مقدمه

باج افزار نوعی از بدافزارها است که به مجرمان امکان می دهد با در دست گرفتن کنترل کامپیوتر قربانی از راه دو آن را قفل کنند و یا داده های ذخیره شده قربانی روی کامپیوتر و یا نسخه های پشتیبان آن را  رمزگذاری نمایند به شکلی که کاربر نتواند از سیستم خود استفاده کند. سپس یک پنجره پاپ آپ روی کامپیوتر شخص نمایان می کنند  و به او می گویند این قفل تا زمانی که هزینه ای برای باز کردن آن نپردازید باز نخواهد شد.

باج افزارها از راه های مختلف مانند کرمها منتشر میشوند و پس از نصب و اجرا روی کامپیوتر قربانی شروع به اجرای اعمالی مانند رمزگذاری هارددیسک میکنند باج افزارهای پیشرفته تر با استفاده از کلید عمومی فایلها را رمزگذاری میکنند و طراح باج افزار کلید خصوصی لازم برای بیرون آوردن فایلها از حالت رمز شده را در اختیار خود نگه می دارد و درنتیجه قربانی برای به دست آوردن این کلید خصوصی و رمزگشایی فایل های حیاتی خود ناچار به پرداخت وجه به طراح باج افزار می شود که معمولا هم باج گیر ها مبلغ مورد نظر خود را از طریق دریافت بیت کوین طلب می کنند. برخی دیگر از باج افزارها رمزگذاری انجام نمیدهند، بلکه از روشهای دیگری مانند در اختیار گرفتن پوسته سیستم عامل یا تغییر رکوردهای مربوط به بوت سیستم، استفاده از کامپوتر را مختل میکنند. بیشترین آمار نفوذ باج افزارها از طریق ایمیل های مشکوکی گزارش شده اند که دارای ضمیمه های آلوده بوده اند؛

وقتی به یک باج افزار آلوده می شوید بسته به نوع باج افزار و فناوری هایی که استفاده می کند شانس برگشت اطلاعات شما کم یا زیاد خواهد بود، لذا پیشنهاد می شود با شناخت بهتر رفتار و انواع باج افزارها اقدامات مناسب جهت جلوگیری از آلوده شدن به آنها را بگیرید. باج افزارها از نظر عملکرد و رفتار محدود به چند دسته اصلی هستند و باج افزارهای جدید معمولا نسخه های تغییر یافته باج افزارهای اصلی هستند، در این مقاله سعی می کنیم معروف ترین باج افزارهایی که بیشترین صدمه را به امنیت فضای سایبری زده اند بررسی کرده و راه های جلوگیری از دچار شدن به آنها را نیز با شما در میان بگذاریم.

برخی از انواع باج افزار :

SAMSAM

باج افزار SamSam  حملات خود را علیه سازمان‌های مختلف ازجمله سازمان‌های دولتی، بهداشتی و بخش‌های کنترل صنعتی ادامه می‌دهد. برخلاف روش‌ مرسوم مورداستفاده در سایر باج‌افزارها که از انتشار اسپم استفاده می‌کنند، SamSam  از آسیب‌پذیری‌های بحرانی موجود در شبکه سازمان هدف بهره‌برداری می‌کند.

پژوهشگران در سیمانتک متوجه شده‌اند که مهاجمان باج‌افزار SamSam تعداد ۶۷ سازمان مختلف را در سال ۲۰۱۸ مورد هدف قرار داده‌اند. در این میان بخش‌های بهداشتی و درمانی بیشترین آسیب را از این باج‌افزار دیده‌اند.

در سال ۲۰۱۸، در میان ۶۷ سازمان آلوده ۵۶ سازمان در ایالات‌متحده قرار دارند و ۱۱ مورد دیگر سازمان‌هایی در پرتغال، فرانسه، استرالیا، ایرلند و اسرائیل را شامل می‌شوند. مهاجمان SamSam زمان زیادی را صرف اسکن کردن شبکه شرکت‌ها می‌کنند تا بستر شبکه سازمان را مورد هدف قرار می‌دهند.

گروه SamSam از تکنیک‌های ساده مانند استفاده از ویژگی‌های سیستم‌عامل یا ابزارهای قانونی مدیریت شبکه برای به خطر انداختن شبکه‌های قربانیان استفاده می‌کند. مهاجمان از تکنیک‌های مبهم‌سازی و ضد تجزیه‌وتحلیل برای شناسایی نشدن استفاده می‌کنند.

برای جلوگیری از آسیب‌پذیری در مقابل باج‌افزارها توجه به موارد زیر ضروری است:

  • گرفتن نسخه پشتیبان به‌صورت منظم بهترین روش برای دفاع در مقابل باج افزار است
  • همچنینپیمایش ایمیل‌ها برای لینک‌ها، محتوا و پیوست‌های مخرب می‌تواند خطر آلوده شدن را کاهش دهد.
  • بروز نگه داشتن سیستم عامل و نرم افزار های کاربردی
Mongo Lock

حمله‌ای به نام Mongo Lock، با هدف پایگاه‌های داده‌ای محافظت نشده و قابل دسترسی از راه دور انجام می‌شود که پایگاه‌های داده‌ای را پاک می‌کند و در ازای بازگرداندن محتویات آنها درخواست باج می‌کند. این نوع حملات Mongo Lock، حملات جدیدی نیستند و مدت زمانی طولانی است که پایگاه‌های داده‌ای MongoDB مورد حمله مهاجمان قرار می‌گیرند. مهاجمان این هایجک‌ها را از طریق جستجو در اینترنت و یا با استفاده از سرویسهایی مانند Shodan.io برای جستجوی سرورهای محافظت نشده MongoDB انجام می‌دهند. پس از اتصال به این سرورها، مهاجمان می‌توانند پایگاه‌های داده‌ای را استخراج کنند و بعد آنها را پاک کنند و سپس یک یادداشت باج‌خواهی برای توضیح نحوه برگرداندن پایگاه‌های داده‌ای و دریافت پول باج ایجاد کنند.

اگرچه که در یادداشت باج‌خواهی ادعا می‌شود که مهاجمان قبل از حذف پایگاه داده‌ای اطلاعات آن را استخراج کرده‌اند، اما هیچ تضمینی وجود ندارد که آنها اطلاعات را استخراج کرده‌ باشند و به قربانی برگردانند. برای اینکه فرایند دسترسی به پایگاه داده MongoDB، خودکار و اتوماتیک شود، مهاجمان از یک اسکریپت استفاده می‌کنند تا فرایند استخراج‌ کردن و حذف کردن و سپس ایجاد یادداشت باج‌خواهی اتوماتیک انجام شود. این اسکریپت‌ها گاهی با نقص مواجه می‌شوند و داده‌ها هنوز هم برای قربانیان در دسترس هستند، حتی اگر یادداشت باج‌خواهی هم برای کاربران ایجاد شود. این حملات Mongo Lock بیشتر به دلیل دسترسی از راه دور پایگاه داده MongoDB و عدم امن‌سازی آن رخ می‌دهد و این حملات به‌راحتی با پیروی از مراحل نسبتا ساده در تأمین امنیت پایگاه‌های داده‌ای خنثی می‌شود. MongoDB دارای یک مقاله خوب در مورد چگونگی امن‌سازی پایگاه داده‌ای است و حتی یک چک لیست امنیتی را برای مدیران برای دنبال‌کردن فراهم کرده ‌است. دو قدم خیلی مهم که از این نوع حملات جلوگیری می‌کند، احراز هویت و همچنین غیرفعال کردن دسترسی به پایگاه داده‌ای از راه دور است.

Dharama

یک نوع از باج‌افزار Dharma منتشر شد که افزونه .brrr را به فایل‌های رمزگذاری شده اضافه می‌کند. این نوع جدید اولین بار توسط Jakub Kroustek کشف شد که نمونه آن را در اختیار VirusTotal قرار داد. در زیر مشخص شده که چگونه این باج‌افزار کامپیوتر را آلوده می‌کند و زمانی که اطلاعات شما رمزگذاری می‌شوند چگونه می‌توانید از اطلاعاتتان محافظت کنید، درحالیکه متاسفانه هیچ راهی برای رمزگشایی فایل‌های آلوده شده با باج‌افزار Dharma Brrr وجود ندارد.

خانواده باج‌افزار Dharma  از جمله نوع brrr آن، توسط مهاجمان به صورت دستی روی رایانه‌ها از طریق پروتکل‌های سرویس از راه دور یا RDP نصب می‌شود. مهاجمان فضای اینترنت را برای رایانه‌هایی که پروتکل RDP را اجرا می‌کنند و معمولا بر روی پورت ۳۳۸۹ TCP هستند، جستجو می‌کنند، و تلاش می‌کنند تا رمز عبور آن‌ها را بشکنند و واردشان شوند. همچنین سایت‌هایی زیرزمینی هستند که اطلاعات مربوط به رایانه‌های قابل دسترس از طریق پروتکل‌های سرویس از راه دور را می‌فروشند و مهاجمان می‌توانند این اطلاعات را خریداری کنند. هنگامی که مهاجمان به کامپیوتر هدف دسترسی پیدا می‌کنند، باج‌افزار را نصب کرده و کامپیوتر را رمزگذاری می‌کنند. اگر مهاجمان قادر به رمزگذاری رایانه‌های دیگر در شبکه باشند، تلاش خواهند کرد که این کار را نیز انجام دهند.

راه حل برای مقابله با این نوع حمله؛ استفاده از فایروال سیستم عامل و محدود سازی افرادی که میتوانند به این سیستم متصل شوند. استفاده از رمز های عبور مستحکم و همچنین بروز نگه داشتن سیستم عامل

WannaCry

باج‌افزار: WannaCry که یک حمله سایبری جهانی بود به نام‌های  WannaCrypt  یا WanaCrypt0r 2.0 نیز شناخته می‌شود، ابزاری برای اجرای حملات باج‌افزاری است. در ماه می سال ۲۰۱۷ میلادی، حمله سایبری عظیمی با استفاده از این باج‌افزار آغاز شد که بیش از ۲۳۰ هزار رایانه را در ١۵٠ کشور جهان را آلوده ساخت و به ۲۸ زبان از قربانیان باج طلب می‌کند. حمله مذکور آن گونه که یوروپول توصیف کرده‌است، بی‌سابقه بوده‌است.

در تاریخ ۱۲ می ۲۰۱۷، باج‌افزار WannaCry آلوده‌سازی رایانه‌های سراسر جهان را آغاز کرد. این باج‌افزار پس از دستیابی به رایانه‌ها، درایو دیسک سخت این رایانه‌ها را رمزگذاری می‌کند و سپس برای سوء استفاده از آسیب‌پذیری SMB برای انتشار به صورت تصادفی در رایانه‌های متصل به اینترنت و  همچنین بین رایانه‌های روی شبکه محلی تلاش می‌کند.

پیشگیری

  • ساده‌ترین راه جهت پیشگیری از آلوده شدن رایانه، نصب وصله امنیتیMS17-010 برای همه نسخه‌های ویندوز است.
  • سیستم‌عامل وضدویروس و رایانه خود را به‌روز نگه دارید.
  • درصورت امکان از ویندوزهای ایکس‌پی، سرور ۲۰۰۰ و سرور ۳۰۰۰ استفاده نکنید.
  • پورت‌های ۴۴۵/۱۳۹ و ۳۳۸۹ را روی دیوار آتش مسدود کنید.
  • به‌طور منظم از فایل‌های خود، نسخه پشتیبان تهیه کنید.

پس از آلودگی

  • به محض آلوده شدن، کامپیوتر خود را از شبکه خارج کنید تا از تکثیر این کِرم جلوگیری شود.
  • هرگز پول باج‌خواهی شده را پرداخت نکنید زیرا احتمال بازگشت اطلاعات قفل شده حتی پس از طریق پرداخت باج تقریباً غیرممکن است.
  • با توجه به شدت آلودگی، احتمالاً بهترین روش پاکسازی، نصب دوباره ویندوز است.
  • تاکنون راه قطعی برای بازیافت اطلاعات رمزگذاری شده توسط باج‌افزار پیدا نشده‌است. اما چون احتمال کد آزادسازی پرونده‌های قفل شده در آینده وجود دارد، پیش از شروع عملیات پاکسازی، از اطلاعات خود نسخه پشتیبان تهیه کنید.

نتیجه نهایی:

با توجه به نوع حملات و فنونی که بد افزار ها برای نفوذ یا انتقال خود به سیستم های قربانی دارند میتوان از دستورالعمل زیر برای جلوگیری از این نوع حملات استفاده کرد:

  • کنترل دسترسی های در لایه شبکه و لایه سرویس ها ؛ کنترل دسترسی در لایه شبکه با فایروال ها قابل مدیریت میباشد و میتوان در فایروال ها تعریف کنید از چه IP و پورتی به چه IP و پورتی ارتباط ایجاد گردد و نیز با ایجاد شبکه های محلی مجازی نیز دسترسی ها در لایه ها پایین تر را نیز میتوان کنترل کرد. کنترل دسترسی در لایه سرویس ها با فایروال های در لایه سرویس و نیز UTM ها قابل مدیریت میباشد.
  • مدیریت آسیب پذیری ها و مدیریت وصله؛ با ابزار های مدیریت آسیب پذیری ها میتوان از آخرین آسیب پذیری های موجود در سیستم عامل ها و نرم افزار های کاربردی آگاه شد و با ابزار های مدیریت وصله ، آسیب پذیری های موجود در شبکه را میتوان وصله کرد.
  • استفاده از راه حل های مدیریت Account ها؛ این راه حل میتواند Account های موجود را مدیریت کند و در بازه های زمانی خاص کاربر را مجبور به تغییر پسورد با پیچیدگی و طول کارکتر مناسب کند.
  • استفاده از راه حل های برای چک کردن بد افزار های در ایمیل کاربران ؛ این راه حل به ما این قابلیت را میدهد که قبل از مشاهده فایل های پیوست در ایمیل ها آنها را از نظر بد افزار بودن چک میشوند و در صورت مشاهده هر گونه مورد مشکوک دسترسی کاربر را از آن قطع میکند.
  • استفاده از راه حل های BackUp : این راه حل میتواند ریسک موجود در برابر اینگونه حملات را کاهش دهد و در صورت گرفتار شدن به اینگونه حملات و کد شدن اطلاعات؛ این راه حل میتواند کلیه اطلاعات از Backup قبل را بدون مشکل و هزینه برگرداند.
  • مهمترین و اصلی ترین مورد برای جلوگیری این نوع حملات آموزش میباشد؛ آموزش اصول امنیت برای کاربران سازمان به صورت پیوسته و در بازه های مختلف تا با اصول امنیت آشنا شوند و این باعث خواهد شد که کارمندان با شیوه های آلوده شدن سیستم هایشان به بد افزار آشنا شوند واصول امنیتی را رعایت کنند تا به این مشکلات دچار نشوند.