اخبار باجافزار و حملات مربوط به آنها در سال جاری بسیار در اخبار شنیدهشدهاند. ممکن است داستانهایی از حملات به شرکتها، سازمانها یا سازمانهای دولتی بزرگ شنیده باشید، یا شاید شما بهعنوان یک فرد یک حمله باجافزار را به دستگاه خود تجربه کرده باشید. این یک مشکل مهم و یک چشمانداز ترسناک از آینده حملات سایبری است که ممکن است تمام پروندهها و دادههای شما گروگان گرفته شود تا زمانی که خواسته فرد متخاصم را اجابت نمایید. اگر میخواهید درباره این تهدید بیشتر بدانید، ادامه مطلب را بخوانید تا در مورد اشکال مختلف باجافزار، نحوه دریافت آن، از کجا آمده است، چه کسی را هدف قرار میدهد و درنهایت، چهکارهایی میتوانید برای محافظت در برابر آن انجام دهید، بخوانید.
باجافزار، نوعی بدافزار است که کاربران را از دسترسی به سیستم یا فایلهای شخصی خود بازمیدارد و برای دسترسی مجدد درخواست باج میکند. درحالیکه برخی از مردم ممکن است فکر کنند “ویروس کامپیوتر من را قفل کرده است”، باجافزار معمولاً بهعنوان یک بدافزار متفاوت از ویروس طبقهبندی میشود. اولین گونههای باجافزار در اواخر دهه ۱۹۸۰ توسعه یافتند. امروزه، درخواست پول از طریق ارز دیجیتال توسط مهاجمان به افراد، مشاغل و سازمانهای مختلف را هدف قرار میدهند صورت میگیرد. برخی از نویسندگان باجافزار این سرویس را به مجرمان سایبری دیگر میفروشند که با نام Ransomware-as-a-Service یا RaaS شناخته میشود.
بهبیاندیگر باجافزار بدافزاری است که برای ممانعت از دسترسی کاربر یا سازمان به فایلهای رایانهشان طراحیشده است. این بدافزارها با رمزگذاری این فایلها و درخواست پرداخت باج برای دریافت کلید رمزگشایی، سازمانها را در موقعیتی قرار میدهند که پرداخت باج سادهترین و ارزانترین راه برای دسترسی مجدد به فایلهایشان است. برخی از انواع باج افزارها، قابلیتهای اضافی مانند سرقت دادهها را اضافه کردهاند تا برای قربانیان باجافزار انگیزه بیشتری برای پرداخت باج فراهم کنند.
حملات باج افزاری از چه طریقی صورت میگیرند
هرزنامه یا spam mail یکی از روشهای مرسوم حملات باج افزارها است. برخی از عوامل تهدید از هرزنامه استفاده میکنند، جایی که ایمیلی را با یک پیوست مخرب برای عده زیادی از افراد ارسال میکنند و میبینند چه کسی پیوست را باز میکند و بهاصطلاح «طعمه را میگیرد». هرزنامه مخرب یا malspam ایمیل ناخواستهای است که برای ارسال بدافزار استفاده میشود. این ایمیل ممکن است شامل پیوست های معمولی مانند فایلهای PDF یا Word باشد. همچنین ممکن است حاوی پیوندهایی به وبسایتهای مخرب باشد.
یکی دیگر از روشهای رایج انتشار، تبلیغات آلوده است. تبلیغات آلوده به بدافزار است، استفاده از تبلیغات آنلاین برای توزیع بدافزار بدون نیاز به تعامل کاربر نیز امکانپذیر است. در حین جستجو در صفحات وب، حتی سایتهای قانونی، ممکن است کاربران حتی بدون کلیک بر روی آگهی به سرورهای مجرم هدایت شوند. این سرورها جزئیات مربوط به رایانههای قربانی و مکان آنها را فهرست بندی میکنند و سپس بدافزار مناسب برای حمله را انتخاب میکنند.
بدافزارها معمولاً از یک نمایه Iframe آلوده یا یک عنصر مخفی وب برای اهداف خود استفاده میکنند. نمایه آلوده قربانی را به یک صفحه فرود جدید هدایت کرده و با استفاده از exploit kit کدهای مخرب را به قربانی منتقل میکند. این اتفاق معمولاً بدون اینکه قربانی از حمله مطلع شده باشد در پی یک واکنش مانند فشردن دگمه دانلود اتفاق میافتد.
یک وسیله هدفمندتر برای حمله باجافزار از طریق نیزه رمزگیری Spear phishing است. نمونهای از رمزگیری میتواند ارسال ایمیل به کارمندان یک شرکت خاص باشد، با این ادعا که مدیرعامل از شما میخواهد در نظرسنجی مهم کارمندان شرکت کنید، یا بخش منابع انسانی از شما میخواهد که یک خطمشی جدید را دانلود و بخوانید. اصطلاح “صید نهنگ” برای توصیف چنین روشهایی استفاده میشود که هدف آن تصمیمگیرندگان سطح بالا در یک سازمان، مانند مدیرعامل یا سایر مدیران اجرایی است.
تفاوت این روش با هرزنامهها در این است که در هرزنامه حملات بهصورت انبوه و غیر هدفمند صورت میگیرد ولی درروش رمزگیری مخاطبان حمله دستچین شده و منحصر به یک گروه یا سازمان خاص هستند.
مهاجمین ممکن است از مهندسی اجتماعی برای فریب دادن افراد برای باز کردن پیوستها یا کلیک کردن بر روی پیوندها با نشان دادن مشروعیت خودشان استفاده کنند. ممکن است خود را بهجای یک موسسه قابلاعتماد یا یک دوست جا بزنند. مجرمان سایبری از مهندسی اجتماعی در انواع دیگر حملات باجافزار استفاده میکنند، مثلاً انتشار نسخه رایگان یک کتاب موردنیاز گروهی از دانشجویان یک رشته خاص.
مثال دیگری از مهندسی اجتماعی این است که یک عامل تهدید اطلاعاتی را از پروفایلهای عمومی رسانههای اجتماعی شما در مورد علایق شما، مکانهایی که اغلب بازدید میکنید، شغلتان و غیره جمعآوری کند و از برخی از این اطلاعات برای ارسال پیامی که برای شما آشنا به نظر میرسد استفاده کند.
روش مهندسی اجتماعی باعث ایجاد اعتماد لحظهای و به تبعان غفلت قربانی و ورود به صفحه یا دانلود فایل آلوده میشود.
برای موفقیت، باجافزار باید به یک سیستم هدف دسترسی پیدا کند، فایلها را در آنجا رمزگذاری کند و از قربانی باج بگیرد.
درحالیکه جزئیات پیادهسازی از یک نوع باجافزار به باجافزار دیگر متفاوت است، همه سه مرحله بنیادین یکسانی دارند.
باجافزار، مانند هر بدافزار، میتواند به روشهای مختلف به دستگاههای سازمان دسترسی پیدا کند. بااینحال، اپراتورهای باجافزار تمایل دارند چند روش خاص را ترجیح دهند.
یکی دیگر از روشهای آلود سازی محبوب توسط باجافزار مورداستفاده توسط مهاجمین زمانی است که قربانی از خدماتی مانند پروتکل دسکتاپ از راه دور Remote Desktop Protocol (RDP) بهره میبرد. با RDP، مهاجمی که اطلاعات ورود یک کارمند را به سرقت برده یا حدس زده است، میتواند از آنها برای احراز هویت و دسترسی از راه دور به یک رایانه در شبکه سازمانی استفاده کند. با این دسترسی، مهاجم میتواند مستقیماً بدافزار را وارد کرده و آن را بر روی دستگاه تحت کنترل خود اجرا کند.
پسازاینکه باجافزار به یک سیستم دسترسی پیدا کرد، میتواند رمزگذاری فایلهای خود را آغاز کند. ازآنجاییکه قابلیت رمزگذاری در یک سیستمعامل تعبیهشده است، مهاجم بهسادگی میتواند به فایلها دسترسی پیداکرده و آنها را با کلیدی که تنها در اختیار خود اوست رمزگذاری نموده و با فایلهای اصلی جایگزین نماید. برخی از باج افزارها فایلهای پشتیان موجود را نیز از سیستم بهطور دائم حذف میکنند.
هنگامیکه رمزگذاری فایل کامل شد، باجافزار برای درخواست باج آماده میشود. انواع مختلف باجافزار این کار را به روشهای متعددی اجرا میکنند، معمولاً تغییر پسزمینه نمایش به یادداشت باج یا درج فایلهای متنی در هر فهرست رمزگذاریشده حاوی یادداشت باج، متداول است.
بهطورمعمول، این یادداشتها درازای دسترسی به فایلهای قربانی، مقدار مشخصی ارز دیجیتال را طلب میکنند. اگر باج پرداخت شود، اپراتور باجافزار یا یک کپی از کلید خصوصی مورداستفاده برای محافظت از کلید رمزگذاری متقارن یا یک کپی از خود کلید رمزگذاری متقارن ارائه میدهد. این اطلاعات را میتوان در یک برنامه رمزگشا (که توسط مجرم سایبری نیز ارائه میشود) وارد کرد که میتواند از آن برای معکوس کردن رمزگذاری و بازگرداندن دسترسی به فایلهای کاربر استفاده کند.
درحالیکه این سه مرحله اصلی در همه انواع باجافزار وجود دارد، باجافزارهای مختلف میتوانند شامل پیادهسازیهای متفاوت یا مراحل اضافی باشند. برای مثال، انواع باجافزار مانند Maze، اسکن فایلها، اطلاعات رجیستری و سرقت دادهها را قبل از رمزگذاری دادهها انجام میدهند، و باجافزار WannaCry سایر دستگاههای آسیبپذیر را برای آلوده کردن و رمزگذاری اسکن میکند.
