امنیت به زبان ساده: حقایق مهمی که باید راجع به باج‌افزارها بدانید

باج‌افزارها به هیچ وجه چیز جدیدی نیستند. سابقه این نوع از بدافزارها به سال ۱۹۸۹ بازمی‌گردد و زمانی که تروجان AIDS شروع به پخش شدن در سراسر جهان کرد. امروز، سه دهه بعد از آن ماجرا، باج‌افزار به عنوان یکی از خطرناک‌ترین تهدیدهایی که هر کسب‌وکاری در هر ابعاد با آن مواجه است شناخته می‌شود.

از زمان آغاز پاندمی کووید-۱۹ و به خاطر دورکاری گسترده، خطر باج‌افزارها به شکل قابل توجهی افزایش یافته است. با درنظرگیری اینکه تجهیزات خانگی معمولا امنیت پایین‌تری دارند و مجرمان نیز با سوء استفاده از موضوعات پیرامون کووید-۱۹ در صدد ایجاد حس نگرانی و اضطراب در مردم بر می‌آیند، اکنون لازم است که همه هوشیارتر از قبل باشند. در ماه نوامبر ۲۰۲۰، مرکز امنیت سایبری ملی بریتانیا اعلام کرد بیش از یک چهارم حوادثی که با آن‌ها مقابله کرده است، به نوعی به کووید مرتبط بوده‌اند. در سال گذشته میلادی ضمنا میزان حوادث رخ داده با باج‌افزارها تا سه برابر افزایش یافت و بنابراین با ترندی در حال رشد که هدفمندتر و خطرناک‌تر از همیشه ظاهر می‌شود روبه‌رو هستیم.

بنابراین اکنون با محیطی کاملا جدید مواجه هستیم و بنابراین زمانش رسیده که نگاهی به تدابیر لازم برای پیشگیری از چنین تهدیداتی و آشنایی با آن‌ها بیندازیم و در عین حال مطمئن شویم کارمندان کسب‌وکارها دقیقا می‌دانند هنگام به خطر افتادن باید چه کنند. در این مقاله به مرور حقایقی می‌پردازیم که باید راجع به باج‌افزارها بدانید.

روند تکامل یک تهدید سایبری

تروجان AIDS امروز مثل یک خاطره دوردست به نظر می‌رسد. این ویروس مبتنی بر دیسک‌های فلاپی، محتویات هارد درایو را قفل می‌کرد و سپس از شما می‌خواست یک چک ۱۸۹ دلاری به آدرسی در پاناما بفرستید تا هارد درایو رمزگشایی شود. ایده کلی بسیار نبوغ‌آمیز بود، اما ویروس از یک تکنیک رمزنگاری بسیار ساده استفاده می‌کرد و بنابراین خیلی زود افراد مختلف توانست ابزارهای لازم برای رمزگشایی قفل‌ها را در دسترس عموم قرار دهند.

از آن زمان، جهان بسیار تغییر کرده است. در سال ۲۰۰۶ میلادی شاهد ظهور تروجان GPcode بودیم که از کلید بسیار قدرتمند و ۶۶۰ بیتی RSA استفاده می‌کرد - بعد هم یک ورژن به‌روزرسانی شده از همین ویروس از راه رسید که رمزنگاری ۱۰۲۴ بیتی داشت. تا سال ۲۰۱۳، ویروس دیگری به نام CryptoLocker 2.0 نه‌تنها از رمزنگاری ۲۰۴۸ بیتی استفاده می‌کرد، بلکه خواستار پرداخت پول در قالب بیت‌کوین می‌شد.

سپس در روز ۱۲ مه سال ۲۰۱۷، شرایط از این هم پیچیده‌تر شده. با استفاده از یک آسیب‌پذیری که توسط آژانس امنیت ملی آمریکا کشف شده و مورد استفاده قرار گرفته بود، یک باج‌افزار جدید به نام WannaCry خلق شد که ۲۵۰ هزار کامپیوتر را در ۱۵۰ کشور جهان طی تنها چند روز آلوده کرد. تخمین زده شد که دولت‌ها و کسب‌وکارهای سراسر جهان میلیاردها دلار هزینه کردند تا از شر این باج‌افزار راحت شوند. از سوی دیگر، تاریخچه مبادلات بیت‌کوین نشان می‌داد هکرها تنها ۱۱۰ هزار یورو باج دریافت کرده‌اند - رقمی بسیار ناچیز در ازای راه انداختن چنین آشوبی در سراسر جهان.

امروز چنین حملاتی سودآورتر شده‌اند. برای مثال اوایل سال جاری میلادی شنیدیم که شرکت Travelex بالغ بر ۱.۸ میلیون پوند به گروه REvil پرداخت و دانشگاه کالیفرنیا هم تایید کرد که طی ماه ژوئن ۲۰۲۰، حدودا ۹۰۰ هزار پوند به گردانندگان باج‌افزار NetWalker پرداخته است. بعد هم حمله Garmin را داشت که ۱۰ میلیون دلار هزینه به بار آورد.

اگر برایتان سوال شده که چرا کسی باید چنین مبالغی را بپردازد، لازم است بدانید که موضوع فقط درباره احیای دیتا نیست - درباره اطمینان از اینکه دیتا خصوصی باقی می‌ماند نیز هست.

اوضاع از این هم بدتر می‌شود

تا چند سال پیش، گردانندگان باج‌افزارها بر استراتژی‌های کور متکی بودند. ایده کلی این بود که باید به بیشترین کامپیوترهای ممکن حمله کرد و امیدوار بود که برخی قربانیان حاضر به پرداخت باج شوند. اما همانطور که درآمد نه‌چندان زیاد گردانندگان WannaCry نشان می‌دهد، این استراتژی هیچوقت بهینه‌ترین رویکرد ممکن نبوده است. ارقام درخواستی نسبتا کم باقی می‌ماندند تا قربانیان حاضر به پرداخت‌شان شوند، اما باز هم اکثر افراد تصمیم می‌گرفتند به جای پرداخت پول از خیر فایل‌های خود بگذرند. کسب‌وکارها اهدافی به مراتب بهتر بودند، چون سخت‌تر می‌توانستند از داده‌های خود دل بکنند و احتمالا به پول لازم برای پرداخت باج‌ها نیز دسترسی داشتند. تنها چالش این بود که تمام کسب‌وکارهای درست و حسابی، از فایل‌های خود بکاپ نیز می‌گیرند.

بنابراین نیاز به رویکردی تازه حس می‌شد. پایین کشیدن شبکه‌ها به صورت کامل یکی از گزینه بود، زیرا در این صورت دسترسی به سرورهای بکاپ هم قطع می‌شد و این رویکرد برای مدتی سودآور بود. اما کسب‌وکارهای بزرگ برای ابعادی در چنین ابعاد هم برنامه‌ریزی می‌کردند. در نهایت طی سال ۲۰۱۹، گروهی به نام Maze دست به حرکتی نبوغ‌آمیز زد که خیلی زود از سوی دیگران نیز تقلید شد. بدافزار Maze داده را مثل قبل رمزنگاری می‌کرد، اما به صورت همزمان یک کپی از فایل‌های اصلی را نیز برای گردانندگان باج‌افزار می‌فرستاد.

این کار باعث شد مجرمان به اهرم‌هایی کاملا تازه دسترسی داشته باشند. حتی اگر کسب‌وکار شما می‌توانست بدون فایل‌های رمزنگاری شده به حیات خود ادامه دهد، عدم پرداخت به این معنا بود که محرمانه‌ترین اطلاعات‌تان عمومی می‌شد یا به دست اشخاص ناشناس می‌رسید. و هکرها این خط مشی را ادامه داده‌اند: اکنون حداقل یک وب‌سایت مزایده داده در دارک وب داریم که در آن فایل‌هایی که صاحبان‌شان حاضر به پرداخت باج نشده‌اند، به بالاترین قیمت فروش می‌رود.

چطور ضربه می‌خورید؟

آگاهی از چگونگی کارکرد این حملات، نخستین گام برای در پیش گرفتن تدابیر تدافعی لازم در برابر آن‌ها است. بیایید کار را با یک تهدید باج‌افزاری بسیار شناخته شده به نام DoppelPaymer آغاز کنیم. گردانندگان این باج‌افزار دانش فراوان دارند و از تاکتیک‌هایی استفاده می‌کنند که معمولا به هکرهای دولتی تعلق دارند و نه مجرمان فرصت‌طلب. پیش از تلاش برای وارد کردن بد‌افزار به درون شبکه شما، آن‌ها شروع به مکاشفه می‌کنند، به دنبال آسیب‌پذیری‌ها می‌گردند و منابع عمومی را برای یافتن اطلاعاتی که می‌توان از آن‌ها در حملات فیشینگ یا مهندسی اجتماعی استفاده کرد زیر و رو می‌کنند.

اما نکته غافلگیرکننده اینست که آن‌ها تلاش چندانی برای بیرون ماندن از رادارها نمی‌کنند. هنگامی که هکرها برای آغاز حمله آماده شده‌اند، معمولا به استفاده از چیزی می‌پردازند که به آن «بدافزار فرآورده» گفته می‌شود - کدهای اکسپلویتی که به آسانی می‌توان در دارک وب خریدشان. برای هکرها مهم نیست که رخنه امنیتی‌شان به از راه رسیدن انبوهی از به‌روزرسانی‌ها و پچ‌ها منجر می‌شود یا خیر، آن‌ها فقط لازم دارند برهه سوء استفاده از شبکه آنقدر طول بکشد تا نرم‌افزار کارش را بکند و به رمزنگاری داده بپردازد. و اگر با حمله مقابله شود، می‌توانند به سراغ متدی متفاوت بروند و آنقدر آزمون و خطا کنند تا بالاخره به هدف خود برسند.

آیا این رویکرد واقعا جواب می‌دهد؟ قطعا، زیرا همواره انبوهی از رخنه‌های امنیتی وجود دارد که منتظرند تا مورد سوء استفاده قرار بگیرند. در یک گزارش اخیر مشخص شد که ۸۰ درصد از سازمان‌ها، حداقل یک آسیب‌پذیری برطرف نشده دارند، ۷۰ درصدشان بیشتر از یک آسیب‌پذیری و ۲۰ درصدشان بیشتر از ۱۰ آسیب‌پذیری. و ضمنا اکثر آسیب‌پذیری‌ها درون پچ‌هایی یافت می‌شود که سال‌ها از عرضه‌شان گذشته است.

اگر این موضوع برایتان غافلگیرکننده است، باید گفت که صرفا راجع به آسیب‌پذیری‌های ویندوزی صحبت نمی‌کنیم. باج‌گیران به صورت موازی به دنبال آسیب‌پذیری‌های موجود در سرورهای اپلیکیشن و ابزارهای مشارکتی نیز می‌گردند. درس نهایی اینست:‌ از به روز بودن تمام نرم‌افزارها و سرویس‌هایی که استفاده می‌کنید مطمئن شوید. صرفا نباید روی مشکلاتی که حیاتی تلقی شده اند متمرکز بود، زیرا مجرمین از طریق آسیب‌پذیری‌های به ظاهر نه‌چندان حیاتی هم به سراغ اهداف خود می‌روند. این آسیب‌پذیری‌ها به احتمال کمتری فورا پچ می‌شوند و می‌توانند عنصری کلیدی در پروسه‌های حمله چند مرحله‌ای باشند.

در نهایت حتی اگر سیستم‌ها عاری از هرگونه نقص و آسیب‌پذیری هستند، هیچوقت نمی‌توان از امنیت کامل آن‌ها در برابر خطای انسانی مطمئن بود. NetWalker باج‌افزاری است که به درآمدزایی فراوان از طریق ایمیل‌های فیشینگ برای دسترسی یافتن به شبکه‌های داخلی منجر شده است. درست مانند رویکرد DoppelPaymer، مهاجمین در صدد شناسایی افرادی برمی‌آیند که می‌توانند تمام سیستم را به خطر بیندازند. پیام‌های بدخواهانه هکرها به صورت خاص برای شخص دریافت‌کننده نوشته شده و به این ترتیب تشخیص‌شان از پیام‌های معتبر دشوار می‌شود. و طبیعتا تنها یک اشتباه برای باز کردن پنجره سوء استفاده کافی است.

بهای آماده نبودن

اگر باج‌افزارها گریبان‌گیرتان شدند، هزینه درخواستی احتمالا آنقدرها زیاد به نظر نرسد: برای مثال WannaCry خواستار تنها ۳۰۰ دلار از قربانیان می‌شد. اما این تنها بخشی از بهایی است که خواهید پرداخت.

یک مشکل بزرگ دیگر، آسیبی است که به اعتبار کسب‌وکار و برند وارد می‌شود. موضوع فقط راجع به این نیست که ناظران بیرونی کسب‌وکار شما را بی‌خیال نسبت به ابعاد امنیتی کارتان می‌پندارند: آن‌ها نیز ممکن است به خاطر ارتباط با شما آسیب ببینند. اوایل امسال DoppelPaymer به Visser Precision حمله کرد که تولیدکننده قطعات مختلف در صنایع هوافضا و اتومبیل‌سازی است:‌ یکی از اهرم‌های در دسترس هکرها، اطلاعات به سرقت رفته‌ای بودند که عمومی شدند و برخی، مستندات متعلق به همکاری Visser با دو شرکت لاکهید مارتین، اسپیس اکس و تسلا بودند.

مشخصا با چنین اتفاقی فشار بر قربانی بیشتر می‌شود و بعد هم نوبت به فشار مراجع قانونی می‌رسد. بنابر قانون GDPR اتحادیه اروپا، کمپانی‌هایی که باعث نشر اطلاعات محافظت شده شوند، باید ۴ درصد از درآمد سالانه خود را به عنوان غرامت بپردازند و این خود بهای بالقوه عدم همکاری با تقاضاهای مجرمان را افزایش می‌دهد. اگر مجرمان سایبری باهوش باشند، می‌توانند خواستار رقمی شوند که از غرامت GDPR کمتر است و به کسب‌وکار هدف خود یادآوری کنند که عمومی شدن اطلاعات می‌تواند بهایی سنگین‌تر برای آن‌ها به همراه داشته باشد.

البته که در حوادث امنیتی با چنین ابعادی، به احتمال زیاد حقایق یک روز مشخص می‌شوند. کسب‌وکارها نه‌تنها مورد تجسس از سوی رگولاتوری‌ها قرار می‌گیرند و باید غرامت بپردازند، بلکه از آسیب‌های وارد شده به اعتبار خود به خاطر رخنه اطلاعاتی نیز رنج خواهند برد.

پرداخت کردن یا نکردن؟

گردانندگان باج‌افزارها به شما اطمینان خاطر می‌دهند که در صورت پرداخت مبلغ دریافتی، کلید رمزگشایی را دریافت خواهید کرد و تمام کپی‌های به دست آمده از داده‌هایتان نیز حذف می‌شوند. و کلید رمزنگاری در اکثر مواقع نیز به خوبی کار می‌کند. گاهی حتی پشتیبانی فنی هم وجود دارد و به شما در بازگردانی فایل‌هایتان کمک می‌کند.

اما فراموش نکنید که وقتی با شرایط تعیین شده از سوی هکرها کنار می‌آیید، در هر صورت دارید به یک سازمان مجرمانه اعتماد می‌کنید. هیچ راهی برای اثبات این وجود ندارد که داده‌های به سرقت رفته نگه داشته نمی‌شوند یا محرمانه باقی می‌مانند و بعدا به بالاترین خریدار فروخته نمی‌شوند.

اما می‌توانید از این مطمئن باشید: اگر باج را بپردازید، اساسا دارید از صنعت فعالیت‌های مجرمان حمایت و به توسعه ابزارهای جدید برای باج‌گیری کمک می‌کنید. البته که وقتی خودتان را در چنین شرایطی می‌یابید و آینده کسب‌وکارتان را در خطر می‌بینید، مسائل اخلاقی اهمیت چندانی برایتان نخواهند داشت. به همین خاطر است که باید از پیش برنامه‌ریزی و اطمینان حاصل کرد خودتان را در چنین شرایطی نمی‌یابید.