باج افزار از رمزنگاری فایل تا وسیله کامل
یکی از تهدید های اصلی به امنیت کامپیوترها کدهای مخرب است. در طول سال های گذشته این مسئله یکی از دلایل اصلی نقض های امنیتی بوده است. اولین نمونه این ویروس ها در سال 1986 کشف شد و آنها به تدریج تکامل یافته اند. اخیرآ یکی از گونه های بدافزاری به نام باج افزار (ransomware) کسب وکارها و کاربران خانگی را تهدید میکند و آزار میدهد.
انواع باج افزار
در طول سال گذشته، باج افزارها در از بقیه بدافزارها جلو زده و قربانیان بیشتری گرفته اند. این به دلیل وجود کسب درآمد قابل ملاحظه ای برای مجرمین سایبری از این روش حمله میباشد. این نوع حمله شاید خلاقانه به نظر بیاید اما چنین نیست. اولین مورد باج افزار 25 سال پیش ثبت شد. اسم این بدافزار PC Cyborg یا AIDS Trojan بود. این باج افزار در آن زمان directory ها را پنهان میکرد و اسامی همه فایل ها روی درایو C را رمز نگاری میکرد و سیستم را از کار می انداخت. سپس از قربانی درخواست میشد که با پرداخت 189 دلار لایسنس خود را تجدید نماید.
از آن زمان تا به حال برنامه های متعدد و جدیدی برای باج گیری از کاربران شناخته شده است که از الگوریتم های رمزنگاری با کلیدهای پیچیده و دراز استفاده میکنند. در سال 2005، بدافزار GPCoder و گونه های دیگر آن درخواست باج های بین 100 الی 200 را برای رمزگشایی فایل های با پسوندهای خاص را میکردند.
امروزه این گونه کدهای مخرب فراتر میروند و گروه های از مجرمین سایبری آنها را به عنوان بدافزار به عنوان سرویس (malware as a service) ارائه میدهند. باج افزارهای به عنوان سرویس (RaaS) کشف شده است که ابزارهایی هستند که باج افزار را به طور خودکار به وجود می آورند و به مجرمین در هر سطح و با هر میزان دانش اجازه میدهند که خود باج افزار خلق کنند. اولین باج افزار opensource “Hidden Tear” نام دارد، که دریچه ای جدید برای توسعه بدافزار و گونه های آن به شمار می رود. پیش بینی برای آینده، تولید بدافزارهای پیچیده تر و با توسعه دهی در ابعاد بسیار گسترده می باشد.
افزایش تعداد گونه ها
یکی از موارد مهم در مورد تکامل باج افزار رشد چشم گیر گونه ها در سال های اخیر میباشد که فناوری ها و پلت فرم های مختلف را هدف قرار داده اند. چارت ذیل نشان دهنده رشد گونه های باج افزاری برای خانواده های Filecoder در 5 سال گذشته است.
رشد گونه های باج افزاری برای خانواده های Filecoder در 5 سال گذشته
علاوه بر ویندوز، گونه ها برای دیگر پلتفرم ها و OS ها مانند OS X طراحی شده اند. تکنولوژی های دیگری مانند VBS, Python، BAT و Powershell نیز توسط مجرمین سایبری برای نقض به سیستم کاربران و درآمد زایی استفاده میشود.
تکامل تهدید ها
امروزه باج افزارها برای همه پلتفرم ها از جمله IOs و اندروید تهدید محسوب میشود. اولین خانواده و گونه های باج افزاری که اندروید را هدف قرار دادند شامل انتی ویروس های قلابی با توانایی قفل کردن Lockscreen وسایل بودند. در سال 2014، Simplocker اولین باج افزار برای اندروید که در Tor فعال میشد و فایل های کاربر را مستقیمآ رمزنگاری میکرد توسط شرکت ESET شناسایی شد. تعداد خانواده های بدافزاری که در 2015 شناسایی شدند 4{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} بالاتر از رقم شناسایی ها در 2014 بود. درصد کوچک افزایش در خانواده های بدافزاری یعنی افزایش قابل ملاحظه ای در نمونه های فردی.
توزیع انواع گونه های Simplocker شناسایی شده در 2 سال اخیر
در طول سال 2015، محققین شرکت ESET اولین نوع باج افزار برای اندروید را که Lockscreen را قفل میکرد را کشف نمودند. در این روش بدافزار کد رمز گوشی را تغییر میدهد تا مالک به وسیله دسترسی نداشته باشد. در این مرحله نیز باج افزار به صورت دائمی هشداری را برای پرداخت باج بر روی Lockscreen قرار میدهد. به دلیل عدم پیچیدگی این مکانیزم برخی از کاربران مطلع قادر به دور زدن آن بودند.
در نتیجه مجرمین سایبری تلاش بیشتری کرده و خانواده های جدید باج افزاری را به وجود آوردند که دسترسی به وسیله را بلوکه میکرد. این خانواده های جدید مانند LockerPIN اجازه نمیدهند که کاربر بدون داشتن مجوز دستگاه (Root Privileges) و یا بدون داشتن یک راه حل امنیتی نصب در وسیله خود به آن دسترسی پیدا کنند. در سال 2013، Cryptolocker یکی از بیشترین موارد آلودگی در کامپیوتر های ویندوز را در کشورهای مختلف به وجود آورد. این باج افزار از رمزنگاری RSA 2084-bit الگوریتم کلید های عمومی استفاده میکند و فقط فایل هایی با extension های خاصی را هدف قرار میدهد و روش ارتباط گیری آن با C&C از طریق Tor میباشد.
در سال 2015، یک موج جدید از باج افزار با نام CTB-Locker دیده شد که از طریق TrojanDownloader (Win32/ TrojanDownloader.Elenoocka) به سیستم قربانی دانلود میشود. در میان نسخه های مختلف آن زبان اسپانیایی نیز به چشم میخورد. به نظر می رسد که باج افزارها به محدودیت خود در “تعداد قربانیان قابل دسترس و افزایش پیچیدگی در کد و روش حملات” نرسیده است و این کدهای مخرب در آینده کار خود را ادامه می دهند و تکامل خواهند یافت.
از کامپیوتر به تلویزیون
امروزه تکامل این تهدیدها از روی شناسایی گونه های متعدد که دارای مکانیزم های پیچیده هستند مشخص است. و استخراج داده از آنها بدون پرداخت باج تقریبآ غیر ممکن است و این امر جذابیت به این نوع جرائم را افزایش میدهد. در ماه های آخر 2015، رشد قابل ملاحظه ای در باج افزار دیده شد که بر روی IoT یا اینترنت اشیآ تمرکز دارند که این تهدیدها نیز از لحاظ روش کار و برداری نیز تغییر کرده است.
در آینده نزدیک احتمال آن وجود دارد که ساعت ها و تلویزیون های هوشمند نیز توسط بدافزارها نقض شوند و تمرکز بیشتر آنان بر روی سیستم اندروید باشد. اما محصولات IoT بسیار متنوع و متفاوت هستند و از خودرو تا یخچال قابل اتصال به اینترنت خواهند داشت و تمامی عملکردهای آنها توسط نوعی CPU مدیریت میشود.
به عبارتی دیگر آنها رایانه ای خواهند بود و در حالیکه هیچ تهدیدی در بسیاری از وسایل دیده نشده است، عملکرد آنها نیاز به یک نوع نرم افزار یا firmware و اتصال به اینترنت دارد. مجرمین سایبری به این گونه وسایل جذب میشوند و امید دارند که داده های با ارزشی از آنها استخراج کنند. در آزمایشات در سال گذشته یک خودرو با موفقیت از راه دور کنترل شد. به همین دلیل بهتر است که پیشگیری های لازم توسط تولید کنندگان و کاربران اجرا شود. در غیر اینصورت هیچ مانعی برای هکرها وجود نخواهد داشت که کنترل یک وسیله را به دست گیرند و در مقابل آن درخواست باج کنند.
نتیجه گیری: دو تهدید با یک هدف
در سال های اخیر، یکی از روندهای محبوب توسط کاربران و سازمان ها ذخیره سازی داده بر روی پلتفرم های مختلف است. جلوگیری دسترسی کاربران توسط کدهای مخرب به اطلاعات میتواند اثرات جدی بر روی روال کسب وکار و ارتباطات داشته باشد. این مسئله زمانی که یک سازمان استراتژی موثری برای Backup ندارد نگران کننده خواهد بود. موفقیت در اجرا چنین حملاتی باعث شده است که مجرمین سایبری خود را به سیستم های ویندوز و وسایل موبایلی محدود نکنند.
در همین حال مکانیزم های محافظتی برای برخورد با این نوع تهدیدها بر اساس تجربه بهبود یافته و باید با مدیریت بهتر کاربر و آموزش همراه باشند. اما همه وسایل را نمیتوان با راه حل های امنیتی محافظت نمود. پیش بینی میشود که ما افزایش حملات باج افزاری بیشتری را در سال های 2016 و 2017 ببینیم و وجود اتصال اینترنتی در وسایل و دستگاه های بیشتر، تنوع بیشتری برای مجرمین سایبری ایجاد میکند. در واقع چالش این است که حملات را شناسایی و حذف نمود و از وجود انتشار و توزیع اطلاعات اطمینان حاصل نمود. در آینده نزدیک جلوگیری از نقض ها و تنظیمات مناسب وسایل از اهمیت بیشتری در حوزه امنیت شبکه برخوردار خواهد بود تا در نتیجه کاربر از استفاده از تکنولوژی لذت ببرد. در5 سال آینده برآورد میشود که ما 25 میلیارد وسایل آنلاین خواهیم داشت و باید در مقابل تهدیدها و حملات از آنها محافظت کنیم.
باج افزار از رمزنگاری فایل تا وسیله کامل
