Cyberware Ransomware

تهدیدات بدافزار همچنان با پیچیدگی بیشتری در حال رشد هستند و باج‌افزار همچنان یکی از مخرب‌ترین اشکال حمله‌ای است که افراد و سازمان‌ها با آن مواجه هستند. یک آلودگی می‌تواند کاربران را از دسترسی به داده‌های حیاتی محروم کند، عملیات را مختل کند و خسارات مالی و اعتباری ایجاد کند. درک نحوه عملکرد باج‌افزار مدرن و نحوه دفاع در برابر آن برای کاهش خطر و محدود کردن تأثیر حملات ضروری است.

مروری بر تهدید باج‌افزار سایبری

سایبرور (Cyberware) گونه‌ای از باج‌افزار است که اخیراً شناسایی شده و در جریان تحقیقات عمیق بدافزار توسط متخصصان امنیت اطلاعات کشف شده است. سایبرور به محض نفوذ موفقیت‌آمیز به یک سیستم، بلافاصله شروع به رمزگذاری فایل‌های کاربر کرده و آنها را غیرقابل دسترس می‌کند. فایل‌های رمزگذاری شده با پسوند '.CYBER' اصلاح می‌شوند و آسیب را فوراً قابل مشاهده می‌کنند. فایل‌های معمولی مانند تصاویر و اسناد از فرمت‌هایی مانند '1.png' یا '2.pdf' به '1.png.CYBER' و '2.pdf.CYBER' تغییر نام می‌دهند.

فراتر از رمزگذاری فایل، سایبرور با تغییر تصویر زمینه، محیط دسکتاپ را تغییر می‌دهد، یک تاکتیک روانشناختی که برای هشدار دادن و تحت فشار قرار دادن قربانی طراحی شده است. همچنین یک یادداشت باج‌خواهی با عنوان 'CyberEvent-ReadMe.txt' قرار می‌دهد که خواسته‌ها و دستورالعمل‌های مهاجمان را توضیح می‌دهد.

درخواست باج و تاکتیک‌های مهاجم

در یادداشت باج‌خواهی ادعا شده است که فایل‌های قربانی به دلیل نقص امنیتی در سیستم عامل رمزگذاری شده‌اند و تلاش می‌شود تا تقصیر را به گردن سلامت سیستم کاربر بیندازند. مهاجمان درخواست پرداخت ۴۳۰ دلار بیت‌کوین می‌کنند و قربانی را به ارسال وجه به یک آدرس ارز دیجیتال خاص هدایت می‌کنند. پس از پرداخت، به قربانی دستور داده می‌شود که یک کپی از به اصطلاح «PCK» خود را به آدرس «cybersupport@protonmail.com» ایمیل کند، با این وعده که ظرف ۴۸ ساعت یک ابزار رمزگشایی تحویل داده خواهد شد.

از دیدگاه دفاعی، نباید به این وعده‌ها اعتماد کرد. هیچ تعهد فنی یا قراردادی برای مهاجمان جهت ارائه یک ابزار رمزگشایی کارآمد وجود ندارد و بسیاری از قربانیان باج‌افزار با وجود پرداخت، هرگز به داده‌های خود دسترسی پیدا نمی‌کنند. بدتر از آن، اگر یک آلودگی باج‌افزار فعال به سرعت مهار نشود، ممکن است به رمزگذاری فایل‌های جدید ادامه دهد یا در درایوهای مشترک و شبکه‌های محلی پخش شود.

پیامدهای عفونت و اولویت‌های واکنش

پس از اتمام روال رمزگذاری توسط سایبرور، بازیابی فایل‌ها عموماً بدون یک نسخه پشتیبان پاک یا یک ابزار رمزگشایی قانونی که توسط محققان امنیتی توسعه داده شده باشد، غیرممکن است. پرداخت باج، شانس بازیابی را به روشی قابل اعتماد افزایش نمی‌دهد و می‌تواند فعالیت‌های مجرمانه را بیشتر تشویق کند. به همین دلیل، متخصصان امنیتی اکیداً توصیه می‌کنند که از پرداخت باج خودداری شود.

یک سیستم آلوده باید در اسرع وقت ایزوله و پاکسازی شود. حذف فوری باج‌افزار به جلوگیری از فعالیت‌های رمزگذاری اضافی کمک می‌کند و خطر گسترش جانبی به سایر دستگاه‌های موجود در همان شبکه را محدود می‌کند.

چگونه نرم‌افزارهای سایبری به قربانیان خود می‌رسند؟

نرم‌افزارهای سایبری به جای بهره‌برداری پیشرفته، به شدت به مهندسی اجتماعی و بهداشت امنیتی ضعیف متکی هستند. عوامل آلودگی رایج شامل کلاهبرداری‌های پشتیبانی فنی جعلی، پیوست‌ها یا پیوندهای فریبنده ایمیل و تبلیغات مخرب است. کاربران اغلب فریب می‌خورند تا اسناد مخرب مانند فایل‌های Word، Excel یا PDF را باز کنند یا فایل‌های اجرایی و اسکریپت‌های مبدل را اجرا کنند.

روش‌های دیگر انتقال شامل پلتفرم‌های اشتراک‌گذاری فایل نظیر به نظیر، نصب‌کننده‌های نرم‌افزار شخص ثالث، وب‌سایت‌های آلوده یا جعلی و رسانه‌های قابل حمل آلوده مانند درایوهای USB می‌شود. پس از اجرا، باج‌افزار بی‌سروصدا فرآیند رمزگذاری خود را در پس‌زمینه آغاز می‌کند.

بهترین شیوه‌های امنیتی برای دفاع در برابر باج‌افزار

دفاع مؤثر در برابر تهدیداتی مانند سایبرور به امنیت لایه‌ای و آگاهی مداوم کاربر بستگی دارد. وصله‌های امنیتی کامل سیستم‌عامل‌ها و برنامه‌ها، آسیب‌پذیری‌هایی را که باج‌افزارها اغلب از آنها سوءاستفاده می‌کنند، می‌بندد. نرم‌افزارهای امنیتی معتبر و به‌روز با محافظت بلادرنگ می‌توانند قبل از اجرا، بدافزارها را شناسایی و مسدود کنند. به همان اندازه مهم است که پشتیبان‌گیری منظم آفلاین یا مبتنی بر ابر که مستقیماً از سیستم اصلی قابل دسترسی نیستند، انجام شود و اطمینان حاصل شود که داده‌ها بدون مذاکره با مهاجمان قابل بازیابی هستند.

رفتار کاربر نیز نقش حیاتی ایفا می‌کند. باید با ایمیل‌ها با احتیاط رفتار کرد، به خصوص ایمیل‌هایی که اقدام فوری را توصیه می‌کنند یا حاوی پیوست‌های غیرمنتظره هستند. نرم‌افزارها فقط باید از منابع معتبر دانلود شوند و از استفاده از نصب‌کننده‌های غیرقانونی یا غیررسمی باید کاملاً اجتناب شود. محدود کردن امتیازات کاربر، غیرفعال کردن ماکروها به طور پیش‌فرض و نظارت بر فعالیت شبکه می‌تواند سطح حمله را بیشتر کاهش داده و تشخیص زودهنگام را بهبود بخشد.

نکات پایانی

باج‌افزارهای سایبری نمونه‌ای از چگونگی ترکیب آسیب‌های فنی با فشار روانی توسط بدافزارهای مدرن برای وادار کردن قربانیان به پرداخت باج هستند. در حالی که تاکتیک‌های آنها در برابر سیستم‌های آماده نشده مؤثر است، اقدامات پیشگیرانه قوی و شیوه‌های کاربری آگاهانه، احتمال آلودگی موفقیت‌آمیز را به میزان قابل توجهی کاهش می‌دهد. هوشیاری، به‌روزرسانی‌های به موقع و پشتیبان‌گیری‌های قابل اعتماد، همچنان قدرتمندترین ابزارها در دفاع در برابر اخاذی‌های مبتنی بر باج‌افزار هستند.