مهمترین راه‌های مقابله با باج افزار

امروزه کمتر سازمان و نهاد سرویس‌رسانی در سرتاسر دنیا وجود دارد که مورد حملات و یا تهدیدات ناشی از حملات سایبری باج‌افزارها، قرار نگرفته باشد. افزایش روبه رشد تولید و ذخیره‌سازی اطلاعات، موجب گسترش استفاده از الگوهای پردازش ابری، کلان داده‌ها و توسعه شبکه‌های اجتماعی شده است. به همین دلیل سازمان‌ها و ارگان‌های بیشتری در معرض حملات سایبری و باج افزارها قرار گرفته‌اند. امروزه حفظ و تامین امنیت اطلاعات ارزشمند به مهم‌ترین چالش سازمان‌ها برای تداوم کسب‌و‌کار و ارائه خدمات تبدیل شده است.

آمارهای منتشر شده در نشریات تخصصی، نشان می‌دهد که حجم آسیب‌پذیری و ریسک بالای از دسترس خارج شدن اطلاعات، براثر نفوذ عوامل بیگانه در درون شبکه‌های اطلاعاتی بسیار بالا است.

بنابراین اقدام برای جلوگیری از ابتلا به این باج‌افزارها و یا رهایی از آنها در دستور کار تمامی کارگروه‌های امنیتی سازمان‌های خدمات‌رسان برخط از جمله تسکا قرار دارد. مهم‌ترین اصل در مبارزه با Ransomwareها آشنایی با ماهیت آنها و نحوه عملکردشان بر روی سیستم‌های قربانی می‌باشد. در ادامه به آشنایی با باج افزارها و راه‌هایی ساده برای جلوگیری از خطرات احتمالی آن‌ها می‌پردازیم.

باج‌افزار چیست و چگونه کار می‌کند؟

باج‌افزارها، ویروس‌ها و یا بد افزارهایی هستند که دسترسی کاربران را به اطلاعات ذخیره شده بر روی سیستم‌ها قطع می‌کنند. اینگونه از بد افزارها به شکلی طراحی شده‌اند که اطلاعات را با کلیدهای مخصوص رمزنگاری می‌کنند و اجازه دسترسی به فایل‌ها و اطلاعات را نمی‌دهند. طبق جدیدترین مطالعات صورت گرفته در حال حاضر باج‌افزارها ملموس‌ترین نوع بدافزارهای رایج و قابل استفاده هستند.

حال سوال اصلی اینجاست: رنسامورها چگونه عمل می‌کنند؟ برای پاسخ به این سوال بهتر است نگاهی به چرخه حیات این بدافزارها بیندازیم:

چرخه حیات باج افزارها شامل مراحل زیر است:

• ایجاد باج‌افزار
• نفوذ به شبکه هدف و گسترش در سطح سیستم‌های قربانی
• شناسایی فایل‌های حاوی اطلاعات ارزشمند
• رمزگذاری اطلاعات با کلیدهای متخاصم
• اعلام و درخواست باج به جهت رمزگشایی اطلاعات از دسترس خارج شده می‌باشد.

در گام نخست این چرخه، معمولا سیستم‌های قربانی از طریق ارسال ایمیل‌های مشکوک حاوی لینک کدهای مخرب مورد حمله قرار می‌گیرند. روش دیگر، نفوذ سرقت اطلاعات دسترسی کاربران (مخصوصا به جهت استفاده از پروتکل‌های RDP) با روش مهندسی اجتماعی است. پس از نفوذ به شبکه هدف، فاز شناسایی و رمزگذاری اطلاعات شروع می‌شود. معمولا باج افزارها برروی سیستم عامل نصب شده و به صورت مخفی شروع به شناسایی فایل‌ها می‌نمایند.

در ادامه اقدام به رمزگذاری اطلاعات با کلید Attacker Controlled می‌نمایند و در آخرین مرحله فایل‌های رمزنگاری شده جایگزین فایل‌های اصلی می‌شوند. تفاوت گونه‌های رنسامورها در این بخش شکل می‌گیرد. گونه‌های پیشرفته‌تر باج افزارها درحین رمز نگاری اطلاعات، نسخه‌های پشتیبان و Shadow Copyهای مربوط به اطلاعات را نیز شناسایی و حذف می‌کنند تا از عدم قابلیت بازگردانی اطلاعات مطمئن شوند. در نهایت پروسه اعلام و درخواست باج برای رمزگشایی اجرا می‌گردد.

همچنین بخوانید: بدافزار چیست و آشنایی کامل با انواع آن و انواع الگوریتم های رمزنگاری

توضیح دقیق نحوه عملکرد باج افزار

مهاجم رنسامور در مرحله نخست قربانیان احتمالی را شناسایی می‌کند. سپس اطلاعات آن‌ها را جمع‌آوری کرده و بعد از تحلیل آسیب‌پذیری‌های امنیتی رایانه و شبکه قربانی، برای اجرای حمله برنامه‌ریزی می‌کند. به‌طور کلی هر رنسامور ۵ مرحله را پشت‌سر می‌گذارد که در ادامه تک‌تک آنها را بررسی می‌کنیم.

1. تحویل باج افزار به قربانی

برای ورود باج افزار به یک سیستم، مهاجم باید قربانی را مجاب کند تا عمل خاصی را انجام دهد. برای این هدف، چندین راه وجود دارد:

• فیشینگ: قربانی روی صندوق ایمیل یا شبکه‌های اجتماعی پیغامی دریافت می‌کند که به‌نظر مخرب نیست؛ اما کلیک روی پیوند پیغام همانا و تحویل باج‌افزار به سیستم همان!
• فیشینگ هدف‌دار: در این روش مهاجم خود را یک منبع قابل اعتماد معرفی می‌کند و با استفاده از پیغام‌های شخصی، قربانی را متقاعد می‌کند تا قدم اول را بردارد. مثلا ممکن است به اسم همکارتان به شما پیام دهد یا خود را جای یک شرکت خدماتی معتبر جا بزند.
• حملات دانلودهای Drive-by: در این حالت مهاجم یک صفحه را با جاسازی کدهای مخرب آلوده می‌کند. این کد مخرب موقع بازدید قربانی از صفحه اجرا می‌شود و رنسامور را دانلود می کنند.
• رسانه جداشدنی: برخی از مهاجمان یک USB به قربانی هدیه می‌دهند که حاوی رنسامور است و پس از وصل شدن به سیستم، روی کامپیوتر قربانی مستقر می‌شود.
• پورت‌های پروتکل ریموت دسکتاپ (RDP): وقتی پورت‌های RDP به روی اینترنت باز می‌شوند، در برابر حملات سایبری آسیب‌پذیر می‌شوند. مهاجمان پورت‌های RDP افشا شده را اسکن می‌کنند و پس از دسترسی، سیستم‌های امنیتی را غیرفعال کرده و باج‌افزار را تحویل می‌دهند.

پیشنهاد می‌کنیم مقاله فیشینگ چیست را مطالعه کنید.

2. نصب و اجرای باج افزار توسط قربانی

پس از تحویل باج افزار، مرحله نصب و اجرا آغاز می‌شود. در همین مرحله باج افزار فایل‌های پشتیبان را روی سیستم شناسایی می‌کند تا جلوی بازیابی اطلاعات یا بکاپ‌گیری را بگیرد. حتی برخی از باج‌افزارها نرم افزارهای امنیتی سیستم را حذف می‌کنند.

3. رمزگذاری سیستم قربانی

مهاجم در این مرحله با اعمال کلید‌های خصوصی که فقط و فقط خود او می‌شناسد، آسیب واقعی را به سیستم وارد می‌کند. در نهایت فایل‌های سیستم را قفل می‌کند و معمولا برای رمزگذاری داده‌ها از یک روش رمزگذاری مثل: رمزنگاری نامتقارن استفاده می‌کند تا شکستن آن غیرممکن باشد. برخی از باج‌افزارها در این مرحله با آلوده کردن بخش MBR (Master Boot Record)، دسترسی به کل سیستم را مسدود می‌کنند.

4. اعلان باج برای دسترسی مجدد

پس از تکمیل روال رمزگذاری، قربانی پیامی مبنی بر آلوده‌شدن سیستم و الزام پرداخت پول برای بازکردن فایل‌ها دریافت می‌کند. معمولا این مبلغ در قالب ارز دیجیتال پرداخت می‌شود که قابل ردیابی نباشد.

۵. رمزگشایی پس از پرداخت باج

پس از پرداخت باج، کلید رمزگشایی محتوای قفل‌شده در اختیار قربانی قرار می‌گیرد. البته موارد بسیاری وجود داشته که شرکت‌ها، نتوانستند داده‌ها را با کلید رمزگذاری بازیابی کنند و فایل‌ها و پول پرداختی را برای همیشه از دست داده‌اند. اغلب اوقات این داده‌های سرقتی روی دارک وب فروخته می‌شوند.

چه کسی مسئول حملات باج افزار است؟

ممکن است بپرسید معمولا چه کسی پشت حملات رنسامور است و آیا همیشه، تنها انگیزه آنها پول است؟ تحقیقات کارشناسان امنیت سایبری نشان می‌دهد معمولا ۲ عامل پشت حملات باج افزاری هستند که انگیزه‌های متفاوتی دارند و معمولا در پنهان‌کردن هویت واقعی خود حسابی خبره‌اند.

باندهای تبهکار سایبری سازماندهی شده

در مورد این دسته‌ از مهاجمان می‌توان گفت به تمام ابزارها و فناوری‌های لازم برای برنامه‌ریزی حملات و پیدا کردن تارگت‌های احتمالی مجهز هستند. بگذارید آنها را یک شبکه از مجرمان سایبری معرفی کنیم که حملات باج افزار عملا شغل آنهاست و استراتژی‌های خودکاری برای اجرای حملات، رسیدگی به پرداخت باج‌ها و فرآیند رمزگشایی دارند. آنها می‌توانند در یک حمله به چند قربانی ضربه بزنند.

مجرمان سایبری تحت پوشش دولت‌ها

این حالت از مجرمان سایبری، معمولا به پشتیبانی کشورهای تحریم‌شده مثل: کره شمالی و روسیه اقدام به حمله می‌کنند و قصد آنها صرفا سرقت پول نیست. بلکه ضربه زدن به کشورهای دشمن است.

افراد و سازمان‌های قربانی باج افزار

طبیعتا مهاجمان باج افزار سیستم‌هایی را هدف قرار می‌دهند که داده‌های حیاتی و حساس دارند. چه مشاغل بزرگ چه مشاغل کوچک، هر دو تارگت مهم باج‌افزارهای مخرب هستند. چون سازمان‌ها نیاز دارند فورا به داده‌های خود دسترسی یابند و احتمالا با پرداخت مبلغ باج موافقت می‌کنند. اما بیشتر سازمان‌هایی را هدف قرار می دهند که سیستم‌های امنیتی قدیمی با آسیب پذیری‌های قابل توجه داشته باشند.

این شما و این ۳ مورد از متداول‌ترین هدف‌های حملات باج افزار:

سیستم‌های مراقبت‌های بهداشتی

مراکز مراقبت بهداشتی سوابق پزشکی و داده‌های حیاتی بیماران را ذخیره می‌کنند و هر لحظه به این داده‌ها احتیاج دارند. حمله رنسامور Wannacry در سال 2017 سرویس بهداشت ملی بریتانیا را هدف قرار داد و آنها را مجبور به لغو جراحی‌ها، قرارهای ملاقات و جابجایی بیماران اورژانسی کرد. طبق گزارشات خبری NHS مجبور شد 19000 قرار ملاقات را لغو کند، سیستم‌های IT را ارتقا دهد و همه آنها را پاکسازی کند. خسارت وارده چیزی معادل ۹۲ میلیون پوند برآورد شد.

سیستم‌های آموزشی

مؤسسات آموزشی مانند: دانشگاه‌ها، مدارس و کالج‌ها داده‌های تحقیقاتی حساس و سوابق شخصی و مالی کارکنان را روی شبکه نگه می‌دارند. متاسفانه این بخش، به‌خاطر محدودیت‌های بودجه معمولا از اصول امنیت سایبری قدرتمندی برخوردار نیست و اکثر کاربران آنها از دانش کافی درمورد حملات سایبری برخوردار نیستند. از این‌رو به‌شدت در برابر حملات سایبری آسیب‌پذیرند.

برای مثال در سال ۲۰۱۶ دانشگاه کلگری به ناچار رقمی معادل ۲۰ هزار دلار در قالب بیت کوین به باج افزاری پرداخت که به سیستم کامپیوتری دانشگاه حمله کرده بود.

سیستم‌های سازمان‌های دولتی

سازمان‌های دولتی، به ویژه بخش‌های امنیتی، با اطلاعات عمومی حساسی مثل: اطلاعات نظامی و جنایی سروکار دارند. چنین آژانس‌هایی در صورت نقض اطلاعات، خیلی زود اقدام می‌کنند و حاضرند هر بهایی برای بازگرداندن سیستم و بازیابی اطلاعات بپردازند. به علاوه این سازمان‌ها بخشی از خدمات را به شرکت‌های خصوصی برون‌سپاری می‌کنند که آنها نیز قربانیان رایج باج افزارها و دروازه‌ای برای ورود به زیرساخت‌های حیاتی دولت محسوب می‌شوند.

سایر قربانیان باج افزارها عبارت‌اند از:

• خرده فروشان و بخش امور مالی
• شرکت‌های خدماتی
• ارائه‌دهندگان خدمات چند‌رسانه‌ای
• بخش‌های منابع انسانی
• ارائه‌دهندگان رایانش ابری
• شرکت‌های حقوقی
• شرکت‌های نفت و انرژی

انواع مختلف باج افزار

تمام باج افزارهایی که تاکنون شناسایی شده‌اند به دو دسته Crypto-Ransomware و Locker Ransomware تقسیم می‌شوند.

باج افزار رمزنگاری (Crypto-Ransomware)

باج‌افزار کریپتو پس از ورود به رایانه قربانی، فایل‌ها را به یک روش قدرتمند رمزگذاری می‌کند. در این حالت سیستم قفل نمی‌شود و قربانی می‌تواند به بخش‌های رمزگذاری نشده دسترسی داشته باشد.

باج افزار لاکر (Locker Ransomware)

باج افزار لاکر رایانه‌های قربانیان را قفل و کاملا خاموش می‌کند. این باج افزار قصد نفوذ به سیستم کامپیوتری و رمزگذاری فایل‌ها را ندارد؛ فقط گاهی کاربران با قفل شدن ماوس یا صفحه کلید مواجه می‌شوند.

روش‌های مقابله با باج‌افزارها

بهترین و ساده‌ترین راه درمان با باج‌افزار، پیشگیری است. درخصوص مقابله با Ransomwareها این جمله تکراری بسیار مصداق دارد. هرچند روش‌های مقابله با باج‌افزارها به دو دسته کنش گرایانه و واکنش گرایانه دسته‌بندی می‌گردند؛ اما توصیه اکید کارشناسان امنیت اطلاعات تسکا برای اقدامات پیشگیرانه می‌باشد. از جمله مهمترین اقدامات پیشگیرانه می‌توان به موارد زیر اشاره کرد:

• آموزش و ارتقای سطح دانش مدیران سیستم و کاربران سازمان در خصوص خطرات باج افزارها و روش‌های کارکرد آن‌ها
• تهیه نسخه‌های پشتیبان اطلاعات براساس راه‌کارهای تداوم کسب و کار مبتنی بر سیاست‌گذاری‌های چرخه حیات داده
• بروزرسانی مداوم سرویس‌های زیرساختی و نصب وصله‌های نرم‌افزاری تایید شده توسط تولیدکنندگان نرم‌افزارها
• پیاده‌سازی مکانیزم‌های دسترسی کاربران بر مبنای سیاست Two Factor Authentication
• بکارگیری نرم‌افزارهای امنیتی ضد باج‌افزار به منظور شناسایی تهدیدات موجود در سیستم‌ها

البته لازم به ذکر است که چالش اصلی سازمان‌ها در برخورد با تهدیدات باج افزارها، عدم انسجام آنها برای پیاده‌سازی روش‌های اشاره شده است.

Object Storage یک راهکار خلاقانه برای مقابله با Ransomware

طی سال‌های گذشته، با شتاب‌گیری روند تولید داده‌ها با حجم بالا و مستقل از پایگاه داده‌ها، Object Storage Devices در بخش‌های حساسی همچون نهادهای پولی، بانکی، سازمان‌های خدمات رسان دولتی و مراکز بهداشتی و درمانی به عنوان یک راهکار هوشمند و موثر برای ذخیره‌سازی اطلاعات حساس به‌ کار گرفته شده است. همچنین با گسترش روزافزون خطرات ناشی از باج افزارها، سیستم‌های ذخیره‌سازی مبتنی بر اشیا با ارائه الگوریتم‌های منحصر به فرد که طی آن اجازه اعمال تغییرات برروی اطلاعات ذخیره شده سلب می‌گردد، به عنوان یک راهکار خلاقانه به منظور پیشگیری از خطرات احتمالی، باج‌افزارها مطرح شده و مورد استقبال سازمان‌ها قرارگرفته است.

در این الگو در کنار استفاده از Object Storage Devices به عنوان لایه اصلی ذخیره‌سازی، مکانیزم‌های احراز هویت و رمزنگاری اطلاعات (Inflight و At Rest) نیز به عنوان دو بال اصلی محافظت کننده اطلاعات به کار گرفته می‌شوند تا خطرات ناشی از نفوذ و گسترش باج‌افزارها را به حداقل برسانند.

برای مطالعه بیشتر مقاله object storage چیست؟ را از دست ندهید.

OSD چگونه می‌تواند مقابل باج افزارها عمل کند؟

سیستم‌های ذخیره‌سازی مبتنی بر اشیا داده‌ها را به صورت تغییر ناپذیر ذخیره می‌کنند. به عبارت دیگر معماری سیستم‌های OSD به‌گونه‌ای طراحی شده است که قابلیت ایجاد تغییرات در ماهیت فایل‌ها را در محل ذخیره‌سازی نمی‌دهند. این امر درست برخلاف سیستم‌های ذخیره سازی POSIX BASED می‌باشد. با استفاده از این ویژگی بسیاری از باج افزارها برای رمزنگاری اطلاعات (به نوعی ایجاد تغییرات در صفات فایل‌ها) با چالش روبرو می‌شوند.

علاوه بر آن، این سیستم‌ها از قابلیت Versioning به منظور حفظ تمامیت اطلاعات ذخیره‌سازی شده بهره می‌برند. این در حالی است که مکانیزم  WORM (Write Once Read Many) به عنوان راهکار اصلی Versioning در سیستم‌های ذخیره‌سازی OSD اولیه مورد استفاده قرار می‌گرفت. برخی از شرکت‌های پیشرو در تولید تجهیزات ذخیره‌سازی، اقدام به بکارگیری مکانیزم S3 API Extension به عنوان راهکار توسعه یافته Versioning نموده‌اند. S3 API Extension توسط گروه نرم‌افزاری Amazon به عنوان راهکاری برای ارتقای امنیت اطلاعات در زیرساخت‌های رایانش ابری AWS به بازار فناوری اطلاعات ارائه شد.

لازم به ذکر است که در این روش به ازای هرگونه تغییرات بر روی فایل‌ها، می‌بایست یک نسخه جدید از اطلاعات ذخیره گردد. در نتیجه به ازای هر پروسه، نگارش اطلاعات جدید نسخه قبلی به صورت Read Only ذخیره می‌گردد. در انتها برخی از تجهیزات با فناوری پیشرفته‌تر در این زمینه مانند: ECS شرکت Dell-EMC در نسخه‌های جدید خود قابلیت S3 Object Lock API را نیز به خدمت گرفته‌اند. براساس این مکانیزم در یک بازه زمانی ثابت، امکان بروزرسانی و یا حذف اطلاعات ذخیره‌سازی شده، داده نمی‌شود.

نتیجه‌گیری

هرچند که مقابله با حمله باج‌افزارها، نیازمند یک سیاست جامع و چندلایه دفاعی می‌باشد، می‌توان این‌گونه نتیجه‌گیری کرد که استفاده از سیستم‌های ذخیره‌سازی مبتنی بر اشیا (OSD) و بهره‌مندی از ویژگی‌های ذاتی آنها برای ذخیره‌سازی اطلاعات باوجود هزینه بالاتر نسبت به سایر سیستم‌های ذخیره ساز موجود، می‌تواند به عنوان یک راهکار هوشمندانه و کارآمدتر برای جلوگیری از نفوذ باج‌افزارها مطرح گردد. البته نباید از نقش کلیدی راهکارهای احراز هویت و رمزنگاری در کنار زیرساخت‌های ذخیره‌سازی مبتنی بر اشیا چشم پوشی کرد.

در انتها لازم به اشاره است که هیچ راهکاری به تنهایی برای مبارزه علیه نفوذ باج افزارها کافی نبوده و بنابر توصیه پژوهشگران عرصه امنیت اطلاعات، استفاده از OSDها درکنار روش‌های مرسوم اشاره شده و همچنین راهکارهای نرم‌افزاری مانند: Ransomware Defenderها قابلیت ارتقا توان دفاعی و عملیاتی سازمان‌ها در برابر خطرات باج‌افزارها را می‌دهد.

سوالات متداول