باج افزار یا Ransomware نوعی نرم‌افزار مخرب است که به اطلاعات و فایل‌های سیستم قربانی نفوذ کرده و این اطلاعات را با روش‌های مختلف رمزگذاری می‌کند. پس از رمزگذاری فایل‌ها و اطلاعات سیستم قربانی، هکرها اقدام به درخواست برای باج می‌کنند و در مقابل دریافت مبلغی اجازه دسترسی به اطلاعات را به فرد قربانی می‌دهند.

حمله باج افزار چگونه کار می‌کند؟

عملکرد اغلب باج افزارها شبیه به هم است و تفاوت چندانی با یکدیگر ندارند. باج افزار می‌تواند از طریق لینک‌های فریبنده و جذاب مانند ایمیل، پیامک، وب سایت و غیره به سیستم نفوذ کند. در اغلب موارد افراد به دلیل عدم آگاهی کافی روی لینک‌های آلوده کلیک می‌کنند و راه را برای نفوذ هکر فراهم می‌کنند.

بعد از آنکه سیستم به باج افزار آلوده شد، مهاجم فایل‌ها و اطلاعات موجود در سیستم را رمزگذاری می‌کند و در ازای ارسال کلید رمزگشایی برای کاربر، از او درخواست باج می‌کند. روش‌های رمزگذاری در طول زمان بسیار پیشرفت کرده است و در برخی موارد حتی قابل رمزگشایی نیست.

کاربر زمانی که سیستم خود را روشن می‌کند، ممکن است با یک صفحه سیاه یا قرمز رنگ همراه با پیغام اخطار مواجه شود که حتی با راه‌اندازی مجدد سیستم از بین نمی‌رود. در اغلب موارد هکرها یک مهلت زمانی مشخص برای پرداخت وجه مورد نظر خود به قربانی می‌دهند. در صورتی که در آن زمان وجه واریز نشود یا مبلغ را دو برابر می‌کنند یا اطلاعات روی سیستم را پاک می‌کنند.

باج‌افزارها انواع مختلفی دارند که با توجه به ترتیب شدت و میزان تخریب، به سه دسته زیر تقسیم می‌شوند:

Scareware یا ترس‌افزار

ترس‌افزار برنامه‌ی کامپیوتری است که با هدف آسیب زدن یا مختل کردن یک سیستم کامپیوتری طراحی می‌شود. این نوع باج افزار با ایجاد ترس در کاربر، او را به انجام کاری مجبور می‌کند که در نظر دارد. مهاجم عموماً از یک تبلیغ پاپ آپ شروع می‌کند و در آن سعی دارد با استفاده از تکنیک‌های مهندسی اجتماعی کاربر را بترساند.

Screen lockers یا قفل‌کننده صفحه نمایش

در این نوع از حمله، مهاجم صفحه نمایش کاربر را قفل می‌کند و یک صفحه اخطار روی صفحه نمایش نشان داده می‌شود. محتوای این پیام در اغلب موارد در بردارنده‌ی این مضمون است که به دلیل در اختیار داشتن محتوای مجرمانه، دسترسی کاربر به سیستم قطع شده است. کاربر برای به دست آوردن دسترسی مجدد به سیستم باید جریمه پرداخت کند.

Encryption ransomware یا رمز‌گذار

باج افزارهای رمزگذار به سادگی و با استفاده از روش‌های جدید، فایل‌های قربانی را رمزگذاری می‌کنند. مهاجمین در ازای ارسال کلید رمزگشایی، از کاربر درخواست باج می‌کنند. از آنجایی که در اغلب موارد هدف باج‌افزارهای رمزگذار سازمان‌های بزرگ است، مبلغ باج بسیار هنگفت است. علاوه بر این، حتی پس از پرداخت باج، هیچ تضمینی برای ارسال کلید رمزگشایی فایل وجود ندارد.

هکر باج افزار

هکرها باهوش هستند و ترفندهای مختلفی دارند که می توانند علیه شما استفاده کنند. حملات باج افزار ناشی از فعالیت های معمولی و روزمره ای است که ممکن است هرگز به آنها مشکوک نباشید یا در مورد آنها دوباره فکر نکنید.

باج افزارها معمولاً از طریق یکی از دو روش زیر (یا هردو) راه اندازی می شوند:

  • استقرار دستی. در اینجا ، یک هکر دسترسی اداری به یک سیستم پیدا می کند و باج افزار را در سیستم های هدف قرار می دهد.
  • استقرار خودکار. یک سیستم به خطر می افتد و باج افزار از طریق سیستم نصب می شود.

سرورهای شما ممکن است از طریق موارد زیر آلوده شوند:

پاپ آپ ها

در حال بازدید از یک وب سایت هستید و صفحه ای را مشاهده می کنید که به شما اطلاع می دهد به ویروس آلوده شده اید. پیام میگوید روی یک دکمه کلیک کنید تا تهدید را از بین ببرید.

پیام های ایمیل

یک یادداشت برای شما از طریق ایمیل ارسال می شود که می گوید پولی برنده شده اید یا باید دریافت یک محصول را تایید کنید. دکمه ای برای کلیک به شما نشان داده می شود.

فیشینگ (تقلب)

وب سایتی که اغلب از آن دیدن می کنید هک می شود. در حالی که شرایط بسیار شبیه به بازدیدهای قبلی شما است ضربه زدن روی دکمه ها منجر به رفتارهای غیر منتظره می شود.

هنگامی که با وسوسه های تعیین شده توسط هکر درگیر می شوید، کلیک کردن شما منجر به نصب بدافزار می شود. ممکن است متوجه نشوید که این اتفاق می افتد، اما رایانه شما دوست جدیدی پیدا می کند که به سرعت همه پرونده های شما را رمزگذاری کرده و در نتیجه شما نمی توانید به آنها دسترسی پیدا کنید.

وقتی برنامه کامل شد، پیام تقاضای پول به شما نشان داده می شود. مبالغ باج متفاوت است اما اکثر هکرها از افراد مقدار کمی درخواست می کنند. ممکن است از شما ۴۰۰ دلار بخواهند تا پرونده های خود را پس بگیرید.

شرکت های بزرگ با پرونده های فراوان تقاضای پولی بسیار بیشتری را مشاهده می کنند. مواجه شدن با درخواست های هزاران دلاری غیر معمول نیست و ممکن است هکر از شما بخواهد با بیت کوین هزینه را پرداخت کنید.

ransomware

معرفی مهم‌ترین باج افزارهای مخرب:

لیست باج افزارهایی که جهت انجام اقدامات خرابکارانه معرفی شده‌اند بسیار زیاد است؛ در ادامه به چند نمونه از مهم‌ترین موارد مخرب اشاره می‌کنیم.

وستد لاکر (WastedLocker)

wastedlocker توسط یک گروه از مجرمان سایبری بسیار ماهر با نام evil corp ایجاد شد. هدف این Ransomware، آلوده کردن سیستم قربانیان و گرفتن باج بود. از سال ۲۰۰۷ تا به امروز به عنوان یکی از مخرب‌ترین باج افزارها شناخته می‌شود که سر و صدای بسیاری هم در رسانه‌ها به پا کرد. این بدافزار مشخصاً برای حمله به شرکتی خاص طراحی می‌شود. در پیام‌های wastedlocker، قربانی به اسم خطاب می‌شود و تمامی فایل‌های رمزگذاری ‌شده افزونه‌ی garminwasted. دارند.

یکی از قربانیان برجسته این باج‌گیری تا به امروز شرکت گارمین (Garmin) است. گارمین یک شرکت فناوری آمریکایی است که در سال ۱۹۸۹ فعالیت خود را در زمینه‌ی دستگاه‌های جی پی اس آغاز کرده است. این شرکت در ۲۳ جولای ۲۰۲۰ به وسیله بدافزار WastedLocker مورد حمله قرار گرفت و در نتیجه بسیاری از خدمات آن در سراسر جهان مختل شد. به طوری که کاربران خلبان هم قادر به دانلود نقشه‌های گارمین روی دستگاه‌های خود نبودند. طبق گزارشات، باج ۱۰ میلیون دلاری درخواست شده بود.

دوپل پیمر (DoppelPaymer)

DoppelPaymer بدافزاری از نوع باج‌افزار است که برای جلوگیری از دسترسی قربانیان به پرونده‌های آن‌ها از طریق رمزگذاری طراحی شده است. تحقیقات نشان می‌دهد که مجرمان از  DoppelPaymer در حملات هدفمند استفاده می‌کنند. یعنی آن‌ها شرکت‌ها یا صنایع خاصی را مورد هدف قرار می‌دهند و معمولاً به دنبال نفوذ در کل شبکه هستند (به عنوان مثال، تمام رایانه‌های مورد استفاده در یک شرکت خاص).

این Ransomware پسوند “.locked” را به نام هر فایل رمزگذاری شده اضافه می‌کند. به عنوان مثال، “۱.jpg” به “۱.jpg.locked” تبدیل می‌شود. تمام پیام‌های باج، حاوی متن یکسانی است که بیان می‌کند قربانیان نباید:

  • رایانه‌های خود را خاموش یا راه‌اندازی مجدد کنند.
  • پرونده‌های رمزگذاری شده یا پیام‌های باج را تغییر نام دهند یا حذف کنند.
  • با استفاده از نرم‌افزارهای دیگر سعی کنند پرونده‌ها را بازیابی کنند.

زیرا انجام این اقدامات ممکن است منجر به از دست دادن دائمی اطلاعات شود.

پونی فینال (Pony Final)

در تاریخ ۲۷ می سال ۲۰۲۰، تیم امنیتی مایکروسافت در یک رشته توییت به سازمان‌های سراسر جهان هشدار داد که در برابر نوع جدیدی از باج‌افزار، تدابیر امنیتی اتخاذ کنند. این باج‌افزار که PonyFinal نام داشت، مبتنی بر جاوا بود. هدف Pony Final بیشتر بیمارستان‌ها و موسسات خدمات بهداشتی و سلامت است.

این بدافزار از نوع باج افزارهای مبتنی بر انسان (Human-operated) است. یعنی مهاجمین از آسیب‌پذیری‌ امنیت اطلاعات سیستم‌های موردنظر سوءاستفاده می‌کنند. نقطه‌ی نفوذ معمولاً یک حساب کاربری در سرور مدیریت سیستم است که باند PonyFinal با استفاده از حملات brute-force که رمزعبورهای ضعیف را حدس می‌زند، از آن عبور می‌کند.

رویل (REvil)

برای اولین بار در آوریل ۲۰۱۹ باج‌افزار REvil کشف شد. مهاجمان از روش‌های مختلفی برای آلوده کردن سیستم‌ قربانیان خود استفاده می‌کنند. آن‌ها می‌توانند با شناسایی نقاط آسیب‌پذیر رایانه اقدام به کاشت Ransomware کنند یا از روش‌های دیگری مانند فیشینگ کمک بگیرند.

مهاجمین از این Ransomware برای رمزگذاری سیستم‌های تجاری بسیار مهم استفاده می‌کنند و مبلغ هنگفتی را به‌عنوان باج برای رمزگشایی درخواست می‌کنند. مهاجمین در صورت برآورده نشدن مطالبات، تهدید می‌کنند که داده‌های سرقتی قربانیان خود را در وب سایت Happy Blog به حراج خواهند گذاشت. این سیستم از یک تایمر شمارش معکوس استفاده می‌کند که نشان می‌دهد چه زمانی افشای داده‌ها صورت خواهد گرفت تا قربانیان خود را بیشتر تحت فشار قرار دهند

تا این بخش با سه باج افزار معروف آشنا شدیم؛ اما اگر بخواهیم چند باج افزار معروف که بیشترین حملات انجام شده را داشتند بررسی کنیم می‌توان به موارد زیر اشاره کرد.

  • باج افزار LOCKBIT: یک باج افزار معروف است که در سال ۲۰۲۰ شناسایی شد و از آن زمان به‌عنوان یکی از قدرتمند‌ترین بدافزارها یا باج افزارها شناخته می‌شود. این برنامه توانایی رمزگذاری فایل‌ها با الگوریتم AES-256 را دارد. باج افزار LOCKBIT در سال ۲۰۲۲ و ۲۰۲۳ بیشترین گزارش حمله را داشته است.
  • باج افزار ALPHV یا BlackCat: این باج افزار که با زبان برنامه‌نویسی Rust نوشته شده است در سال ۲۰۲۱ شناسایی شد. بلک کت در سال‌های ۲۰۲۲ و ۲۰۲۳ یکی از ۵ باج افزار معروف در حملات باج افزارها محسوب می‌شود. از این باج افزار می‌توان برای سیستم عامل‌های ویندوز، لینوکس و مک‌ استفاده کرد. باج افزار بلک کت فرد قربانی را تهدید می‌کند که در صورت پرداخت‌نکردن مبلغ درخواستی یک حمله DDoS نیز بر روی دیگر سیستم‌های شرکت راه‌اندازی خواهد کرد.
  • باج افزار HIVE: بدافزار HIVE یکی از معروف‌ترین باج افزارها در سال‌های اخیر محسوب می‌شود. این باج افزار بیشتر سیستم‌های لینوکس را مورد هدف قرار می‌دهد. در سال ۲۰۲۳ سازمان FBI اعلام کرد که با هک سرورهای HIVE بسیار از کلیدهای رمزگشایی این باج افزار را به دست آورده و در اختیار قربانیان قرار داده است.
  • باج افزار CryptoWall: این باج افزار در سال‌های ۲۰۱۵ و ۲۰۱۴ بسیار فعال بود به‌طوری که بر اساس گزارش Kaspersky Labs ۵۸ درصد حملات باج افزارها در سال ۲۰۱۵ و ۲۰۱۴توسط  باج افزار CryptoWall انجام شده است.
  • باج افزار Cryakl: این باج افزار نیر مانند CryptoWall در سال ۲۰۱۵ و ۲۰۱۴ بسیار معروف بود و ۵ درصد از تمام حملات باج افزارها در این دو سال توسط این باج افزار انجام شده است.
  • باج افزار Vice Society: این باج افزار در سال ۲۰۲۳ بسیار معروف شده است به‌طوری که در چهار ماهه نخست سال ۲۰۲۳ حدودا ۱۹ درصد از حملات باج افزارها با این باج افزار انجام شده است.
  • باج افزار Muuq: بد افزار Muuq یک ویروس کامپیوتری است که در سیستم قربانی نصب شده و با استفاده از الگوریتم  RSA Salsa20 تمامی فایل‌های فرد را قفل می‌کند.

روش‌های پیشگیری از ورود باج افزارها به سیستم

با توجه به این که در باج‌ افزارها از الگوریتم‌های بسیار قوی برای آلوده کردن سیستم کاربر استفاده می‌شود، بازیابی سیستم آلوده، مشکلات و هزینه فراوانی را با خود به همراه خواهد داشت. به همین دلیل پیشگیری از آلوده شدن به باج افزارها، بهترین راه مقابله است. برخی از مهم‌ترین راهکارهای حفاظت از سیستم‌ در مقابل Ransomware عبارتند از:

  • اجتناب از باز کردن ایمیل‌های اسپم یا لینک‌های درون آن‌ها
  • کلیک نکردن روی لینک‌های مخرب
  • عدم دانلود فایل از سایت‌های نامعتبر و باز کردن آن
  • پاسخ ندادن به ایمیل‌هایی که حاوی درخواست برای ارسال اطلاعات شخصی مانند نام کاربری، پسورد یا جزئیات حساب بانکی است.
  • باز نکردن پیوست‌ ایمیل‌های مشکوک
  • عدم دریافت فایل از منابع نامعتبر
  • پشتیبان‌گیری منظم
  • نصب و به روز کردن ضدویروس‌ها
  • غیرفعال کردن و محدود کردن اجرای اسکریپت‌های غیرضروری
  • استفاده از آپدیت‌های آنلاین برای سرورهای ویندوزی و کلاینت‌های کامپیوتری
  • غیرفعال کردن ریموت دسکتاپ در زمان‌هایی که نیازی به آن نیست.
  • خودداری از کلیک روی تبلیغات و وب‌سایت‌هایی با منبع ناشناس

بزرگ‌ترین حملات باج افزاری در طول تاریخ

نمی‌توان به طور صددرصد بزرگ‌ترین و بیشتر درآمد کسب شده و هزینه‌های ایجاد شده از باج افزارها را به دست آورد به همین دلیل ممکن است که اطلاعاتی که در ادامه با هم بررسی می‌کنیم، کمی خطا داشته باشد. حال که در مورد این موضوع تذکر دادیم بهتر است به سراغ بزرگ‌ترین حملات باج‌افزاری در طول تاریخ برویم.

  • باج افزار WannaCry

این باج افزار در سال ۲۰۱۷ توسط تیم هکری Shadow Brokers ایجاد شد. WannaCry در می ۲۰۱۷ مانند یک ویروس در فضای دیجیتال گسترش یافت. این باج افزار توانست به ۲۵۰ هزار سیستم در ۱۵۰ کشور نفوذ کند و از افراد درخواست مبلغی بیت کوین کند. مبلغ خسارت ایجاد شده توسط این باج افزار حدودا ۴ میلیارد دلار تخمین زده شده است.

  • باج افزار NotPetya

این باج افزار از نوع Locker است که در سال ۲۰۱۷ توسط افراد به نام Sandworm ایجاد شد. هدف این بدافزار مشاغل و دفاتر عمومی در اوکراین، آلمان و فرانسه بود. بسیاری معتقدند که پشت این باج افزار دولت روسیه قرار داشته است. در حال حاضر رمزگشایی این باج افزار موجود است؛ اما اثرات مخربی که در سال ۲۰۱۷ بر روی شرکت‌ها ایجاد کرد باعث زیان ۱۰ میلیارد دلاری شد.

  • باج افزار Sodinokibi

این باج افزار از نوع Crypto ransomware بود که توسط افرادی با نام REvil در سال ۲۰۱۹ ایجاد شد. هدف اصلی این باج افزار سازمان‌های JBS و Kaseya بودند. از نکات جالب این باج افزار وجود یک لیست سفید بود که کشورهایی را که رابطه تنگاتنگی با روسیه داشتند را معاف می‌کرد. با توجه به این موضوع بیشتر حملات این باج افزار به شرکت‌های آمریکایی بود. خسارت تقریبی از این باج افزار ۲۰۰ میلیون دلار تخمین زده شده است.

  • باج افزار SamSam

باج افزار سام‌سام از نوع Locker است که توسط تیمی به همین نام در سال ۲۰۱۸ ایجاد شد. هدف اصلی این باج افزار صنایع ایالات متحده که از ویندوز استفاده می‌کنند، است. این باج افزار در حال حاضر فعال است و خسارت ایجاد شده توسط این باج‌افزار ۶ میلیون دلار تخمین زده شده است.

  • باج افزار Colonial Pipeline Attack

این باج افزار از نوع Locker است که توسط تیم DarkSide در سال ۲۰۲۱ ایجاد شده است. این باج افزار در یک حمله به Colonial Pipeline Company توانست مبلغ ۷۵ بیت کوین به مبلغ ۴.۴ میلیون دلار باج دریافت کند. پس از مدتی مبلغ ۲.۳ میلیون از این مبلغ توسط وزارت دادگستری آمریکا توقیف شد.

پیش از شروع اجرای باج افزار از آن جلوگیری کنید!

پاکسازی پس از حمله چندان آسان نیست و ممکن است برخی از فایل ها و داده های خود را برای همیشه از دست بدهید. بنابراین پیشگیری، استراتژی بهتری است، زیرا می توانید مهاجمان را قبل از شروع حمله متوقف کنید.

آژانس امنیت سایبری و زیرساخت های امنیتی دارای یک دفترچه راهنمای ۱۶ صفحه ای حاوی دستورالعمل هایی برای شرکت هایی است که میخواهند امنیت سیستم های خود را تقویت کرده و از حمله بعدی جلوگیری کنند. اکثر این نکات مربوط به نرم افزار است.

نرم افزار نباید استاتیک باشد. شرکت ها وصله هایی را برای کاهش آسیب پذیری ها و جلوگیری از تلاش های هک منتشر می کنند، اما اگر آنها را اعمال نکنید، کمکی نمی کنند. اطمینان حاصل کنید که همیشه در حال بررسی همه دارایی های سازمان خود هستید و قوانین به روز رسانی را اعمال می کنید.

کار شما فنی است، اما مسدود کردن حمله همچنین می تواند شامل اقدامات عاقلانه ای باشد که همه اعضای سازمان شما باید انجام دهند. با کارکنان خود جلسات آموزشی برگزار کنید و در مورد موارد زیر صحبت کنید:

  • بهترین محافظت های ایمیل: به تیم خود یادآوری کنید که از کلیک بر روی پیوندهای جاسازی شده در ایمیل خودداری کنند، به ویژه اگر یادداشت ها از شخص دیگری خارج از سازمان آمده باشد.
  • حریم خصوصی: بر اهمیت مخفی نگه داشتن نام کاربری و رمزهای عبور تأکید کنید.
  • نرم افزار: تاکید کنید که اسکنرهای آنتی ویروس کل شرکت را ایمن نگه می دارند و این سیستم ها باید مجاز به انجام کارهای خود باشند.
  • پشتیبان گیری: در صورت هک شدن، بازگشت به نسخه های ذخیره شده ممکن است در وقت و دردسر بیشتر شما صرفه جویی کنند. تیم خود را تشویق کنید تا شیوه های بایگانی را با دقت دنبال کند.

اگر تیم شما تهدیدهایی را که با آنها روبرو می شوید درک کند، ممکن است چشم ها و گوش های بیشتری برای مراقبت از حمله داشته باشید. اگر متوجه مشکلی شدند، می توانید قبل از گسترش آن را متوقف کنید.

با تشکر از زمانی که برای مطالعه این مقاله اختصاص دادید.

نویسنده: مهدیار کمایی