Hommy Ransomware

بدافزار همچنان یکی از مهم‌ترین تهدیدات امنیت سایبری پیش روی سازمان‌ها و افراد است. برنامه‌های مخرب مدرن نه تنها برای ایجاد اختلال در عملیات، بلکه برای سرقت اطلاعات حساس، اخاذی از قربانیان و ایجاد خسارات مالی قابل توجه نیز طراحی شده‌اند. باج‌افزار، به ویژه، به یک سازمان جنایی بسیار سودآور تبدیل شده است و اقدامات امنیتی پیشگیرانه را برای حفاظت از داده‌های ارزشمند و حفظ تداوم کسب‌وکار ضروری می‌سازد. از جمله جدیدترین تهدیدات شناسایی شده توسط محققان امنیت سایبری، باج‌افزار Hommy است، یک گونه بدافزار رمزگذاری فایل خطرناک مرتبط با خانواده باج‌افزار Makop.

بررسی اجمالی باج‌افزار Hommy

Hommy یک تهدید باج‌افزاری است که فایل‌ها را در سیستم‌های آسیب‌دیده رمزگذاری می‌کند و در ازای ارائه راه‌حل رمزگشایی، از قربانیان درخواست پرداخت وجه می‌کند. محققان امنیتی آن را به عنوان عضوی از خانواده باج‌افزارهای Makop شناسایی کرده‌اند، گروهی که به دلیل هدف قرار دادن سازمان‌ها و استفاده از تاکتیک‌های اخاذی دوگانه که رمزگذاری داده‌ها را با تهدید افشای داده‌های عمومی ترکیب می‌کند، شناخته شده است.

پس از اجرا روی سیستم قربانی، Hommy انواع فایل‌های متعددی را جستجو و رمزگذاری می‌کند و آنها را غیرقابل دسترس می‌سازد. این باج‌افزار علاوه بر قفل کردن فایل‌ها، نام فایل‌های آنها را با افزودن یک شناسه منحصر به فرد قربانی، آدرس ایمیل تماس مهاجم و پسوند '.hommy' تغییر می‌دهد. به عنوان مثال، یک فایل که در ابتدا قابل دسترسی است ممکن است به نام فایلی مانند 'document.docx.[2AF20FA3].[privatehommy@outlook.com].hommy' تبدیل شود. این الگوی تغییر نام هم به عنوان نشانگر آلودگی و هم به عنوان راهی برای مهاجمان جهت مرتبط کردن فایل‌های رمزگذاری شده با یک قربانی خاص عمل می‌کند.

فراتر از رمزگذاری فایل، Hommy یک یادداشت باج‌خواهی با نام '+README-WARNING+.txt' قرار می‌دهد و تصویر زمینه دسکتاپ را تغییر می‌دهد تا مطمئن شود قربانیان بلافاصله از حمله مطلع می‌شوند.

درک تقاضای باج

یادداشت باج‌خواهی که توسط Hommy استفاده شده، مختصر اما ترسناک است. به قربانیان اطلاع داده می‌شود که فایل‌هایشان رمزگذاری شده و ظاهراً داده‌ها از محیط آلوده به سرقت رفته است. مهاجمان ادعا می‌کنند که پرداخت وجه نه تنها برای دسترسی مجدد به فایل‌های رمزگذاری شده، بلکه برای جلوگیری از انتشار اطلاعات استخراج شده نیز ضروری است.

به قربانیان دستور داده می‌شود که از طریق آدرس ایمیل 'privatehommy@outlook.com' با عوامل تهدید تماس بگیرند و شناسه قربانی اختصاص داده شده به خود را در تمام ارتباطات درج کنند. نکته قابل توجه این است که در این یادداشت، مبلغ باج، روش پرداخت یا هیچ مهلتی مشخص نشده است. چنین جزئیاتی معمولاً تنها پس از برقراری تماس مستقیم با مهاجمان افشا می‌شوند.

نگرانی دیگر، عدم وجود هرگونه مدرکی دال بر وجود قابلیت رمزگشایی کارآمد توسط مهاجمان است. برخلاف برخی از عملیات‌های باج‌افزاری که رمزگشایی یک فایل نمونه کوچک را به عنوان مدرک ارائه می‌دهند، اپراتورهای Hommy چنین تأییدی را در یادداشت خود ارائه نمی‌دهند.

رمزگذاری فایل‌ها و تاکتیک‌های اخاذی داده‌ها

روش حمله‌ای که توسط Hommy به کار گرفته شده است، روندهای گسترده‌تری را که در چشم‌انداز باج‌افزارها مشاهده می‌شود، منعکس می‌کند. این تهدید به جای تکیه صرف بر رمزگذاری فایل، سرقت داده‌ها را در استراتژی اخاذی خود گنجانده است. این رویکرد به طور قابل توجهی فشار بر قربانیان، به ویژه مشاغلی که با اطلاعات حساس مشتری، مالکیت معنوی یا سوابق محرمانه شرکت سروکار دارند، را افزایش می‌دهد.

ترکیب رمزگذاری و سرقت داده‌ها، وضعیت دشواری را برای سازمان‌های آسیب‌دیده ایجاد می‌کند. حتی اگر پشتیبان‌گیری در دسترس باشد و بازیابی عملیاتی امکان‌پذیر باشد، خطر افشای اطلاعات حساس می‌تواند عواقب قانونی، مالی و اعتباری ایجاد کند.

مانند بسیاری از خانواده‌های باج‌افزار، Hommy از مکانیسم‌های رمزگذاری قوی استفاده می‌کند که عموماً مانع از بازیابی فایل‌ها توسط قربانیان بدون دسترسی به ابزارهای رمزگشایی مهاجمان می‌شود. بازیابی بدون دخالت عاملان تهدید معمولاً تنها زمانی امکان‌پذیر است که محققان نقص‌های پیاده‌سازی حیاتی را در خود باج‌افزار کشف کنند، که امری غیرمعمول است.

نحوه‌ی انتشار باج‌افزار Hommy

Hommy در درجه اول با حملات علیه سرویس‌های از راه دور با امنیت ضعیف مرتبط است. مهاجمان اغلب سیستم‌های متصل به اینترنت را که از اعتبارنامه‌های ضعیف استفاده می‌کنند یا فاقد کنترل‌های امنیتی کافی هستند، هدف قرار می‌دهند. سرویس‌های پروتکل دسکتاپ از راه دور (RDP) به ویژه اهداف جذابی هستند، زیرا مهاجمان می‌توانند حملات جستجوی فراگیر (brute-force) را برای دسترسی غیرمجاز به شبکه‌های شرکتی انجام دهند.

پس از دسترسی، مهاجمان ممکن است باج‌افزار را به صورت دستی در سراسر محیط مستقر کنند و با به حداکثر رساندن آسیب، احتمال تلاش برای اخاذی موفقیت‌آمیز را افزایش دهند.

سایر عوامل آلودگی که معمولاً با Hommy و انواع باج‌افزار Makop مرتبط هستند عبارتند از:

• ایمیل‌های فیشینگ حاوی پیوست‌ها یا لینک‌های مخرب
• بدافزار تروجان که بارهای اضافی را دانلود و نصب می‌کند
• به‌روزرسانی‌های جعلی نرم‌افزار که برای فریب کاربران جهت اجرای کد مخرب طراحی شده‌اند
• بسته‌های نرم‌افزاری غیرقانونی و برنامه‌های کرک‌شده که از منابع غیرقابل اعتماد تهیه شده‌اند
• اسناد، اسکریپت‌ها، فایل‌های اجرایی و بایگانی‌های فشرده مخرب مانند فایل‌های ZIP یا RAR

این فایل‌ها ممکن است بی‌ضرر به نظر برسند، اما می‌توانند بلافاصله پس از باز شدن یا اجرا شدن، فرآیند آلودگی را آغاز کنند.

چرا پرداخت باج یک تصمیم پرخطر است؟

متخصصان امنیت سایبری به شدت پرداخت باج را توصیه نمی‌کنند. هیچ تضمینی وجود ندارد که عاملان تهدید پس از دریافت وجه، یک رمزگشای کارآمد ارائه دهند. بسیاری از قربانیان باج‌افزار گزارش داده‌اند که مجرمان پس از پرداخت ناپدید شده‌اند یا ابزارهای بازیابی ناکارآمدی ارائه داده‌اند.

علاوه بر این، پرداخت باج مستقیماً از عملیات مجرمانه پشتیبانی می‌کند و به رشد مداوم کمپین‌های باج‌افزاری کمک می‌کند. سازمان‌هایی که مذاکره با مهاجمان را انتخاب می‌کنند، در صورتی که مجرمان آنها را به عنوان افرادی که مایل به پرداخت هستند، درک کنند، ممکن است به اهداف جذابی در آینده تبدیل شوند.

سازمان‌های آسیب‌دیده به جای تأمین مالی مجرمان سایبری، باید تا حد امکان بر روی رویه‌های پاسخگویی به حوادث، تحقیقات پزشکی قانونی، تلاش‌های مهار و بازیابی از طریق پشتیبان‌گیری‌های سالم تمرکز کنند.

ملاحظات بازیابی و حذف

حذف باج‌افزار Hommy از یک دستگاه آلوده برای جلوگیری از فعالیت‌های رمزگذاری اضافی و نفوذ بیشتر ضروری است. با این حال، حذف بدافزار به تنهایی فایل‌هایی را که قبلاً رمزگذاری شده‌اند، بازیابی نمی‌کند.

قابل اعتمادترین روش بازیابی، بازیابی داده‌ها از نسخه‌های پشتیبان ایجاد شده قبل از وقوع حمله است. نسخه‌های پشتیبان مؤثر باید جدا از سیستم‌های عملیاتی، مانند دستگاه‌های ذخیره‌سازی آفلاین یا سرورهای پشتیبان‌گیری از راه دور امن که باج‌افزار به راحتی به آنها دسترسی ندارد، ذخیره شوند.

سازمان‌هایی که فاقد پشتیبان‌های قابل اعتماد هستند، ممکن است هنگام تلاش برای بازیابی داده‌های رمزگذاری شده با چالش‌های قابل توجهی روبرو شوند. در چنین مواردی، باید با متخصصان واکنش به حوادث مشورت شود تا گزینه‌های بازیابی موجود را ارزیابی کرده و دامنه نقض را تعیین کنند.

تقویت دفاع در برابر باج‌افزار

جلوگیری از آلودگی به باج‌افزار نیازمند یک استراتژی امنیتی لایه‌ای است که اقدامات حفاظتی فنی را با آگاهی کاربر ترکیب کند. سازمان‌ها باید با اعمال سیاست‌های قوی برای رمز عبور، پیاده‌سازی احراز هویت چند عاملی و محدود کردن دسترسی رابط‌های مدیریتی به اینترنت عمومی، ایمن‌سازی سرویس‌های دسترسی از راه دور را در اولویت قرار دهند.

به‌روزرسانی‌های منظم نرم‌افزار نیز به همان اندازه مهم هستند، زیرا مهاجمان اغلب از آسیب‌پذیری‌های شناخته‌شده در سیستم عامل‌ها و برنامه‌های قدیمی سوءاستفاده می‌کنند. راه‌حل‌های جامع حفاظت از نقاط پایانی، ابزارهای نظارت بر شبکه و سیستم‌های تشخیص نفوذ می‌توانند به شناسایی فعالیت‌های مخرب قبل از تبدیل شدن به یک حادثه باج‌افزاری تمام‌عیار کمک کنند.

به همان اندازه، حفظ یک استراتژی پشتیبان‌گیری قوی نیز حیاتی است. پشتیبان‌گیری‌ها باید به طور منظم انجام شوند، از نظر یکپارچگی آزمایش شوند و در مکان‌هایی جدا از سیستم‌های اصلی ذخیره شوند. بدون پشتیبان‌گیری‌های قابل اعتماد، گزینه‌های بازیابی پس از حمله به طور قابل توجهی محدودتر می‌شوند.

آموزش آگاهی‌بخشی امنیتی نیز نقش حیاتی ایفا می‌کند. کارمندان باید آموزش ببینند تا تلاش‌های فیشینگ، پیوست‌های مشکوک، درخواست‌های دانلود غیرمنتظره و سایر تاکتیک‌های مهندسی اجتماعی را که معمولاً توسط مجرمان سایبری استفاده می‌شود، تشخیص دهند. از آنجایی که بسیاری از آلودگی‌های باج‌افزاری با تعامل کاربر آغاز می‌شوند، پرسنل آگاه می‌توانند به عنوان اولین خط دفاعی مؤثر عمل کنند.

ارزیابی نهایی

باج‌افزار Hommy یک تهدید جدی امنیت سایبری است که رمزگذاری فایل، ادعاهای سرقت داده‌ها و تاکتیک‌های اخاذی را که از ویژگی‌های خانواده باج‌افزار Makop است، ترکیب می‌کند. این باج‌افزار با هدف قرار دادن سیستم‌های با محافظت ضعیف و بهره‌برداری از چندین بردار آلودگی، می‌تواند باعث اختلال شدید عملیاتی و خسارت مالی شود.

اگرچه حذف باج‌افزار برای جلوگیری از فعالیت‌های مخرب بیشتر ضروری است، اما بازیابی فایل‌های رمزگذاری شده عموماً به در دسترس بودن پشتیبان‌های امن بستگی دارد. سازمان‌ها می‌توانند با پیاده‌سازی کنترل‌های دسترسی قوی، به‌روزرسانی مداوم سیستم‌ها، استقرار دفاع‌های امنیتی لایه‌ای و آموزش کاربران در مورد تهدیدات سایبری در حال تحول، ریسک خود را به میزان قابل توجهی کاهش دهند. یک وضعیت امنیتی پیشگیرانه همچنان مؤثرترین دفاع در برابر حملات باج‌افزاری مانند Hommy است.