RaaS چیست و چرا خطرناک است؟
پوشیده نیست که باج افزار (ransomware ) سریعا به خطرناکترین تهدید برای سازمانها تبدیل میشود. تعداد حملات باج افزار به صورت چشمگیری در حال افزایش است، که عمدتا ناشی از پاندمی کرونا است. بهصورت جهانی، حملات باج افزار در سال 2020 به بیش از 60% افزایش یافت که 158% آن در آمریکای شمالی بود و ادارۀ فدرال تحقیقات (FBI) 20 % بیشتر شکایات از باج افزار دریافت کرد. در نیمۀ اول سال 2020، حملات باج افزار در مقایسه با دورۀ زمانی مشابه در سال گذشته به 151% افزایش یافت.
یکی از دلایلی که حملۀ باج افزار فراوان شده است، افزایش RaaS یا باج افزار بهعنوان سرویس است. این مساله به چگونگی انجام حملات و استقرار باج افزار در شبکه ها است که شانس موفقیت را افزایش می دهد. ما این توسعه باجافزار جدید را بررسی میکنیم و نکاتی را در مورد اینکه چگونه میتوانید بهتر از خود دفاع کنید به شما ارائه میکنیم.
باج افزار به چه صورت عمل میکند؟
باجافزار تا حد زیادی از طریق Exploit-kit ها ساخته میشود. ابزاری که میتوان از طریق انجمنهای هکری و Dark Web خریداری کرد. باج افزار Hermes مثال خوبی است. اکسپلویت کیت ها، حاوی بدافزار، روتکیتها و باجافزار هستند که معمولاً به منظور استفاده از یکی از آسیبپذیری های موجود ساخته میشوند که به بدافزار اجازه میدهد تا شبکه را آلوده کند. این امر به خریدار این امکان را می دهد که تلاش کند تا سازمان را با یک بدافزار آلوده کند در صورتی که سازمان آسیبپذیری های مربوطه را اصلاح نکرده باشد٬ اما هکرها میتوانند از انواع دیگر حملات مانند فیشینگ برای نفوذ استفاده کنند.
بسته به اکسپلویت کیتی که یک هکر میتواند خریداری کند، هکر میتواند حملۀ مخربی را ترتیب دهد که این حمله ممکن است شامل باج افزار کدگذاری شده در یک فایل مخرب باشد که پاداش های تمام افرادی که فایل را دانلود کرده اند را گرداوری میکند. در هر حال، این نوع از باج افزار بطور گستردهای بدلیل نبود کارایی دچار رکود شده است.
مدل قدیمی نفوذ مربوط به ارسال ایمیلهای فیشینگ است با این امید که فردی یک پیوست مخرب را دانلود کند، که اغلب کار نمیکند. ضد فیشینگ، AV، شناسایی بدافزار، فیلترهای هرزنامه می توانند این نوع حملات باج افزار را در مراحل مختلف زنجیره حمله متوقف کنند.
حتی در مقابل با باج افزار کالا (commodity ransomware) مانند هرمس، داشتن فایل پشتیبان (Backup File) برای مواجهه با حملات باج افزار کافی است.
از آن جایی که باج افزار در دسترس تمامی خریداران قرار دارد، محققان امنیت توانستند کلیدهای کشف رمز (Decryption keys) را توسعه دهند و هدفها را از باج افزار دور کنند، بدون آن که آنها را وادار به پرداخت باج به حمله کنندگان کنند و در عوض، توسعهدهندگان باج افزار را وادار میکنند که فایل های مخرب خود را بطور پیوسته به روز رسانی کنند (بدلیل اینکه آنتی ویروس ها آنها را شناسایی کرده اند، پس باید تغییراتی در آنها داده شود تا دوباره هکر ها بتوانند از آنها استفاده ببرند).
و نتیجه میگیریم حملات باج افزار چندان کارامد و موثر نبودند و هکرها باید روش دیگری را پیدا کنند.
توصیف باج افزار به عنوان سرویس
خطرناک ترین گروه های باج افزار تصمیم گرفتند موثرترین باج افزار خود را خصوصی کنند و یک قدم فراتر بروند. به جای اینکه آن را بفروشند و به عاملین بد اجازه دهند آزادانه از آنها استفاده کنند، تصمیم گرفتند باج افزار را به صورت یک وب سرویس لایسنس دار در بیاورند، و به صورت درصدی هزینه ها را با خریداران این سرویس های مخرب تقسیم کنند.
این بدان معناست که یک عامل بد خدمات گروههای هکر را به طور کامل برونسپاری میکند– این موضوع تغییری اساسی در نحوه انجام حملات باجافزار به شمار میرود.
گروههای هکر بهجای استفاده از این ابزار در حملات فیشینگ و هرزنامهها، یا به سازمانهای هدف نفوذ میکنند یا باجافزار را در اهدافی که عوامل مخرب قبلاً راه خود را پیدا کردهاند، مستقر میکنند.
این مساله دو مزیت برای حمله کننده های باج افزار به همراه دارد:
سازمانهایی که قبلا به خطر افتاده اند: این حملات حملاتی با سبک سنتی نیستند بلکه حملات هدفمند تری هستند که یک سازمان به خطر افتاده را آلوده میکنند و شانس موفقیت را افزایش میدهند. و از آنجا که عوامل مخرب در حال حاضر در محیط یک شرکت هستند، احتمال بیشتری وجود دارد که باج افزارها بخش بزرگتری از شبکه سازمان را تحتتاثیر قرار دهد.
هیچ کلید رمزگشایی در دسترس وجود ندارد: امنیت سایبری به اطلاعات بستگی دارد. این واقعیت که باجافزار در چنین مقیاس وسیعی مورد استفاده قرار میگرفت، امکان توسعه کلیدهای رمزگشایی را برای محققان امنیتی فراهم کرد. با این حال، باجافزار خیلی در دسترس نیست و تنها در برابر سازمانها بهطور کم استفاده میشود که این مسئله ساخت کلیدهای رمزگشایی را دشوارتر میکند.
باج افزار Ryuk مثال خوبی برای این موضوع است. این باج افزار که فقط توسط گروه هکر WIZARD SPIDER مجوز داده شده است، اشتراکات زیادی با هرمس دارد، اما تنها شرکت های بزرگ را با این باج افزار هدف قرار می دهد. و از آنجایی که به طور گسترده برای خرید در دسترس نیست، ویژگی های مخصوص به قربانی را برای هر حمله ایجاد می کند که ایجاد یک کلید رمزگشایی برای آن را بسیار دشوارتر می کند.
RaaS احتمالا به هنجار جدید تبدیل میشود
متاسفانه، این توسعۀ جدید احتمالا حفظ میشود. روش جدید، مزایای بیشتری برای متهاجمان دارد. هکر مخرب به دنبال آن است تا سازمانی را آلوده کند که احتمال موفقیت در آن بالاتر است و گروه باج افزار بدون انجام دادن کار بیشتر قادر به انجام حمله و سرقت اطلاعات است.
در نتیجه، قبلاً دیدهایم که گروههای باجافزار مدل کارتلی را اتخاذ کرده و با گروههای باجافزاری کوچکتر کار میکنند و شبکهای سازمانیافته از مجرمان باجافزار را ایجاد میکنند. موفقیت مشاهده شده این مدل به این دلیل است که احتمالاً این مدل باقی می ماند و در آینده نزدیک افزایش می یابد.
این مساله بخشی از این دلیل است که حملات باج افزار بسیار افزایش یافته است و ما شاهد پرداخت های بزرگتر و بزرگتر هستیم. متوسط پرداخت باج افزار به طور چشمگیری افزایش یافت و به بیش از 300 هزار دلار در سال 2020 رسید که نشان دهنده افزایش 171 درصدی است.
سازمانها همچنان میتوانند از خودشان در برابر RaaS محافظت کنند.
با وجود این تحولات جدید، این بدان معنا نیست که سازمان ها در برابر این سبک از حملات درمانده هستند. خوشبختانه، سازمان ها می توانند از ابزارها، فرآیندها و راه حل های موجود برای محافظت از خود در برابر باج افزار استفاده کنند.
در اینجا چند زمینه وجود دارد که باید آنها را در اولویت قرار دهید.
دفاع سنتی در مقابل باج افزار را متوقف نکنید
فیلترهای هرزنامه، AV، و ابزارهای تشخیص و حذف ضد بدافزار به اندازه کافی موثر بوده اند تا مجرمان را مجبور به اتخاذ روش های دیگر کنند و حتی ممکن است مانع از اجرای باج افزار در محیط شما شوند. این ابزارها و همچنین برنامه های آموزشی آگاهی امنیتی باید همچنان مورد استفاده قرار گیرند و اولویت بندی شوند.
همیشه نسخه های پشتیبان همراه داشته باشید
اگر میتوانید از فایلهای خود نسخه پشتیبان تهیه کنید یا محیط خود را به مرحله قبل از آلودگی باجافزار برگردانید، برای شروع فرآیند بازیابی نیازی به پرداخت باج ندارید. اطمینان حاصل کنید که پشتیبانهای شما کاملاً از شبکه اصلی شما جدا شدهاند تا از آلودگی جلوگیری کنید.
روی ابزارهای نظارت و شناسایی سرمایه گذاری کنید
پیش درآمد این حملات باج افزار جدید، نفوذ است. اگر بتوانید ورود یک فرد غیرمجاز به شبکه خود را شناسایی کنید، می توانید از حمله جلوگیری کرده و به طور بالقوه آنها را قبل از اینکه آسیبی وارد کند از محیط خود بیرون کنید.
تا حد امکان از قطعه بندی شبکه استفاده کنید
این موضوع همیشه در برابر باج افزار کار کرده و هنوز هم جواب می دهد. اگر یک سیستم قطعه بندی شبکه مقاوم دارید، باید بتوانید از آلوده کردن باجافزارها به مهمترین داراییهای تجاریتان جلوگیری کنید و حتی از تهدیدهای اخاذی یا نشت دادهها جلوگیری کنید.
طرح پاسخ آماده داشته باشید
سازمانها باید برای مقابله با حملات باج افزار آمادگی کامل داشته باشد. یعنی باید یک طرح واکنش به حادثه ساخته شود و حتی در مواردی ممکن است بخواهید از یک شریک بررسی قضایی در سازمان استفاده کنید که در صورت خطر می تواند به سازمان کمک کنند.
ظهور RaaS بسیار نگران کننده است، اما اصول، روش ها، ابزارها و سیستم های امنیتی هنوز هم قابلیت های دفاعی، شناسایی و پاسخ قوی را ارائه می دهند. این اولویت های مهم را نادیده نگیرید و شرکای اهرمی را در نظر بگیرید که می توانند در قسمت تشخیص و پاسخ کمک کنند.
در این لینک درباره decryptor که به بیش از 1400 شرکت در 83 کشور کمک کرد تا فایل های خود را بازیابی کنند و بیش از 550 میلیون دلار باج پرداخت نشده را ذخیره کنند، بیشتر بیاموزید.