باج افزار به سختی یک تهدید کاملاً جدید در اینترنت است. ریشه های آن به سال ها قبل برمی گردد. این تهدید با گذشت زمان خطرناک تر و بی رحم تر شده است.
کلمه "باج افزار" در نتیجه بمباران حملات سایبری که بسیاری از مشاغل را در سال های اخیر غیرقابل استفاده کرده است، به رسمیت شناخته شده است.
همه فایلهای رایانه شخصی شما دانلود و رمزگذاری شدهاند، و سپس صفحه نمایش شما سیاه میشود و پیامی به زبان انگلیسی ظاهر میشود.
Yشما باید به مجرمان سایبری کلاه سیاه در بیت کوین یا سایر ارزهای رمزنگاری غیرقابل ردیابی باج بپردازید تا کلید رمزگشایی به دست آورید یا از انتشار داده های حساس خود در تاریک وب جلوگیری کنید.
اما ممکن است کمتر کسی از باجافزار بهعنوان سرویس، یک مدل کسبوکار دنیای زیرزمینی سازمانیافته که میتواند این نوع حملات (یا RaaS) را انجام دهد، آگاه باشد.
سازندگان باج افزار به جای انجام حملات خود، ویروس های گران قیمت خود را به مجرمان سایبری کمتر باتجربه ای اجاره می دهند که آماده متحمل شدن خطرات مرتبط با انجام عملیات باج افزار هستند.
با این حال همه آن چگونه عمل می کند؟ چه کسی سلسله مراتب را رهبری می کند و چه کسی به عنوان واسطه عمل می کند؟ و شاید مهمتر از آن، چگونه می توانید از کسب و کار خود و خود در برابر این حملات فلج کننده دفاع کنید؟
برای کسب اطلاعات بیشتر در مورد RaaS به خواندن ادامه دهید.
باج افزار به عنوان یک سرویس (RaaS) چیست؟
Ransomware-as-a-service (RaaS) یک مدل کسب و کار سازمانی مجرمانه است که به هر کسی اجازه میدهد به آن بپیوندد و از ابزارهایی برای راهاندازی حملات باجافزار استفاده کند.
کاربران RaaS، مانند کسانی که از مدلهای دیگر بهعنوان سرویس مانند نرمافزار بهعنوان سرویس (SaaS) یا پلتفرم بهعنوان سرویس (PaaS) استفاده میکنند، بهجای داشتن خدمات باجافزار، اجاره میدهند.
این یک بردار حمله نرمافزار بهعنوان سرویس با کد پایین است که مجرمان را قادر میسازد تا نرمافزار باجافزار را در وب تاریک خریداری کنند و بدون اینکه بدانند چگونه کدنویسی کنند، حملات باجافزاری را انجام دهند.
طرحهای فیشینگ ایمیل یک بردار حمله رایج برای آسیبپذیریهای RaaS هستند.
هنگامی که قربانی روی یک پیوند مخرب در ایمیل مهاجم کلیک می کند، باج افزار دانلود می شود و در سراسر دستگاه آسیب دیده پخش می شود و فایروال ها و نرم افزار آنتی ویروس را غیرفعال می کند.
نرمافزار RaaS میتواند به دنبال راههایی برای افزایش امتیازات پس از نقض سیستم دفاعی محیطی قربانی باشد، و در نهایت با رمزگذاری فایلها تا جایی که غیرقابل دسترس باشد، کل سازمان را گروگان نگه دارد.
هنگامی که قربانی از حمله مطلع شد، برنامه دستورالعمل هایی را در مورد نحوه پرداخت باج و (در حالت ایده آل) دریافت کلید رمزنگاری مناسب برای رمزگشایی به او ارائه می دهد.
اگرچه آسیبپذیریهای RaaS و باجافزار غیرقانونی هستند، اما دستگیری مجرمانی که این نوع حمله را انجام میدهند، میتواند به ویژه چالش برانگیز باشد، زیرا از مرورگرهای Tor (همچنین به عنوان روتر پیاز نیز شناخته میشود) برای دسترسی به قربانیان خود و درخواست پرداخت باج بیتکوین استفاده میکنند.
FBI ادعا میکند که سازندگان بدافزار بیشتر و بیشتر برنامههای مضر LCNC (کد کم/بدون کد) خود را در ازای کاهش درآمد حاصل از اخاذی منتشر میکنند.
مدل RaaS چگونه کار می کند؟
توسعه دهندگان و شرکت های وابسته برای انجام یک حمله موثر RaaS با یکدیگر همکاری می کنند. توسعه دهندگان وظیفه نوشتن بدافزار تخصصی باج افزار را بر عهده دارند که پس از آن به یک شرکت وابسته فروخته می شود.
کد باج افزار و دستورالعمل های راه اندازی حمله توسط توسعه دهندگان ارائه شده است. استفاده از RaaS ساده است و به دانش فنی کمی نیاز دارد.
هر کسی که به وب تاریک دسترسی دارد میتواند وارد پورتال شود، به عنوان یک شرکت وابسته به آن بپیوندد و با یک کلیک حملاتی را آغاز کند. شرکتهای وابسته، نوع ویروسی را که میخواهند توزیع کنند انتخاب میکنند و برای شروع، با استفاده از یک ارز دیجیتال، معمولاً بیتکوین، پرداختی را انجام میدهند.
زمانی که پول باج پرداخت شود و حمله موفقیت آمیز باشد، توسعهدهنده و شرکت وابسته، درآمد را تقسیم میکنند. نوع مدل درآمد تعیین کننده نحوه تخصیص وجوه است.
بیایید چند مورد از این استراتژی های تجاری غیرقانونی را بررسی کنیم.
وابسته به RaaS
با توجه به عوامل مختلفی از جمله آگاهی از برند گروه باج افزار، میزان موفقیت کمپین ها و کالیبر و تنوع خدمات ارائه شده، برنامه های زیرزمینی وابسته به یکی از شناخته شده ترین اشکال RaaS تبدیل شده اند.
سازمانهای جنایی اغلب به دنبال هکرهایی میگردند که بتوانند به تنهایی وارد شبکههای تجاری شوند تا کد باجافزار خود را در باند حفظ کنند. آنها سپس از ویروس و کمک برای راه اندازی حمله استفاده می کنند.
با این حال، با توجه به افزایش اخیر دسترسی به شبکه شرکتی برای فروش در وب تاریک برای برآورده کردن این معیارها، یک هکر حتی ممکن است به این نیاز نداشته باشد.
هکرهایی که به خوبی پشتیبانی میشوند و کمتر با تجربه هستند، حملات پرریسکی را در ازای سهم سود به جای پرداخت هزینه ماهانه یا سالانه برای استفاده از کد باجافزار انجام میدهند (اما گاهی اوقات شرکتهای وابسته ممکن است مجبور به پرداخت هزینه برای بازی شوند).
اکثر اوقات، باج افزارهای باج افزار به دنبال هکرهایی هستند که مهارت کافی برای نفوذ به شبکه شرکت و شجاعت کافی برای انجام حمله را داشته باشند.
در این سیستم، شرکت وابسته اغلب بین 60 تا 70 درصد باج را دریافت می کند و 30 تا 40 درصد باقی مانده به اپراتور RaaS ارسال می شود.
RaaS مبتنی بر اشتراک
در این تاکتیک، کلاهبرداران برای دسترسی به باجافزار، پشتیبانی فنی و بهروزرسانیهای ویروس، هزینه عضویت را به طور منظم پرداخت میکنند. بسیاری از مدلهای خدمات اشتراک مبتنی بر وب، مانند Netflix، Spotify، یا Microsoft Office 365، قابل مقایسه با این هستند.
به طور معمول، متخلفان باجافزار در صورت پرداخت هزینه خدمات، 100% درآمد حاصل از پرداخت باج را برای خود نگه میدارند که بسته به تامینکننده RaaS ممکن است 50 تا صدها دلار در ماه هزینه داشته باشد.
این حق عضویت در مقایسه با پرداخت باج معمولی در حدود 220,000 دلار سرمایه گذاری اندکی را نشان می دهد. البته، برنامههای وابسته همچنین میتوانند یک عنصر پرداخت به بازی، مبتنی بر اشتراک را در برنامههای خود بگنجانند.
مجوز مادام العمر
یک تولیدکننده بدافزار میتواند تصمیم بگیرد که بستههایی را برای پرداخت یکباره ارائه دهد و به جای کسب درآمد مکرر از طریق اشتراک و اشتراک سود، از احتمال دخالت مستقیم در حملات سایبری خودداری کند.
مجرمان سایبری در این مورد برای دسترسی مادامالعمر به یک کیت باجافزار یک بار هزینه میپردازند، که میتوانند از هر راهی که مناسب میدانند استفاده کنند.
برخی از مجرمان سایبری سطح پایین می توانند خرید یکباره را انتخاب کنند، حتی اگر به طور قابل توجهی گران تر باشد (ده ها هزار دلار برای کیت های پیچیده) زیرا در صورت دستگیری اپراتور، اتصال به اپراتور RaaS برای آنها دشوارتر خواهد بود.
مشارکت های RaaS
حملات سایبری با استفاده از باجافزار نیازمند آن است که هر هکری که درگیر است، مجموعهای از تواناییهای منحصربهفرد داشته باشد.
در این سناریو، یک گروه گرد هم میآمدند و کمکهای مختلفی به عملیات ارائه میکردند. برای شروع به یک توسعه دهنده کد باج افزار، هکرهای شبکه شرکتی و یک مذاکره کننده باج به زبان انگلیسی نیاز است.
بسته به نقش و اهمیت آنها در کمپین، هر شرکت کننده یا شریک، با تقسیم درآمد موافقت می کند.
چگونه حمله RaaS را شناسایی کنیم؟
به طور معمول، هیچ حفاظت از حمله باج افزاری وجود ندارد که 100٪ موثر باشد. با این حال، ایمیلهای فیشینگ روش اصلی مورد استفاده برای انجام حملات باجافزار هستند.
بنابراین، یک شرکت باید آموزش های آگاهی از فیشینگ را ارائه دهد تا اطمینان حاصل شود که کارکنان بهترین درک ممکن را از نحوه شناسایی ایمیل های فیشینگ دارند.
در سطح فنی، کسبوکارها ممکن است یک تیم تخصصی امنیت سایبری داشته باشند که وظیفه شکار تهدید را دارد. شکار تهدید یک روش بسیار موفق برای شناسایی و جلوگیری از حملات باج افزار است.
یک نظریه در این فرآیند با استفاده از اطلاعات بردارهای حمله ایجاد می شود. قوز و داده ها به ایجاد برنامه ای کمک می کند که ممکن است به سرعت علت حمله را شناسایی کرده و آن را متوقف کند.
برای مراقبت از اجرای فایل های غیرمنتظره، رفتار مشکوک و غیره در شبکه، از ابزارهای شکار تهدید استفاده می شود. برای شناسایی حملات باجافزاری، آنها از ساعت برای شاخصهای سازش (IOC) استفاده میکنند.
علاوه بر این، بسیاری از مدلهای شکار تهدید موقعیتی استفاده میشود که هر کدام برای صنعت سازمان هدف طراحی شدهاند.
نمونه هایی از RaaS
نویسندگان باج افزار به تازگی متوجه شده اند که ایجاد یک کسب و کار RaaS چقدر سودآور است. علاوه بر این، چندین سازمان عامل تهدید، عملیات RaaS را برای انتشار باجافزار در تقریباً هر کسبوکاری ایجاد کردهاند. اینها تعدادی از سازمانهای RaaS هستند:
- دارک ساید: یکی از بدنام ترین ارائه دهندگان RaaS است. بر اساس گزارشها، این باند پشت حمله به خط لوله استعماری در ماه مه 2021 بود. گمان میرود که DarkSide در آگوست 2020 شروع به کار کرد و در چند ماه اول سال 2021 به اوج خود رسید.
- دارما: باج افزار Dharma ابتدا در سال 2016 با نام CrySis ظاهر شد. اگرچه چندین نوع باج افزار Dharma در طول سال ها وجود داشته است، Dharma برای اولین بار در قالب RaaS در سال 2020 ظاهر شد.
- پیچ و خم: مانند بسیاری دیگر از ارائه دهندگان RaaS، Maze در سال 2019 شروع به کار کرد. علاوه بر رمزگذاری داده های کاربران، سازمان RaaS تهدید کرد که داده ها را به صورت عمومی در تلاش برای تحقیر قربانیان منتشر خواهد کرد. Maze RaaS به طور رسمی در نوامبر 2020 تعطیل شد، اگرچه دلایل آن هنوز تا حدودی مبهم است. با این حال، برخی از دانشگاهیان بر این باورند که همان مجرمان تحت نامهای مختلفی مانند Egregor ادامه داشتهاند.
- DoppelPaymer: این رویداد به چندین رویداد مرتبط است، از جمله یکی در سال 2020 علیه بیمارستانی در آلمان که جان یک بیمار را گرفت.
- ریوک: اگرچه RaaS در سال 2019 فعال تر بود، اما اعتقاد بر این است که حداقل در سال 2017 وجود داشته است. بسیاری از شرکت های امنیتی، از جمله CrowdStrike و FireEye، ادعاهای برخی از محققان مبنی بر اینکه این تجهیزات در کره شمالی قرار دارد را رد کرده اند.
- LockBit: به عنوان پسوند فایل، سازمان برای رمزگذاری فایلهای قربانی، «ویروس .abcd» استفاده میکند که برای اولین بار در سپتامبر 2019 ظاهر شد. ظرفیت LockBit برای پخش خودکار در یک شبکه هدف یکی از ویژگیهای آن است. برای مهاجمان احتمالی، این آن را به یک RaaS مطلوب تبدیل می کند.
- رستاخیز: اگرچه چندین ارائهدهنده RaaS وجود دارد، اما در سال 2021 رایجترین آنها بود. حمله Kaseya، که در ژوئیه 2021 رخ داد و بر حداقل 1,500 شرکت تأثیر گذاشت، به REvil RaaS مرتبط بود. همچنین گمان میرود که این سازمان پشت حمله ژوئن 2021 به تولیدکننده گوشت JBS USA بوده باشد که قربانی مجبور شد برای آن 11 میلیون دلار باج بدهد. همچنین مشخص شد که این شرکت مسئول حمله باج افزار به ارائه دهنده بیمه سایبری CNA Financial در مارس 2021 است.
چگونه از حملات RaaS جلوگیری کنیم؟
هکرهای RaaS اغلب از ایمیلهای پیچیده فیشینگ نیزهای استفاده میکنند که به طرز ماهرانهای ایجاد شدهاند تا برای توزیع بدافزار معتبر به نظر برسند. یک رویکرد مدیریت ریسک جامد که از آموزش مداوم آگاهی امنیتی برای کاربران نهایی پشتیبانی می کند، برای محافظت در برابر سوء استفاده های RaaS ضروری است.
اولین و بهترین محافظت ایجاد یک فرهنگ تجاری است که کاربران نهایی را در مورد جدیدترین تکنیکهای فیشینگ و خطراتی که حملات باجافزار برای مالی و شهرت آنها ایجاد میکند، آگاه میکند. ابتکارات در این زمینه عبارتند از:
- ارتقاء نرم افزار: سیستم عامل ها و برنامه ها اغلب توسط باج افزار مورد سوء استفاده قرار می گیرند. برای کمک به توقف حملات باجافزار، بهروزرسانی نرمافزار هنگام انتشار وصلهها و بهروزرسانیها مهم است.
- در تهیه نسخه پشتیبان و بازیابی اطلاعات خود دقت کنید: ایجاد یک استراتژی پشتیبان گیری و بازیابی اطلاعات اولین و احتمالاً مهمترین مرحله است. داده ها پس از رمزگذاری توسط باج افزار برای کاربران غیرقابل استفاده می شوند. اگر یک شرکت پشتیبانهای فعلی داشته باشد که میتوان از آنها در یک روش بازیابی استفاده کرد، تأثیر رمزگذاری دادهها توسط مهاجم میتواند کاهش یابد.
- پیشگیری از فیشینگ: فیشینگ از طریق ایمیل یک روش معمول حمله برای باج افزار است. اگر نوعی محافظت از ایمیل ضد فیشینگ وجود داشته باشد، می توان از حملات RaaS جلوگیری کرد.
- احراز هویت چند عاملی: برخی از مهاجمان باج افزار از پر کردن اعتبار استفاده می کنند که شامل استفاده از رمزهای عبور دزدیده شده از یک سایت در سایت دیگر است. از آنجایی که هنوز برای دسترسی به فاکتور دوم نیاز است، احراز هویت چندعاملی تأثیر یک رمز عبور که بیش از حد استفاده می شود را کاهش می دهد.
- امنیت برای نقاط پایانی XDR: فناوریهای امنیت نقطه پایانی و شکار تهدید، مانند XDR، یک لایه مهم دفاعی اضافی در برابر باجافزار ارائه میدهند. این قابلیتهای تشخیص و پاسخ پیشرفتهای را ارائه میدهد که به کاهش خطر باجافزار کمک میکند.
- محدودیت DNS: باج افزار اغلب از نوعی سرور فرمان و کنترل (C2) برای ارتباط با پلتفرم اپراتور RaaS استفاده می کند. یک پرس و جو DNS تقریباً همیشه در ارتباطات از یک ماشین آلوده به سرور C2 دخالت دارد. سازمانها میتوانند تشخیص دهند که باجافزار در حال تلاش برای تعامل با RaaS C2 و جلوگیری از ارتباطات با کمک یک راهحل امنیتی فیلتر DNS است. این می تواند به عنوان یک نوع پیشگیری از عفونت عمل کند.
آینده RaaS
حملات RaaS در آینده در بین هکرها رایج تر و محبوب تر خواهد شد. بر اساس گزارش اخیر، بیش از 60 درصد از کل حملات سایبری در 18 ماه گذشته، مبتنی بر RaaS بوده است.
RaaS به دلیل ساده بودن استفاده از آن و عدم نیاز به دانش فنی روز به روز محبوب تر می شود. علاوه بر این، ما باید برای افزایش حملات RaaS که زیرساخت های حیاتی را هدف قرار می دهند، آماده شویم.
این حوزه های مراقبت های بهداشتی، اداری، حمل و نقل و انرژی را پوشش می دهد. هکرها این صنایع و موسسات مهم را بیش از هر زمان دیگری در معرض دید قرار می دهند و نهادهایی مانند بیمارستان ها و نیروگاه ها را در معرض حملات RaaS قرار می دهند. زنجیره تامین مشکلات تا سال 2022 ادامه دارد.
نتیجه
در نتیجه، حتی اگر Ransomware-as-a-Service (RaaS) یک مخلوق و یکی از جدیدترین خطراتی است که کاربران دیجیتال را طعمه خود می کند، انجام اقدامات پیشگیرانه خاصی برای مبارزه با این تهدید بسیار مهم است.
علاوه بر سایر اقدامات احتیاطی اساسی امنیتی، می توانید برای محافظت بیشتر در برابر این تهدید به ابزارهای پیشرفته ضد بدافزار نیز اعتماد کنید. متأسفانه، به نظر می رسد که RaaS فعلاً اینجا بماند.
برای کاهش احتمال حمله موفقیت آمیز RaaS به یک برنامه جامع فناوری و امنیت سایبری برای محافظت در برابر حملات RaaS نیاز دارید.
پاسخ دهید