SamSam باج افزاری است که مرکز ماهر به تازگی در مورد آن هشدار داده است. این باج افزار سرور اصلی سازمانهای خاص مانند بیمارستانها، مراکز بهداشتی و مدارس را مورد هدف قرار میدهد اما آنچه که SamSam از قربانیان میخواهد شیوه جدیدی از باج خواهیست که هیچ ردی از مهاجمان باقی نمیگذارد. این باج افزار از قربانیان بیت کوین درخواست میکند.
باج افزار (Ransomware) نوعی از بدافزارهای خطرناک هستند که به سیستمهای افراد، شرکتهای شخصی و دولتی نفوذ کرده و دسترسی به سامانه یا فایلهایی مانند اطلاعات مالی را محدود میکنند. روش محدود کردن دسترسی به سامانه یا اطلاعات توسط باجافزار، معمولاً از طریق رمزگذاری یا قفلگذاری روی فایلها و دادهها صورت میگیرد. باج افزارها برای اولین بار در روسیه گزارش شدند، اما در حال حاضر شاهد آن هستیم که حملات هکرها در کشورهای زیادی رخ داده است و محدود به منطقه جغرافیایی خاصی نیست.
عملکرد اغلب باج افزارها شبیه به هم است و تفاوت چندانی با یکدیگر ندارند. باج افزار میتواند از طریق لینکهای فریبنده و جذاب مانند ایمیل، پیامک، وب سایت و غیره به سیستم نفوذ کند. در اغلب موارد افراد به دلیل عدم آگاهی کافی روی لینکهای آلوده کلیک میکنند و راه را برای نفوذ هکر فراهم میکنند.
بعد از آنکه سیستم به باج افزار آلوده شد، مهاجم فایلها و اطلاعات موجود در سیستم را رمزگذاری میکند و در ازای ارسال کلید رمزگشایی برای کاربر، از او درخواست باج میکند. روشهای رمزگذاری در طول زمان بسیار پیشرفت کرده است و در برخی موارد حتی قابل رمزگشایی نیست. کاربر زمانی که سیستم خود را روشن میکند، ممکن است با یک صفحه سیاه یا قرمز رنگ همراه با پیغام اخطار مواجه شود که حتی با راهاندازی مجدد سیستم از بین نمیرود. در اغلب موارد هکرها یک مهلت زمانی مشخص برای پرداخت وجه مورد نظر خود به قربانی میدهند. در صورتی که در آن زمان وجه واریز نشود یا مبلغ را دو برابر میکنند یا اطلاعات روی سیستم را پاک میکنند.
لیست باج افزارهایی که جهت انجام اقدامات خرابکارانه معرفی شدهاند بسیار زیاد است؛ در ادامه به چند نمونه از مهمترین موارد مخرب اشاره میکنیم.
wastedlocker توسط یک گروه از مجرمان سایبری بسیار ماهر با نام evil corp ایجاد شد. هدف این Ransomware، آلوده کردن سیستم قربانیان و گرفتن باج بود. از سال 2007 تا به امروز به عنوان یکی از مخربترین باج افزارها شناخته میشود که سر و صدای بسیاری هم در رسانهها به پا کرد. این بدافزار مشخصاً برای حمله به شرکتی خاص طراحی میشود. در پیامهای wastedlocker، قربانی به اسم خطاب میشود و تمامی فایلهای رمزگذاری شده افزونهی garminwasted. دارند.
یکی از قربانیان برجسته این باجگیری تا به امروز شرکت گارمین (Garmin) است. گارمین یک شرکت فناوری آمریکایی است که در سال 1989 فعالیت خود را در زمینهی دستگاههای جی پی اس آغاز کرده است. این شرکت در 23 جولای 2020 به وسیله بدافزار WastedLocker مورد حمله قرار گرفت و در نتیجه بسیاری از خدمات آن در سراسر جهان مختل شد. به طوری که کاربران خلبان هم قادر به دانلود نقشههای گارمین روی دستگاههای خود نبودند. طبق گزارشات، باج 10 میلیون دلاری درخواست شده بود.
DoppelPaymer بدافزاری از نوع باجافزار است که برای جلوگیری از دسترسی قربانیان به پروندههای آنها از طریق رمزگذاری طراحی شده است. تحقیقات نشان میدهد که مجرمان از DoppelPaymer در حملات هدفمند استفاده میکنند. یعنی آنها شرکتها یا صنایع خاصی را مورد هدف قرار میدهند و معمولاً به دنبال نفوذ در کل شبکه هستند (به عنوان مثال، تمام رایانههای مورد استفاده در یک شرکت خاص). این Ransomware پسوند “.locked” را به نام هر فایل رمزگذاری شده اضافه میکند. به عنوان مثال، “1.jpg” به “1.jpg.locked” تبدیل میشود. تمام پیامهای باج، حاوی متن یکسانی است که بیان میکند قربانیان نباید:
رایانههای خود را خاموش یا راهاندازی مجدد کنند.
پروندههای رمزگذاری شده یا پیامهای باج را تغییر نام دهند یا حذف کنند.
با استفاده از نرمافزارهای دیگر سعی کنند پروندهها را بازیابی کنند.
زیرا انجام این اقدامات ممکن است منجر به از دست دادن دائمی اطلاعات شود.
پونی فینال (Pony Final)
در تاریخ 27 می سال 2020، تیم امنیتی مایکروسافت در یک رشته توییت به سازمانهای سراسر جهان هشدار داد که در برابر نوع جدیدی از باجافزار، تدابیر امنیتی اتخاذ کنند. این باجافزار که PonyFinal نام داشت، مبتنی بر جاوا بود. هدف Pony Final بیشتر بیمارستانها و موسسات خدمات بهداشتی و سلامت است.
این بدافزار از نوع باج افزارهای مبتنی بر انسان (Human-operated) است. یعنی مهاجمین از آسیبپذیری امنیت اطلاعات سیستمهای موردنظر سوءاستفاده میکنند. نقطهی نفوذ معمولاً یک حساب کاربری در سرور مدیریت سیستم است که باند PonyFinal با استفاده از حملات brute-force که رمزعبورهای ضعیف را حدس میزند، از آن عبور میکند.
برای اولین بار در آوریل 2019 باجافزار REvil کشف شد. مهاجمان از روشهای مختلفی برای آلوده کردن سیستم قربانیان خود استفاده میکنند. آنها میتوانند با شناسایی نقاط آسیبپذیر رایانه اقدام به کاشت Ransomware کنند یا از روشهای دیگری مانند فیشینگ کمک بگیرند.
مهاجمین از این Ransomware برای رمزگذاری سیستمهای تجاری بسیار مهم استفاده میکنند و مبلغ هنگفتی را بهعنوان باج برای رمزگشایی درخواست میکنند. مهاجمین در صورت برآورده نشدن مطالبات، تهدید میکنند که دادههای سرقتی قربانیان خود را در وب سایت Happy Blog به حراج خواهند گذاشت. این سیستم از یک تایمر شمارش معکوس استفاده میکند که نشان میدهد چه زمانی افشای دادهها صورت خواهد گرفت تا قربانیان خود را بیشتر تحت فشار قرار دهند. نمونهای از پیامی که از سمت باند REvil به قربانیان ارسال میشود، در ادامه آورده شده است:
سلام – برخی از پروندههای شما حاوی اطلاعات محرمانه، بارگیری شده است و در سرورهای ما میزبانی میشوند. اگر از مذاکره با ما خودداری کنید، کلیه اسناد در وبلاگ و رسانهها منتشر میشود. در صورت توافق، دادهها برای همیشه حذف میشوند. ما شما را تشویق میکنیم که از طریق چت پشتیبانی سریع با ما تماس بگیرید.
نتایج گزارشات نشان میدهد که دلیل موفقیت باج افزارها این است که اغلب سیستمها در برابر حملات مخرب هیچگونه محافظتی ندارند. علت این بیتوجهی آن است که اغلب قربانیان هرگز تصور نمیکردند که قربانی باجافزارها شوند. سازمانهای امنیتی مدام با انتشار بیانههای مرتبط با باج افزارها، هشدار میدهند. به همین دلیل است که سازمانها باید برای جلوگیری از رمزگذاری شدن فایلها توسط Ransomware، وقت و هزینه لازم را صرف کنند. در غیر این صورت، مجبور به پرداخت مبلغی چند برابر به باندهای مهاجم خواهند شد تا اطلاعات خود را بازیابی کنند.
با توجه به این که در باج افزارها از الگوریتمهای بسیار قوی برای آلوده کردن سیستم کاربر استفاده میشود، بازیابی سیستم آلوده، مشکلات و هزینه فراوانی را با خود به همراه خواهد داشت. به همین دلیل پیشگیری از آلوده شدن به باج افزارها، بهترین راه مقابله است. برخی از مهمترین راهکارهای حفاظت از سیستم در مقابل Ransomware عبارتند از:
اجتناب از باز کردن ایمیلهای اسپم یا لینکهای درون آنها
کلیک نکردن روی لینکهای مخرب
عدم دانلود فایل از سایتهای نامعتبر و باز کردن آن
پاسخ ندادن به ایمیلهایی که حاوی درخواست برای ارسال اطلاعات شخصی مانند نام کاربری، پسورد یا جزئیات حساب بانکی است.
باز نکردن پیوست ایمیلهای مشکوک
عدم دریافت فایل از منابع نامعتبر
پشتیبانگیری منظم
نصب و به روز کردن ضدویروسها
غیرفعال کردن و محدود کردن اجرای اسکریپتهای غیرضروری
استفاده از آپدیتهای آنلاین برای سرورهای ویندوزی و کلاینتهای کامپیوتری
غیرفعال کردن ریموت دسکتاپ در زمانهایی که نیازی به آن نیست.
خودداری از کلیک روی تبلیغات و وبسایتهایی با منبع ناشناس
حملات Ransomware با هدف سرقت ارزهای دیجیتال به این صورت است که رمز کامپیوتر یا کیف پول ارز دیجیتال کاربر توسط مهاجمین از سیستم برداشته میشود. پس از آنکه رمزها توسط مهاجمین تغییر پیدا کرد، کاربر توسط مهاجمین مجبور به پرداخت باج میشود.
اگر در حوزه ارزهای دیجیتال فعال هستید، اولین چیزی که باید رعایت کنید این است که امنیت سایبری خود را بازبینی کنید. تنها در این صورت است که میتوانید در مقابل حملات باج افزارها ایمن بمانید. شما برای حفظ سرمایه خود باید از کلید خصوصی و کلمات بازیابی خود به خوبی محافظت کنید. اگر بتوانید این کار را به درستی انجام دهید، احتمال قربانی شدن شما توسط باج افزارها به میزان قابل توجهی کاهش پیدا میکند.
بنابراین اگر در حوزه ارزهای دیجیتال فعال هستید و سرمایه خود را وارد این بازار کردهاید، باید از اطلاعات خود به دقت محافظت کنید. در یک سال اخیر سرعت حملات باج افزارها در حوزه ارزهای دیجیتال بسیار افزایش پیدا کرده است. یکی از راههایی که به شما کمک میکند، رصد مداوم اخبار امنیتی است که توسط سازمانهای مربوطه در ارتباط با باج افزارها منتشر میشود. همچنین نسبت به انجام اقدامات پیشگیرانه نباید بیتوجه باشید و از باز کردن ایمیلها و پیامهای ناشناس به شدت اجتناب کنید. همچنین میتوانید برای مشاهده ی مطالب مرتبط دیگر به بخش آموزش عمومی ساعدنیوز مراجعه نمایید.
