مخرب‌ترین باج‌افزارهایی که درخواست رمزارز می‌کنند

مخرب‌ترین باج‌افزارهایی که درخواست رمزارز می‌کنند

با پیشرفت‌های فناوری، حملات بدافزارها نیز پیشرفت شگرفی داشته‌اند. نویسندگان این بدافزارها، در میان همه‌گیری باج‌افزارها، برای فرار از شناسایی شدن، به پرداخت باج از طریق رمز ارزها روی آوردند. درحالیکه اینترنت دنیا را به یک دهکده‌ی جهانی تبدیل کرده ‌است، حملات سایبری به‌طور قابل انتظاری در حال افزایش هستند. بر اساس گزارش‌ها، در اواخر سال گذشته، با توجه به این‌که چندین سازمان مهم برای پس گرفتن فایل‌های خود در حملات باج‌افزاری، مجبور به پرداخت میلیون‌ها دلار باج شدند، میانگین مقدار پرداخت‌ها به باج‌افزارها افزایش داشته ‌است. جدای از این حقیقت که همه‌گیری فعلی، موجب آسیب‌پذیری بسیاری از کاربران و شرکت‌ها در برابر حملات شده‌است، این تصور که رمزارزها روشی ناشناس و غیرقابل ردیابی برای پرداخت هستند، باعث شده‌است که بسیاری از مهاجمان باج‌افزار، برای پرداخت، خواستار بیت‌کوین (BTC) و سایر جایگزین‌های آن باشند. به تازگی، گزارشی در 23 ژوئن 2020 توسط شرکت امنیت سایبری Fox-IT منتشر شد که از گروهی از بدافزارها به نام Evil Corp خبر داد، که حملات خود را با باج‌افزارهای جدیدی که از قربانیان خود درخواست می‌کنند یک میلیون دلار به بیت‌کوین بپردازند، انجام می‌دهند. این گزارش همچنین نشان می‌دهد که گروه‌هایی مانند Evil Corp باج‌افزارهایی با قصد غیرفعال کردن یا مختل کردن برنامه‌های پشتیبان زیرساخت یک شرکت، با هدف قراردادن سرویس‌های بانک اطلاعاتی، محیط‌های ابری و سرورهای فایل، به‌وجود می‌آورند. در 28 ژوئن، شرکت امنیت سایبری Symantec، از مسدود کردن یک حمله‌ی باج‌افزار از طرف Evil Corp، که 30 شرکت ایالات متحده را هدف قرار داده‌بودند و درخواست پرداخت به بیت‌کوین را داشتند، خبر داد. این تلاش ها برای حمله، از تازه‌ترین نمونه‌ها برای افزایش تهدید حملات باج‌افزار هستند. در ادامه، برخی از مخرب‌ترین باج‌افزارهایی که درخواست پرداخت رمزارز می‌کنند، بررسی شده‌اند. WastedLocker WastedLocker جدیدترین باج‌افزاری است که توسط Evil Corp، گروهی که از سال 2007 فعال بوده‌است و به عنوان یکی از خطرناک‌ترین گروه‌های جرایم سایبری شناخته می‌شود، ایجاد شده‌است. بنا بر ادعاهایی، پس از کیفرخواست دو عضو این گروه، Igor Turashev و Maksim Yakubets، در ارتباط با تروجان‌های بانکی Bugat/Dridex و Zeus، فعالیت Evil Corp کاهش یافت. با این حال، محققان اکنون باور دارند که این گروه، با بدافزار WasteLocker به عنوان جدیدترین تولیدش، حملات خود را از ماه می 2020 از سر گرفته‌است. دلیل نام‌گذاری بدافزار به عنوان "WasteLocker"، فایلی است که توسط بدافزار ایجاد می‌شود، که مخفف نام قربانی را به کلمه‌ی "wasted" اضافه می‌کند. با غیرفعال کردن و مختل کردن برنامه‌های پشتیبان، سرویس‌های بانک اطلاعاتی و محیط‌های ابری، WastedLocker از توانایی قربانیان خود برای بازیابی فایل‌های خود برای مدت زمان طولانی‌تر، حتی در صورت وجود یک نسخه پشتیبان آفلاین، جلوگیری می‌کند. در مواردی که یک شرکت فاقد سیستم پشتیبان‌گیری آفلاین باشد، برای مدتی نامحدود از بازیابی اطلاعات جلوگیری می‌شود. گرچه محققان خاطرنشان کردند که برخلاف سایر اپراتورهای باج‌افزار که اطلاعات قربانیان خود را منتشر می‌کنند، Evil Corp، برای جلوگیری از جلب توجه عمومی، قربانیانش را به انتشار اطلاعاتشان تهدید نکرده‌است. DoppelPaymer DoppelPaymer باج‌افزاری است که برای رمزگذاری فایل‌های هدف خود، جلوگیری از دسترسی هدف به فایل‌ها و متعاقبا ترغیب قربانی به پرداخت باج برای رمزگشایی فایل‌ها، طراحی شده‌است. این باج‌افزار توسط یک گروه جرایم سایبری به نام INDRIK SPIDER مورد استفاده قرار‌گرفت. بدافزار DoppelPaymer، نوعی باج‌افزار BitPaymer است و برای اولین بار توسط شرکت امنیتی و نرم‌افزاری CrowdStrike، در سال 2019، کشف شد. اخیرا این باج‌افزار در حمله‌ای به شهر Torrance در کالیفرنیا مورد استفاده قرار‌گرفت که بیش از 200 گیگابایت داده به سرقت رفت و مهاجمان درخواست 100 بیت‌کوین به عنوان باج کردند. گزارش‌های دیگر نشان می‌دهند که از همین بدافزار برای حمله به سیستم فناوری اطلاعات ایالت آلاباما استفاده شده‌است. مهاجمان، شهروندان را به منتشر‌شدن داده‌های شخصیشان تهدید کردند مگر اینکه شهروندان مبلغ 300000 دلار را به بیت‌کوین، به آن‌ها بپردازند. این حمله پس از هشدارهای یک شرکت امنیت سایبری مستقر در ویسکانسین اتفاق افتاد. یک متخصص امنیت سایبری که این پرونده را تحلیل کرده‌بود، ذکر کرد که حمله‌ای که در سیستم ایمیل شهر اختلال ایجاد کرده‌است، از طریق نام‌کاربری رایانه‌ای که متعلق به مدیر سیستم‌های اطلاعاتی شهر، امکان‌پذیر شده‌است. داده‌های Chainalysis نشان می‌دهد که بدافزار DoppelPaymer مسئول یکی از بزرگترین پرداخت‌ها است، یکی از دو پرداختی که به مبلغ 100000 دلار رسیده‌اند. Dridex براساس گزارش سرویس ارائه‌دهنده‌ی امنیت سایبری Check Point، بدافزار Dridex پس از ظهور در سال 2011، برای اولین بار، در ماه مارچ 2020 وارد لیست 10 بد‌افزار برتر مخرب شد. این بدافزار که با نام‌های Bugat و Cridex نیز شناخته می‌شود، مختص سرقت اعتبارات بانکی با استفاده از ماکروها در نرم‌افزار Microsoft Word است. گرچه انواع جدید این بدافزار فراتر از Microsoft Word رفته‌اند و اکنون کل پلتفرم ویندوز را هدف قرارداده‌اند. محققان خاطرنشان کردند که این بدافزار به لطف مهارتی که دارد، می‌تواند برای مجرمان سودآور باشد و اکنون به عنوان بارکننده بدافزار استفاده می‌شود. اگرچه سال گذشته یک بات‌نت متصل به Dridex از کار افتاد، اما متخصصان معتقدند چنین موفقیت‌هایی اغلب کوتاه‌مدت هستند، زیرا سایر گروه‌های جرایم سایبری می‌توانند از این بدافزار در حملات خود استفاده‌کنند. هرچند، همه‌گیری حال‌ حاضر، استفاده از بدافزارهایی مانند Dridex را افزایش داده‌است که به راحتی توسط حمله‌های فیشینگ ایمیل قابل اجرا هستند. به خصوص در این زمان که افراد بیشتری مجبور به ماندن و کارکردن در خانه هستند‌. Ryuk یکی‌دیگر از بدافزارهایی که در نتیجه‌ی همه‌گیری ویروس کرونا دوباره ظاهر شده‌است، باج‌افزار Ryuk است که به هدف قرار‌دادن بیمارستان‌ها معروف است. در 27 مارس، سخنگوی یک شرکت امنیتی فناوری اطلاعات مستقر در انگلیس، تأیید کرد که با وجود همه‌گیری جهانی، باج‌افزار Ryuk هنوز هم برای هدف قراردادن بیمارستان‌ها مورد استفاده قرار می‌گیرد. مانند بیشتر حملات سایبری، بدافزار Ryuk از طریق ایمیل‌های اسپم یا توابع بارگیری مبتنی بر جغرافیا، توزیع می‌شود. بدافزار Ryuk نوعی Hermes است، که با حمله‌ی SWIFT که در اکتبر 2017 اتفاق افتاد، مرتبط است. اعتقاد بر این است که مهاجمانی که از ماه آگوست از Ruyk استفاده می‌کنند، بیش از 700 بیت‌کوین را در 52 معامله بدست آورده‌اند. Revil همچنان که باج‌افزار‌هایی با شیوه‌های مخرب جدید در حال به وجود آمدن هستند،‌ گروه‌های مجرم سایبری مانند باند باج‌افزار REvil در طی زمان در حال تکامل هستند و عملیات‌ آن‌ها در حال پیچیده‌تر شدن است. باند REvil به عنوان یک RaaS (Ransomware-as-a-service) عمل می‌کند و بدافزارهایی می‌سازد که به گروه‌های مجرم دیگر می‌فروشد. گزارشی که توسط تیم امنیتی KPN منتشر شده نشان می‌دهد که بدافزار REvil بیش از ۱۵۰،۰۰۰ سیستم منحصر به فرد را در سرتاسر جهان آلوده کرده است. با این حال، این آلودگی‌ها تنها توسط ۱۴۸ نمونه اولیه باج‌افزار REvil به وجود آمده‌اند. هر نمونه از باج‌افزار REvil طبق زیرساخت شبکه شرکت موردنظر مستقر می‌شود تا شانس آلوده کردن سیستم‌ها را بالا ببرد. اخیرا، باند باج‌افزار بدنام REvil حراجی به منظور فروش داده‌های سرقت شده از شرکت‌هایی که قادر به پرداخت مبلغ باج (که از ۵۰،۰۰۰ دلار شروع می‌شود و باید به صورت رمز‌ارز Monero پرداخت شود) نبودند راه‌اندازی کرد. با توجه به نگرانی‌هایی در مورد حریم شخصی، باند REvil روش پرداخت خود را از بیت‌کوین به Monero که یک رمزارز با محوریت حریم شخصی است تغییر دادند. به عنوان یکی از فعال‌ترین و تهاجمی‌ترین اپراتورهای باج‌افزار، باند REvil به طور عمده شرکت‌ها را هدف قرار می‌دهد و پس از رمزنگاری کردن فایل‌های آنان، ارقام نجومی (به طور میانگین ۲۶۰،۰۰۰ دلار) درخواست می‌کند. PoneyFinal در 27ام ماه می، تیم امنیتی مایکروسافت، در یک سری از توییت‌ها، اطلاعات مربوط به باج‌افزار جدیدی به نام Poney Final را فاش کرد که از حمله‌ی بروت فورس برای دستیابی به زیرساخت‌های شبکه‌ی هدف خود، برای استقرار باج‌افزار، استفاده می‌کند. برخلاف بسیاری از بدافزارهایی که از لینک‌ها و ایمیل‌های فیشینگ برای فریب‌دادن کاربران برای اجرای فایل حاوی بدافزار استفاده می‌کنند، PonyFinal با استفاده از ترکیبی از Java Runtime Environment و فایل‌های MSI، بدافزار را با یک حامل فایل حاوی بدافزار، که توسط مهاجم به‌طور دستی فعال می‌شود، در سیستم هدف قرار می‌دهد. مانند Ryuk، PonyFinal نیز عمدتا برای حمله به مؤسسات بهداشتی در بحران کرونا استفاده می‌شود. کاهش‌یافتن پرداخت‌ها علیرغم افزایش تعداد حملات سایبری، متخصصان بر این باورند که تعداد حملات موفقیت‌آمیز کاهش یافته‌است، زیرا برای اکثر شرکت‌ها، حملات باج‌افزار در میان یک بیماری همه‌گیر جهانی، مانند ضربه‌ی آخر است و باعث می‌شود آن‌ها نتوانند باج را پرداخت کنند. این مسئله در گزارشی که توسط آزمایشگاه بدافزار Emsisoft در 21 آوریل منتشر شد، روشن شده‌است. این گزارش نشان می‌دهد افت قابل توجهی در تعداد حملات موفقیت‌آمیز باج‌افزار در ایالات متحده اتفاق افتاده‌است. همچنین گزارشی که در ماه آوریل توسط Chainalysis منتشر شد، کاهش قابل توجهی در پرداخت باج از زمان شدت‌گرفتن همه‌گیری ویروس کرونا در ایالات متحده و اروپا را نشان می‌دهد. بنابراین به نظر می‌رسد که با وجود افزایش تعداد حملات، قربانیان باج را پرداخت نمی‌کنند و این باعث می‌شود گروه‌های جراءم سایبری مانند REvil راهی جز به حراج گذاشتن داده‌های به سرقت رفته نداشته باشند. همچنین محتمل است که کار کردن کارمندان از خانه، به طور متناقض، چالش جدیدی برای هکرها ایجاد کرده باشد. برت کالو، تحلیل‌گر تهدید شرکت Emsisoft در مصاحبه با Cointelegraph می‌گوید: "برای مهاجمان باج‌افزار بسیار روشن است که وقتی به شبکه و یا سیستم‌های یک شرکت حمله می‌کنند، به یک هدف با ارزش بالا برخورد کرده‌اند. با این وجود، ممکن است ارزش این هدف هنگام حمله به سیستم شخصی یک کارمند که از راه دور در خانه کار می‌کند و فقط به صورت متناوب به منابع شرکت دسترسی دارد، کمتر دارای اهمیت باشد." تهیه و تدوین: پرند صلواتی