نکات مهم درباره امنیت سایبری
خرداد ۲۰, ۱۳۹۸تفاوت بکاپ و آرشیو اطلاعات
بهمن ۱, ۱۳۹۸باج افزار و راه های مقابله با آن
باج افزار یا همان Ransomware ، بلای خانه مان سوزی که این روزها بسیاری از سازمان ها و شرکت ها را درگیر خود کرده است و در این مدت شاهد وقایع ناگواری در این خصوص می شنویم .
شاید برای شما هم این سئوال پیش امده است که به چه علت ما اخباری در خصوص وقایع رخ داده در حوزه فناوری اطلاعات با این گستردگی که دیگر اخبار پوشش داده می شود را نداریم . البته میتوانیم این را به فال نیک بگیریم زیرا تصور کنید که اگر چنین اخباری رو همانند دیگر اخبار اطلاع رسانی می کردند دیگر کسی به تجهیزات و تکنولوژی اطمینان نمی کرد و ممکن بود همه به عصر چرتکه و نگهداری اطلاعات بر روی کاغذ و نگهداری در محل امنی برمی گشتند و کافیه تصور کنید چه میشد ؟!
یادم هست که چیزی حدود ۵ سال پیش مقاله ای را تحت عنوان هشدار: تروژان جدید Teslacrypt در سایت منتشر کردم که در آن در خصوص حملات باج افزارها به شبکه های شرکت ها هشدار داده بودم و متاسفانه امروز شاهده آن هستیم که این حملات به قدری پیشرفته شده اند که بسیاری از متخصیصن این حوزه را با معذل جدی روبرو کرده بطوری که اگر متخصصی با این مشکل تنها یکبار برخورد داشته باشه همانند مار گزیده ای می شود که دیگر از ریسمان سیاه نیز می ترسد .
با توجه به اهمیت موضوع در خصوص باج افزار برآن شدم که در این مقاله ضمن هشدار مجدد در خصوص باج افزار کمی در خصوص این باج گیر ها بیشتر توضیح دهم تا شاید بتوانم توجه مدیران شرکت ها را به خطری که در چند ثانیه ای اطلاعات شرکتشان کمین کرده است جلب نمایم تا هر چه سریعتر نسبت به کسب اطلاعات بیشتر و انجام پیش بینی های لازمه در خصوص باج افزار از یک متخصص با تجره مشاوره لازمه را دریافت و اقدامات لازمه را انجام دهند.
اصلاً باج افزار ( Ransomware ) چیست ؟
باج افزار همانطور که از اسمش پیدا است یک بد افزار است که توسط مجرمان سایبری و به روش های مختلف به درون کامپیوتر و یا گوش های هوشمند تزریق می کنند و پس از آلوده کردن این دستگاه ها ، دسترسی به اطلاعات موجود در آنها را برای صاحب اطلاعات محدود کرده و با کد گذاری قوی که بر روی اطلاعات تزریق می کند عملاً استفاده از آنها را غیر ممکن می کند و جهت رفع آن مشکل با یک پیغام که معمولاً بصورت یک صفحه بر روی Desktop و یا یک فایل Readme در یکی از درایوها نمایش داده می شود از صاحب اطلاعات درخواست پول و یا به عبارتی باج را می کند و از آنجا که پول های دیجیتال قابل رهگیری نیست ،معمولاً پول را در قالب ارزهای دیجیتال طلب می کنند.
طریقه نفوذ باج افزار ها به سیستم :
۱- از طریق وب سایت های آلوده که کاربر با ورود به این نوع وب سایت ها که معمولاً از طریق لینک هایی که کاربر را ترقیب به کلیک بر روی آنها می کنند ،قربانی را به داخل وب سایت دعوت می کنند و پس از ورود با تزریق کد های مخرب خود به سیستم کاربر ،خود را برای تخریب اطلاعات کاربر آماده می کند .
۲- از طریق پیوست های همراه ایمیل که کاربر به محض باز کردن پیوست های آلوده ، با دستان خودش مرگ اطلاعات خود را شاهد خواهد بود .
۳- از طریق لینک های ارسالی توسط ایمیل ، پیامک ،پیغام های موجود در پیامگیر های اینترنتی و یا برخی از تبلیغات ،کاربر را تشویق به کلیک کرده و پس از …
۴- از طریق درگاه های ورودی به کامپیوتر و تلفن های هوشمند
جالب است این را بدانید که تنها در سال ۲۰۱۷ مقدار پولی را که مجرمان سایبری در قبال باج از قربانیان خود گرفته اند چیزی حدود ۲.۳ میلیون دلار بوده است و این آمار هم تنها مربوط به شکایات ثبت شده در FBI است و خدا می دونه که چقدر شکایت هم ثبت نشده است .( نمونه آن عدم ثبت آمار درست این حملات در کشور خودمان ایران است ) پیشنهاد می کنم این گزارش را مطالعه کنید
یکی از مطالب جالبی که در این مدت توجه من رو جلب کرده بود شروع فعالیت باج افزار ها بود که بیش از ۲۸ سال است که در دنیای کامپیوتر در حال فعالیت است و هر روز با چهره جدیدی از آن روبرو میشیم .اولین باری که حمله بد افزارها شناخته شده در سال ۱۹۸۹ توسط دکتر جوزف پوپ ، محقق ایدز ، آغاز شد و با توزیع ۲۰،۰۰۰ دیسک فلاپی به محققان ایدز که بیش از ۹۰ کشور جهان را شامل می شدند ، حمله را انجام داد و ادعا کرد که این دیسک ها حاوی برنامه ای هستند که وضعیت بیمار را تجزیه و تحلیل می کند. با این حال ، این دیسک همچنین حاوی یک برنامه بدافزار بود که در ابتدا در کامپیوترها غیرفعال باقی می ماند و پس از ۹۰ بار فعال کردن رایانه فعال می شد. پس از رسیدن آستانه ۹۰ این بدافزار پیامی را برای پرداخت ۱۸۹ دلار و ۳۷۸ دلار دیگر برای اجاره نرم افزار به کاربر نشان می داد. این حمله باج افزار به عنوان AIDS Trojan یا همان PC Cyborg معروف شد.
امروزه با توجه به سود آوری این تجارت کثیف بسیاری از مجرمان سایبری را به فکر سوء استفاده از بی اطلاعی کاربران انداخته است و متاسفانه هر روز شاهده وقایع ناگوار در این خصوص هستیم بطوریکه باج افزار CryptoWall به تنهایی بیش از ۳۲۰.۰۰۰.۰۰۰ دلار برای صاحب خود درآمد کسب کرده است که نشان از اهمیت موضوع و عمق فاجعه است .
پس از اولین حمله باج افزار در سال ۱۹۸۹ ،این نوع حملات تا اواسط دهه ۲۰۰۰ بسیار غیر معمول بود و در این زمان بود که روش های جدید و پیچیده تر و با استفاده از الگوریتم های قویتر مانند RSA دنیا را با پدیده جدیدی روبرو کرد بطوری که در آن زمان Gpcode ، TROJ.RANSOM.A ، Archiveus ، Krotten ، Cryzip و MayArchive محبوبیت زیادی را بین مجرمان سایبری کسب نمود و در سال ۲۰۱۱ با روشی جدید همچون نمایش فعال کردن سیستم عامل به استقبال قربانیان خود آمدند .
تا سال ۲۰۱۵ ، انواع مختلفی که روی سیستم عامل های مختلف تأثیر می گذاشتند ، اطلاعات بسیاری از کاربران جهان را از بین بردن . SecureList Kaspersky گزارش می دهد که از آوریل ۲۰۱۴ تا مارس ۲۰۱۵ ، برجسته ترین تهدیدات باج افزار CryptoWall ، Cryakl ، Scatter ، Mor ، CTB-Locker ، TorrentLocker ، Fury ، Lortok ، Aura و Shade بود. در این گزارش آمده است: ” آنها توانستند به ۱۰۱.۵۶۸ کاربر در سراسر جهان حمله کنند ، یعنی ۴۸/۷۷٪ از کل کاربران .” تنها در یک سال ، شرایط به طور چشمگیری تغییر کرد. براساس تحقیقات ۲۰۱۵-۲۰۱۶ کسپرسکی ، “تسلا کریپت ، به همراه CTB-Locker ، Scatter و Cryakl مسئولیت حملات علیه ۷۹.۲۱٪ از کاربران جهان را که درگیر این نوع از باج افزارها شده بودن شناخته شدن .
با توجه به پیشرفت باج افزارها و کمپین های حمله ، جای تعجب نیست که بیشترین حملات باج افزار در سالهای اخیر رخ داده است. مطالبات باج نیز در حال افزایش است. گزارش ها حاکی از آن است که متوسط تقاضا ها در اواسط دهه ۲۰۰۰ حدود ۳۰۰ دلار بوده است ، اما امروزه به طور متوسط حدود ۵۰۰ دلار است. معمولاً مهلتی برای پرداخت تعیین می شود و در صورت گذشت مهلت ، تقاضای باج مضاعف می شود یا پرونده ها از بین می روند یا به طور دائم قفل می شوند.
CryptoLocker یکی از سودآورترین باج افزارهای زمان خود بود. بین سپتامبر و دسامبر ۲۰۱۳ ، CryptoLocker بیش از ۲۵۰،۰۰۰ سیستم را آلوده کرد. . پس از آن ، مدل رمزگذاری آن مورد تجزیه و تحلیل قرار گرفت ، و اکنون ابزاری به صورت آنلاین برای بازیابی فایلهای رمزگذاری شده توسط CryptoLocker در دسترس است.
از آوریل ۲۰۱۴ تا اوایل سال ۲۰۱۶ ، CryptoWall جزء رایج ترین انواع باج افزار بود ، با اشکال مختلف این باج افزار صدها هزار نفر از افراد و مشاغل را هدف قرار داد. در اواسط سال ۲۰۱۵ ، CryptoWall بیش از ۱۸ میلیون دلار از قربانیان اخاذی کرده بود . همچنین در سال ۲۰۱۵ ، گروهی به نام کلاهبرداری Armada حملات زیادی را علیه بانکهای یونان انجام دادند. آنها با هدف قرار دادن مؤسسات مالی یونان و رمزگذاری پرونده های مهم ، امیدوار بودن که بانک ها را ترغیب کنند که مبلغ ۷ میلیون یورو را پرداخت کنند. مهاجمان از هر بانکی مبلغ ۲۰،۰۰۰ بیت کوین باج خواستند ، اما به جای پرداخت آن ، بانک ها با افزایش اقدامات دفاعی خود و جلوگیری از ایجاد اختلال در سرویس نمودن .
در مقاله ای که ZDNet در سال ۲۰۱۶ منتشر کرد : “طبق تشخیص های انجام شده توسط محققان آزمایشگاه کسپرسکی ، سه خانواده برتر باج افزار در سه ماهه اول سال عبارتند از: Teslacrypt (58.4٪) ، CTB-Locker (23.5٪) و Cryptowall (3.4٪) ) هر سه این باج افزار ها عمدتا از طریق ایمیل های ناخواسته با پیوست های مخرب یا پیوند به صفحات وب آلوده کاربران خود را آلوده کرده اند.
در جمعه سیاه (۲۵ نوامبر) سال ۲۰۱۶ ، آژانس حمل و نقل شهری سانفرانسیسکو قربانی حمله باج افزار شد که باعث اختلال در فروش بلیط قطار و سیستم های مدیریت اتوبوس شد. مهاجمان خواستار باج سنگین ۱۰۰ بیت کوین (معادل حدود ۷۳،۰۰۰ دلار در آن زمان) بودند ، اما به لطف درایت و واکنش سریع وحد فنائری اطلاعات آنجا و با استفاده از فرآیندهای جامع پشتیبان گیری توانستند ظرف دو روز سیستم های خود را بازیابی کنند و بسیاری اعتقاد دارن که باج افزار استفاده شده در این حمله Mamba یا HDDCryptor بوده است که به نوع خودش بسیار مخرب بده است .