همراه با پیشرفت های فناوری، حملات بدافزارها نیز افزایش می یابد. در میان همه گیری، باج افزارها به سمت کوین های با محور حفظ حریم خصوصی روی می آورند. از آنجایی که ارتباط، جهان را به یک دهکده جهانی تبدیل کرده است، انتظار می رود که حملات سایبری رو به افزایش باشد. بر اساس گزارش ها، در پایان سال گذشته شاهد افزایش متوسط پرداختی ارز دیجیتال به مهاجمان باج افزار بودیم، چرا که چندین سازمان مجبور شدند میلیون ها دلار برای بازپس گیری پرونده های خود توسط مهاجمان بدافزار پرداخت کنند.
جدای از این واقعیت که همه گیر فعلی، بسیاری از افراد و شرکت ها را در معرض حملات قرار داده است، این تصور که ارز دیجیتال یک روش پرداخت ناشناس و غیرقابل ردیابی است، باعث شده است که بسیاری از مهاجمان باج افزار خواستار پرداخت باج به صورت بیت کوین (BTC) و سایر آلت کوین ها شوند.
به تازگی، یک گزارش توسط شرکت امنیت سایبری Fox-IT در تاریخ ۲۳ ژوئن منتشر شده، از یک گروه بدافزار به نام Evil Corp اطلاع می دهد که با باج افزار جدیدی روبرو شده است که قربانیان خود را ملزم به پرداخت یک میلیون دلار بیت کوین می کند.
این گزارش همچنین عنوان می کند که گروه هایی مانند Evil Corp باج افزارهایی را ایجاد می کنند که سرویس های پایگاه داده، محیط های ابری و سرورهای فایل را هدف قرار می دهند تا برنامه های پشتیبان زیرساخت های یک شرکت را غیرفعال یا مختل کنند. در تاریخ ۲۸ ژوئن، شرکت امنیت سایبری Symantec از مسدود شدن حمله باج افزار توسط Evil Corp ، خبر داد که حدود ۳۰ شرکت ایالات متحده را هدف قرار داد و خواستار پرداخت باج به صورت بیت کوین از سوی آنها بود.
این حملات، تازه ترین نمونه های تشدید تهدید حملات باج افزار است. در زیر برخی از مخرب ترین باج افزارها که خواستار پرداخت ارز دیجیتال هستند، اشاره می کنیم.
WastedLocker
WastedLocker جدیدترین باج افزاری است که توسط Evil Corp ایجاد شده است، گروهی که از سال ۲۰۰۷ فعال بوده و به عنوان یکی از کشنده ترین تیم های جرایم سایبری شناخته می شود. پس از کیفرخواست دو عضو ادعا شده این گروه یعنی ایگور توراشف (Igor Turashev) و ماکسیم یاکوبوت (Maksim Yakubets)، در ارتباط با تروجان های بانکی Bugat / Dridex و Zeus ، شرکت Evil Corp گزارش داد که فعالیت خود را کاهش داده است.
با این حال، محققان اکنون بر این باورند که از ماه مه ۲۰۲۰، این گروه بار دیگر حملات خود را از سر گرفت و بدافزار WastedLocker آخرین ساخته این گروه است. این بدافزار به این دلیل WastedLocker نامگذاری شده است که مخفف نام قربانی را به کلمه “wasted” اضافه می کند.
با غیرفعال کردن و مختل کردن برنامه های پشتیبان، سرویس های پایگاه داده و محیط های ابری، WastedLocker از توانایی قربانیان خود برای بازیابی پرونده هایشان برای مدت زمان طولانی تر، حتی در صورت وجود نسخه پشتیبان تهیه آفلاین نیز جلوگیری می کند. در مواردی که یک شرکت فاقد سیستم پشتیبان گیری آفلاین باشد، می توان از این امر به صورت نامحدود جلوگیری کرد.
با این حال محققان توجه دارند که برخلاف سایر اپراتورهای باج افزار که اطلاعات قربانی را افشا می کنند، Evil Corp تهدید نمی کند که اطلاعات قربانیان را منتشر می کند تا از این طریق، از جلب توجه عموم مردم به خود جلوگیری کند.
DoppelPaymer
DoppelPaymer باج افزاری است که برای رمزگذاری فایل های هدف خود، جلوگیری از دسترسی آنها به فایل ها و متعاقبا ترغیب قربانی به پرداخت باج برای رمزگشایی پرونده ها طراحی شده است. بدافزار DoppelPaymer که توسط یک گروه eCrime به نام INDRIK SPIDER استفاده می شود، نوعی باج افزار BitPaymer است و برای اولین بار در سال ۲۰۱۹ توسط شرکت CrowdStrike کشف شد.
به تازگی، این باج افزار در حمله به شهر تورانس در کالیفرنیا مورد استفاده قرار گرفت و بیش از ۲۰۰ گیگابایت داده به سرقت رفت که مهاجمان برای پس دادن این اطلاعات ۱۰۰ بیت کوین به عنوان باج درخواست کردند.
گزارش های دیگر نشان می دهد که از همان بدافزار برای حمله به سیستم فناوری اطلاعات ایالت آلاباما استفاده شده است. مهاجمان تهدید کردند که داده های خصوصی شهروندان را بصورت آنلاین منتشر می کنند مگر اینکه مبلغ ۳۰۰۰۰۰ دلار به صورت بیت کوین به آنها پرداخت شود. این حمله پس از هشدارهای یک شرکت امنیت سایبری مستقر در ویسکانسین انجام شد. یک متخصص امنیت سایبری با تجزیه و تحلیل این پرونده عنوان کرد: حمله ای که سیستم پست الکترونیکی شهر را خراب کرده است از طریق نام کاربری رایانه ای متعلق به مدیر سیستم های اطلاعاتی شهر امکان پذیر شده است.
Dridex
براساس گزارشی که توسط ارائه دهنده امنیت سایبری Check Pointارائه شده است ، بدافزار Dridex برای اولین بار در مارس ۲۰۲۰ پس از ظهور اولیه در سال ۲۰۱۱، در لیست ۱۰ بدافزار اصلی قرار گرفت. این بدافزار که با نام Bugat و Cridex نیز شناخته می شود، از طریق استفاده از سیستم ماکروها درMicrosoft Word، متخصص سرقت اعتبارات بانکی است.
با این حال، انواع جدید این بدافزار فراتر از Microsoft Word است و اکنون کل پلتفرم ویندوز را هدف قرار می دهد. محققان خاطرنشان کردند که این بدافزار به لطف پیچیدگی که دارد می تواند برای مجرمان سودآور باشد و اکنون به عنوان بارگیری کننده باج افزار استفاده می شود.
اگرچه سال گذشته شاهد پیاده سازی یک بات نت به Dridex بودیم ، اما کارشناسان معتقدند که چنین موفقیتهایی اغلب کوتاه مدت است، زیرا سایر گروه های جنایی می توانند بدافزار را انتخاب کرده و از آن برای حملات دیگر استفاده کنند. با این حال، همه گیر جهانی شاهد استفاده بیشتر از بدافزارهایی مانند Dridex است که به راحتی از طریق حملات فیشینگ از طریق ایمیل انجام می شود، زیرا افراد باید در خانه بمانند و از خانه کار خود را انجام دهند.
Ryuk
یکی دیگر از بدافزارهایی که در نتیجه بیماری همه گیر ویروس کرونا دوباره آشکار شده است، Ryuk Ransomware است که به هدف قرار دادن بیمارستان ها معروف است. در تاریخ ۲۷ مارس، سخنگوی یک شرکت امنیتی فناوری اطلاعات مستقر در انگلیس تأیید کرد که با وجود همه گیری جهانی، باج افزار Ryuk هنوز هم برای هدف قرار دادن بیمارستان ها مورد استفاده قرار می گیرد. مانند بیشتر حملات سایبری، بدافزار Ryuk از طریق ایمیل های اسپم توزیع می شود.
بدافزار Ryuk نوع متفاوتی از Hermes است که مرتبط به حمله SWIFT در ماه اکتبر سال ۲۰۱۷ می باشد. اعتقاد بر این است که مهاجمینی که از ماه اوت از Ryuk استفاده می کنند، بیش از ۷۰۰ بیت کوین را در ۵۲ معاملات دریافت کرده اند.
Revil
از آنجا که چشم انداز این باج افزار همچنان با راه حل های مخرب جدید روبرو است، به نظر می رسد که عملکرد گروه های جرایم سایبری مانند باند باج افزار REvil (Sodinokibi) تکامل یافته است. باند REvil به عنوان RaaS (Ransomware-as-a-Service) عمل می کند و گونه های بدافزاری را ایجاد می کند که به سایر گروه های جنایتکار می فروشد.
گزارشی توسط تیم امنیتی KPN نشان می دهد که بدافزار REvil بیش از ۱۵۰،۰۰۰ رایانه منحصر به فرد را در سراسر جهان آلوده کرده است. با این حال، این نقص ها فقط از یک نمونه ۱۴۸ گونه ای باج افزار REvil پدید آمده اند. هر گونه از باج افزار REvil با توجه به زیرساخت های شبکه این شرکت متکی است تا احتمال آلودگی و نقص سیستم را افزایش دهد.
اخیراً، باند بدنام باج افزار REvil حراجی را برای فروش داده های سرقت شده از شرکت هایی که قادر به پرداخت باج با قیمت های ۵۰،۰۰۰ دلاری به صورت مونرو (XMR) نیستند، راه اندازی کرده است. باند REvil از رویکر خود را از دریافت بیت کوین به مونرو یک کوین با محوریت حریم خصوصی تغییر داد.
باند REvil به عنوان یکی از فعال ترین و پرخاشگرترین اپراتورهای باج افزار، در درجه اول شرکت ها را هدف قرار می دهد، پرونده های آنها را رمزگذاری می کند و درخواست هزینه های نجومی به طور متوسط در حدود ۲۶۰،۰۰۰ دلار را از آنان دارد
PonyFinal
در تاریخ ۲۷ مه، تیم امنیتی مایکروسافت در یک سری توییت، اطلاعات مربوط به باج افزار جدید به نام “Pony Final” را فاش کرد که به زیرساخت های شبکه هدف خود برای استقرار باج افزار دستیابی پیدا می کند.
برخلاف بسیاری از بدافزارهایی که از لینک ها و ایمیل های فیشینگ برای فریب کاربر در راه اندازی payload استفاده می کنند، PonyFinal با استفاده از ترکیبی از Java Runtime Environment و پرونده های MSI توزیع می شود که بدافزارها را باpayloader ارائه می دهند که بصورت دستی توسط مهاجم فعال می شود. PonyFinal نیز مانند Ryuk عمدتاً در بحران شیوع همه گیری ویروس کووید ۱۹ برای حمله به مؤسسات بهداشتی مورد استفاده قرار می گیرد.
Declining payouts
علیرغم افزایش کلی تعداد حملات سایبری، کارشناسان معتقدند که تعداد حملات موفقیت آمیز کاهش می یابد، زیرا برای اکثر شرکت ها، حملات باج افزار در میان یک بیماری همه گیر جهانی، ثابت شده است و باجی به هکرها پرداخت نمی کنند.
این مسئله در گزارشی که توسط آزمایشگاه بدافزار Emsisoft در ۲۱ آوریل منتشر شد، آشکار شده است و نشان دهنده افت قابل توجه تعداد حملات موفقیت آمیز باج افزار در ایالات متحده است، گزارش چینالیسیس که در ماه آوریل منتشر شد، کاهش قابل توجه در پرداخت باج افزار را از زمان شدت گرفتن همه گیر ویروس کرونا در ایالات متحده و اروپا نشان داد.
بنابراین به نظر می رسد که علیرغم تعداد روز افزون حملات باج افزاری قربانیان، باج درخواست شده توسط هکرها را پرداخت نمی کنند و گروه های جنایتکار مانند REvil نیز داده های به سرقت رفته را حراج می کنند. همچنین این احتمال وجود دارد که حضور کارمندان در خانه و انجام دورکاری چالش جدیدی برای هکرها ایجاد کرده باشد.
