندی می‌شود. تحویل باج‌افزار به‌عنوان سرویس (RaaS)، تحویل خودکار (نه به عنوان سرویس) و تحویل توسط انسان است. این تاثیر می‌تواند در دسترس نبودن داده‌ها، تخریب داده‌ها، حذف داده‌ها، و استخراج و اخاذی داده‌ها باشد.

نمونه هایی از مخرب ترین باج افزارها:

GandCrab 

اولین نوع RaaS بود که درخواست پرداخت با ارز دیجیتال Dash را داشت. برای اطمینان از محرمانه بودن، از یک دامنه سطح بالای bit استفاده کرد که توسط شرکت اینترنت برای نام‌ها و شماره‌های اختصاص‌ یافته تحریم نشده است. GandCrab از طریق ایمیل‌ها، کیت‌های بهره برداری و سایر کمپین‌های بدافزار منتشر شد. این باج افزار تا آگوست 2018 بیش از 50 درصد از بازار باج افزار را بر عهده داشت . در سال 2019، گروه باج افزاری که پشت سر GandCrab قرار داشت بازنشسته شد و یک ابزار رمزگشایی منتشر کرد.

CryptoLocker

یکی از اولین نمونه‌های باج‌افزار پیچیده است که باج‌افزار قفل و کریپتو را ترکیب می‌کند. دستگاه‌های کاربران را قفل می‌کند و از یک جفت کلید RSA 2048 بیتی برای رمزگذاری سیستم‌ها و هر درایو متصل و سرویس‌های ابری همگام‌سازی‌شده استفاده می‌کند. این امر شانس پرداخت را افزایش می‌دهد زیرا حتی اگر قربانی قفل را حذف کند، دسترسی بازیابی نمی‌شود زیرا سیستم رمزگذاری شده بود. CryptoLocker از طریق پیوست‌های مخرب در اعلان‌های ردیابی هرزنامه FedEx و UPS و همچنین وب سایت‌های آلوده منتشر می‌شود. مهاجمان برای باز کردن قفل دستگاه‌ها 300 دلار باج درخواست کردند. طبق گزارش‌ها، این باج افزار در دو ماه اول 27 میلیون دلار باج به دست آورده است.

WannaCry/WannaCrypt

WannaCry در حمله سایبری جهانی می 2017 علیه سیستم‌های 150کشور استفاده شد. در ماه می 2019، گزارش شد که باج افزار به نزدیک به 5 میلیون دستگاه آسیب پذیر سرایت کرده است. کریپتوکرم خودتکثیری بر سازمان‌های برجسته از جمله سرویس بهداشت ملی بریتانیا ، فدکس، هوندا و بوئینگ تأثیر گذاشته است. که با نام‌های WannaCrypt، WannaCryptor و Wanna Decryptor نیز شناخته می‌شود، از طریق اکسپلویت EternalBlue افشا شده توسط آژانس امنیت ملی ، آسیب‌پذیری در نسخه‌های قدیمی بلاک پیام سرور، منتشر شد . WannaCry به عنوان بزرگترین حمله باج افزار تا به امروز در سال 2017 معرفی شد.

REvil

REvil که با نام های Sodin و Sodinokibi نیز شناخته می‌شود، ممکن است مربوط به GandCrab 2018 باشد. این دو سویه شباهت‌های قابل توجهی دارند و با هم در سیستم‌های قربانیان در حملات اولیه قبل از بازنشستگی GandCrab به کار گرفته شدند. حملات اولیه از یک آسیب‌پذیری Oracle WebLogic و آسیب‌پذیری روز -صفر ویندوز سوء استفاده کردند. بعداً از سیستم‌های نفوذی از طریق فیشینگ، نقص‌های پروتکل دسکتاپ از راه دور (RDP)، حملات VPN و حملات زنجیره تأمین سوء استفاده می‌کند. این سایت یک دارک وب دارد که به عنوان وبلاگ شاد شناخته می‌شود. REvil در حملات قابل توجهی علیه Acer، JBS USA و Kaseya استفاده شد. گروه باج افزار در جولای 2021 آفلاین شد اما در سپتامبر 2021 دوباره ظاهر شد . رمزگشای جهانی در سپتامبر 2021 برای قربانیان حملات قبل از 13 ژوئیه 2021 منتشر شد.

دلیل موفقیت باج افزارها چیست؟

Raimund Genes، مدیر ارشد فناوری Trend Micro می‌گوید: حملات باج‌افزاری در حال افزایش هستند زیرا مهاجمان تکنیک‌های خود را کامل کرده‌اند، در حالی که شرکت‌ها در همه بخش‌ها نتوانسته‌اند نواقص امنیتی حیاتی را برطرف کنند. ژنز در بخش دوم مصاحبه با گروه رسانه‌ای امنیت اطلاعات می‌گوید: «این ظهور خدمات انتقال پول ناشناس با استفاده از TOR، بیت کوین و سایر ابزارها است که افراد بدافزار به آن دست یافته‌اند."امروزه موارد ناشناس مانند Ukash، بیت کوین، کارت‌های هدیه iTunes و دارک وب، ردیابی مهاجم را بسیار دشوار می‌کند."

او می‌گوید، بسیاری از شرکت‌ها در برابر حملات آسیب‌پذیر هستند، زیرا اقدامات احتیاطی لازم از جمله پشتیبان‌گیری آفلاین را انجام نداده‌اند. همه از پشتیبان‌گیری آفلاین با سه نسخه در دو مکان مستقل دور شدند. این قانون طلایی چند سال پیش بود. به نظر می‌رسد که با پشتیبان‌گیری ابری و آنلاین، مردم کاملاً آن را فراموش کرده‌اند.

ژنز می‌گوید: سایر مراحل امنیتی ضروری که اغلب نادیده گرفته می‌شوند، شامل جداسازی و بخش‌بندی شبکه و همچنین یک طرح جامع مدیریت ریسک است. او استدلال می‌کند که این می‌تواند به این دلیل باشد که آنها بیش از حد روی محافظت از خود در برابر حملات به اصطلاح "APT" متمرکز هستند.

روش‌های پیشگیری از ورود باج افزارها به سیستم

وقتی صحبت از محافظت در برابر باج افزارها می‌شود، پیشگیری بهتر از درمان است. برای رسیدن به این هدف، یک چشم مراقب و نرم افزار امنیتی مناسب بسیار مهم است. اسکن آسیب‌پذیری همچنین می‌تواند به شما کمک کند تا مزاحمان را در سیستم خود پیدا کنید. برای پیشگیری از ورود باج‌افزارها به سیستم خود، می‌توانید از روش‌های زیر استفاده کنید:

• آپدیت سیستم و نرم‌افزارها: همیشه سیستم عامل، آنتی‌ویروسو تمام نرم‌افزارهای خود را به روز نگه دارید تا بهترین امکانات امنیتی را داشته باشید.
• استفاده از فایروال و نرم‌افزارهای آنتی‌ویروس: نصب و فعال نگه داشتن فایروالو نرم‌افزارهای آنتی‌ویروس می‌تواند از نفوذ باج‌افزارها جلوگیری کند.
• پشتیبان گیری مداوم: اطلاعات مهم خود را به صورت مداوم پشتیبان‌گیری کنید تا در صورت حمله باج‌افزار، دسترسی به اطلاعات مهم خود را داشته باشید.
• عدم باز کردن فایل‌ها یا لینک‌های ناشناخته: ایمیل‌ها یا پیام‌هایی که از منابع ناشناخته آمده باشند را باز نکنید و لینک‌های مشکوک را دنبال نکنید.
• آموزش کارکنان: کارکنان را در مورد روش‌های حفاظت در برابر باج‌افزارها و حملات فیشینگ آموزش دهید.
• استفاده از فایل‌های پسوند امن: فایل‌های مهم را با پسوندهای امنی مانند .docx یا .pdf ذخیره کنید و از اجازه‌ی اجرای فایل‌های مشکوک پرهیز کنید.
• استفاده از فایروال و فیلترهای وب: از فایروال سخت‌افزاری و نرم‌افزاری و فیلترهای وب استفاده کنید تا ترافیک شبکه را کنترل کرده و حملات را کاهش دهید.
• تعیین دسترسی‌ها: به دقت دسترسی‌های کاربران را تعیین کنید تا حق دسترسی به اطلاعات حساس به افراد لازم نباشد.
• مانیتورینگ و ثبت فعالیت‌ها: فعالیت‌های سیستم را مانیتور کنید و در صورت شک ترافیک یا فعالیت مشکوک، به سرعت واکنش نشان دهید.
• استفاده از ابزارهای امنیتی پیشرفته: از ابزارهای امنیتی پیشرفته مانند راهکارهای EDR (تشخیص و پاسخ به رخداد) و SIEM (مدیریت اطلاعات و رویدادهای امنیتی) استفاده کنید.  

با اجتناب از عملیاتی که ممکن است به اجرای باج‌افزارها منجر شود و با استفاده از ابزارهای امنیتی موثر، می‌توانید سیستم خود را از حملات باج‌افزارها محافظت کنید.

سخن آخر

باج افزار در تمام اشکال و انواع آن تهدیدی قابل توجه برای کاربران و شرکت‌های خصوصی و دولتی است . این امر با توجه به تهدیدی که ایجاد می‌کند و آمادگی برای همه احتمالات را بیش از پیش مهم می‌کند. بنابراین، یادگیری در مورد باج افزار، آگاهی کامل از نحوه استفاده از دستگاه‌ها و نصب بهترین نرم افزار امنیتی ضروری است. 

سوالات متداول 

باج‌افزار چیست؟

باج‌افزار یک نوع نرم‌افزار مخرب است که اطلاعات را رمزنگاری کرده و از کاربران خواسته می‌شود تا هزینه‌ای (باج) پرداخت کنند تا به اطلاعات خود دسترسی داشته باشند.

چگونه باج‌افزار وارد سیستم می‌شود؟

معمولاً باج‌افزارها از طریق ایمیل‌های فریبنده، لینک‌های مخرب، یا نرم‌افزارهای مستقر شده در وب سایت‌های تقلبی وارد سیستم می‌شوند.

چگونه می‌توانم از باج‌افزار جلوگیری کنم؟

بروزرسانی سیستم عامل و نرم‌افزارها، استفاده از آنتی‌ویروس و نرم‌افزارهای امنیتی، اجتناب از باز کردن فایل‌ها و لینک‌های مشکوک، تهیه پشتیبان منظم از اطلاعات

چگونه می‌توانم از اطلاعات خود محافظت کنم؟

پشتیبان‌گیری دوره‌ای از اطلاعات مهم، استفاده از رمزهای عبور قوی و منحصر به فرد،آموزش کارکنان در مورد امنیت سایبری، استفاده از نرم‌افزارهای امنیتی به‌روز