باجافزار
باجافزارها (به انگلیسی: ransomware) گونهای از بدافزارها هستند که دسترسی به سامانه را محدود میکنند[۱] و ایجادکننده آن برای برداشتن محدودیت درخواست باج میکند. برخی از انواع آنها روی فایلهای هارددیسک رمزگذاری انجام میدهند و برخی دیگر ممکن است به سادگی سامانه را قفل کنند و پیامهایی روی نمایشگر نشان دهند که از کاربر میخواهد مبالغی را واریز کنند. باجافزارها ابتدا در روسیه مشاهده شدند اما اخیراً تعداد حملات باجافزارها به کشورهای دیگر از جمله استرالیا، آلمان، ایالات متحده آمریکا و ایران افزایش یافته است.[۲][۳][۴]
نحوه عملکرد
[ویرایش]باج افزارها از طرق مختلف مانند کرمها منتشر میشوند و پس از نصب و اجرا شروع به اعمالی مانند رمزگذاری هارددیسک میکنند. باج افزارهای پیشرفته تر با استفاده از کلید عمومی فایلها را رمز نگاری میکنند و کلید خصوصی لازم برای بیرون آوردن فایلها از حالت رمز شده تنها در دستان طراح باج افزار است. کاربر برای باز کردن فایلهایش مجبور به پرداخت وجه به حساب طراح باج افزار میشود. برخی دیگر از باج افزارها رمزگذاری انجام نمیدهند، بلکه از روشهای دیگری مثل اختصاص پوستهٔ سامانه عامل به خود یا تغییر رکوردهای مربوط به بوت استفاده از سامانه را مختل میکنند.[۵]
باج افزارها برای دریافت پول از کاربر پیامهای مختلفی به او نمایش میدهند. به عنوان مثال پیام فعالسازی سامانه عامل ویندوز را نمایش میدهند که میگوید ویندوز به فعالسازی مجدد نیاز دارد، یا اینکه پیامی مبتنی بر پیدا شدن دادههای غیرقانونی نظیر نرمافزارهای کرک شده یا پورنوگرافی کودکان به کاربر نمایش میدهند و کاربر را از پیگرد قانونی میترسانند.[۶]
کاربر جهت بازیابی فایلها و حذف پیامهای باج افزار میبایست مبلغی را پرداخت کند. این مبلغ اغلب به روشی از کاربر گرفته میشود که قابل باز پسگیری نباشد؛ مثلاً از طریق پیام کوتاه شارژی یا سامانه یوکش. به تازگی استفاده از پول الکترونیکی بیت کوین مرسوم تر شده است.[۷]
با گسترش باجافزارها، روالها و سازوکارهای تهیه نسخه پشتیبان از دادههای حساس بهعنوان یکی از راهکارهای اساسی مقابله با باجافزارها بیش از قبل مورد توجه بسیاری از سازمانها قرار گرفت. در نتیجه آن، علیرغم موفقیت مهاجمان در رخنه به شبکه و توزیع باجافزار بر روی بسیاری از دستگاهها، این سازمانها از پرداخت مبلغ اخاذی شده خودداری میکردند. بدینترتیب مهاجمان نیاز به اهرم فشار دیگری برای وادار ساختن قربانیان به پرداخت باج داشتند. از طرفی افزایش سرعت و پهنای باند اینترنت بسیاری از سازمانها امکان سرقت حجم قابلتوجهی از فایلها را در مدتی کوتاه فراهم میکرد. موضوعی که سبب ظهور واژه جدید در دنیای امنیت سایبری، تحت عنوان «اخاذی دوگانه» شد. طی سالهای اخیر، بسیاری از گردانندگان حرفهای باجافزار در جریان حملات هدفمند خود به شرکتها و سازمانهای بزرگ علاوه بر رمزگذاری فایلها، اقدام به سرقت اطلاعات نیز کردهاند.[۴]
در جریان اجرای باجافزار بر روی دستگاه، فایل معروف به Ransom Note در هر پوشهای که حداقل یکی از فایلهای آن رمز شده است کپی میشود. در فایل مذکور علاوه بر اطلاعرسانی رمز شدن فایلها و روش برقراری ارتباط با مهاجمان، مهلتی نیز برای پرداخت باج تعیین شده است. در جریان حملات اخاذی دوگانه، چنانچه سازمان قربانی، باج را در مهلت تعیین شده پرداخت نکند نام آن بر روی سایت به اصطلاح «نشت دادهها» بهصورت عمومی منتشر میشود تا اطلاع همگان از هک شدن سازمان، مسئولان آن را بیش از پیش برای پرداخت مبلغ اخاذی شده تحت فشار قرار دهد. اگر همچنان سازمان قربانی از باج دادن سر باز بزند، اطلاعات سرقت شده بر روی سایت مذکور منتشر یا به حراج گذاشته میشود تا به قربانیان بعدی نیز این پیام رسانده شود که اگر از درخواست این تبهکاران سرپیچی کنند عاقبتی مشابه در انتظارشان خواهد بود.[۴]
در سال ۱۴۰۰ برخی مهاجمان باجافزاری پا را فراتر گذاشتند؛ آنها نه تنها سازمانی که اطلاعات را از روی دستگاههای آن سرقت کردهاند تهدید به افشای اطلاعات میکنند که افراد یا سازمانهایی که از افشای اطلاعات سرقت شده متضرر میشوند (برای مثال شرکای تجاری یا مشتریان سازمان قربانی) را نیز تهدید و حتی در مواردی مورد اخاذی قرار میدهند. روشی که با عنوان اخاذی «سهگانه» (Triple Extortion) شناخته میشود.[۸]
مثالهای برجسته
[ویرایش]روتون
[ویرایش]در سال ۲۰۱۲ این کرم شروع به پخش شدن کرد و پس از اجرا بر روی سامانه قربانی پیامی به کاربر نشان میداد که از یک منبع قانونی معتبر به نظر میآمد. در این پیام به کاربر گفته میشد که سامانه او برای کارهای غیرقانونی نظیر دریافت پورنوگرافی کودکان و نرمافزارهای کرک شده مورد استفاده قرار گرفته است. برای اینکه حس ردیابی شدن سامانه در کاربر بیشتر شود، آدرس IP کاربر و همچنین در صورت وجود وب کم، تصویرهایی به کاربر نمایش داده میشد. کاربر برای استفادهٔ دوباره از سامانه باید جریمه پرداخت میکرد. این جریمهها از سامانههای انتقال پولی مثل یوکش به طراح روتون منتقل میشد.[۹]
روتون در اوایل سال ۲۰۱۲ در اروپا انتشار پیدا کرد. این باجافزار با توجه به کشور قربانی لوگوی پلیس همان کشور را به کاربر نمایش میداد؛ مثلاً در انگلستان از لوگوی سرویس پلیس شهری آن کشور استفاده میشد.[۱۰] همین مسئله باعث شد تا سرویس پلیس شهری انگلستان به صورت عمومی اعلام کند که برای بررسی کارهای غیرقانونی هیچ وقت سامانه کاربر به این شکل قفل نمیشود.[۱۱] در اوت ۲۰۱۲، روتون در آمریکا انتشار پیدا کرد و درخواست پرداخت ۲۰۰ دلار به FBI را میکرد.[۹]
کریپتو لاکر
[ویرایش]در سپتامبر ۲۰۱۳، کریپتو لاکر با استفاده از کلید عمومی ۲۰۴۸ بیتی شروع به رمزنگاری فایلهای با پسوند خاصی از کاربران آلوده کرد. کریپتو لاگر کاربران را به حذف کلید خصوصی این رمزنگاری در صورت پرداخت نشدن هزینه در عرض سه روز تهدید میکرد. البته امکان به دست آوردن کلید خصوصی بعد از آن نیز با پرداخت هزینهٔ نسبتاً زیاد ۱۰ بیت کوین وجود داشت. با توجه به کلید بسیار طولانی استفاده شده در رمزنگاری عملیات رمز گشایی بسیار طولانی میشد و همین باعث خطرناک بودن کریپتولاکر بود.[۱۲][۱۳]
راههای انتشار باجافزارها
[ویرایش]۱- ایمیل: ارسال فایلهای آلوده به آدرس ایمیل کاربران، یکی از راههای قدیمی انتشار ویروسها و باج افزارهاست. فرستنده ایمیل در متن نوشته شده کاربر را ترغیب میکند تا فایل ضمیمه شده یا لینک دانلود فایل آلوده را باز کند. سپس باج افزار وارد سامانه شده و پروسه رمزنگاری را شروع میکند.
برای جلوگیری از آلوده شدن به بدافزار از طریق ایمیل، کافیست که از بازکردن ایمیلهای مشکوک و غیرمنتظره خودداری کرد. ایمیلهایی که از طرف افراد ناشناس یا خیلی معروف ارسال میشوند، محتوای گنگ یا مبهم دارند و شما را تشویق به باز کردن لینک یا فایل ضمیمه ایمیل میکنند.
۲- شبکههای اجتماعی: با توجه به رشد فزاینده شبکههای عمومی در سالهای اخیر، این گونه مکانها بستر بسیار مناسبی برای انتقال فایلها از جمله انواع بدافزارها به خصوص بدافزارهای موبایلی و باجگیر شدهاند. در گروهها و کانالهای عمومی فایلهایی فرستاده میشود که ادعا میکنند نرمافزارهای کاربردی هستند و سعی در فریب کاربر برای نصب خود دارند. با نصب اینگونه نرمافزارها، یا بدافزار بهطور مستقیم روی دستگاه فعال میشود یا نرمافزار نصب شده با سرور فرماندهی خود ارتباط برقرار کرده و بدافزار را از اینترنت دریافت و پنهانی نصب خواهد کرد.
۳– تبلیغات: در این روش سازندگان باجافزار از سایتها و شبکههای تبلیغاتی برای انتشار باج افزار استفاده میکنند.
۴- اکسپلویتها: اکسپلویتها کدهایی هستند که برای سوء استفاده از حفرههای امنیتی سامانه عاملها و نرمافزارها با هدف استفاده و ایجاد دسترسی غیرمجاز، ایجاد حملات مختلف یا اختلال در سامانههای کامپیوتری نوشته میشوند. اکسپلویتها معمولاً هنگام کشف آسیبپذیریها یا بعد از کشف حفرههای امنیتی نوشته میشوند؛ بنابراین با بروزرسانی مداوم سامانه عامل و نرمافزارهای سامانه تا حد زیادی میتوان جلوی انتقال باجافزار از طریق حفرههای امنیتی سامانه عامل و نرمافزارها را گرفت.
شیوههای جلوگیری از حمله
[ویرایش]مشهور بودن حمله از طریق ایمیل باعث میشود که یکی از اصلیترین راه جلوگیری از آلوده شدن، آموزش به کارکنان سازمانها و شرکتها باشد، به گونه ای که ایمیلهای ناشناس را باز نکنند و به ایمیل جعلی که توسط پشتیبانی شرکتهای معتبر ارسال شدند، اما در آدرس انها حتی کلمهای از آن شرکت نباشد اعتنا نکنند. یکی دیگر از موثرترین راههای جلوگیری از آلوده شدن، اجازه ندهند که کارکنان ماکروها را اجرا کنند، است، ماکروسافت آفیس ۲۰۱۳ و ۲۰۱۶ دارای ویژگی غیرفعال کردن ماکروها هستند. نصب و به روز نگه داشتن آنتیویروسهای معتبر نیز قدم مهمی برای جلوگیری است و مهمتر از همه گرفتن پشتیبانی از فایلهای مهم را نباید فراموش کنند.
رتبه ایران در حملات باجافزاری
[ویرایش]بیت دیفندر در انتهای ماه ژوئیه ۲۰۲۳ جدیدترین گزارش Threat Debrief را در خصوص تهدیدهای سایبری منتشر کرد. این گزارش ضمن بررسی برخی تکنیکهای مورد استفاده مهاجمان سایبری، خلاصهای از آمار بدافزارهایی همچون باجافزارها نیز ارائه داد. بر این اساس در تاریخ ۱ تا ۳۱ مه، همچنان دو باجافزار GandCrab و حمله باجافزار واناکرای به ترتیب با ۱۹ و ۴۶ درصد، بیشترین میزان انتشار را در مقایسه با سایر خانوادههای باجافزارها داشتهاند.[۱۴]
ایران با اختصاص ۷ درصد از حملات باج افزاری به خود جزو ۱۰ کشور برتر در هدفهای حملات باج افزاری بوده است.[۱۵]
جستارهای وابسته
[ویرایش]پانویس
[ویرایش]- ↑ «باج افزار چیست ؟». ضد باج گیر. بایگانیشده از اصلی در ۱۹ سپتامبر ۲۰۲۱. دریافتشده در ۲۰۲۱-۰۹-۱۹.
- ↑ "New Internet scam: Ransomware..." FBI. Aug. 9, 2012.
{{cite web}}
: Check date values in:|date=
(help) - ↑ "Citadel malware continues to deliver Reveton ransomware..." Internet Crime Complaint Center (IC3). Nov. 30, 2012.
{{cite web}}
: Check date values in:|date=
(help) - ↑ ۴٫۰ ۴٫۱ ۴٫۲ «نگاهی به باجافزارها» (PDF). رامونا پردازش نگار. ۲۰۲۲-۰۳-۰۱. دریافتشده در ۲۰۲۲-۰۳-۰۷.
- ↑ «نسخه آرشیو شده». بایگانیشده از اصلی در ۱۴ آوریل ۲۰۱۲. دریافتشده در ۸ اکتبر ۲۰۱۴.
- ↑ «نسخه آرشیو شده». بایگانیشده از اصلی در ۳ ژوئیه ۲۰۱۴. دریافتشده در ۸ اکتبر ۲۰۱۴.
- ↑ [۱]
- ↑ «باجافزارها در سال 1400». رامونا پردازش نگار. ۲۰۲۲-۰۳-۱۵. دریافتشده در ۲۰۲۲-۰۳-۱۵.
- ↑ ۹٫۰ ۹٫۱ Reveton Malware Freezes PCs, Demands Payment بایگانیشده در ۱۴ مه ۲۰۱۳ توسط Wayback Machine,InformationWeek. Retrieved 16 August 2012.
- ↑ Police alert after ransom Trojan locks up 1,100 PCs بایگانیشده در ۲ ژوئیه ۲۰۱۴ توسط Wayback Machine, TechWorld. Retrieved 16 August 2012.
- ↑ Police warn of extortion messages sent in their name, Retrieved 9 March 2012.
- ↑ Disk encrypting Cryptolocker malware demands $300 to decrypt your files بایگانیشده در ۴ نوامبر ۲۰۱۶ توسط Wayback Machine, Geek.com. Retrieved 12 September 2013.
- ↑ CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service بایگانیشده در ۵ نوامبر ۲۰۱۳ توسط Wayback Machine, NetworkWorld. Retrieved 5 November 2013.
- ↑ Victoria S. Lockwood. Tahitian transformation, Lynne Rienner Publishers, 1993, p. 73
- ↑ Victoria S. Lockwood. Tahitian transformation, Lynne Rienner Publishers, 1993, p. 73