اجرای باج‌افزار (Makop)

محافظت از محیط‌های دیجیتال در برابر بدافزارها به یک مسئولیت حیاتی برای افراد و سازمان‌ها تبدیل شده است. عملیات باج‌افزارهای مدرن دیگر مزاحمت‌های فرصت‌طلبانه نیستند؛ بلکه حملات چند مرحله‌ای و حساب‌شده‌ای هستند که برای رمزگذاری، اخاذی و افشای عمومی اطلاعات حساس طراحی شده‌اند. یکی از این تهدیدهای پیچیده که در حال حاضر توسط محققان امنیتی ردیابی می‌شود، Run Ransomware است، گونه‌ای مخرب که تاکتیک‌های در حال تکامل گروه‌های مجرمان سایبری معاصر را نشان می‌دهد.

اجرای باج‌افزار: گونه‌ای از خانواده‌ی Makop

تحلیلگران امنیتی، باج‌افزار Run را به عنوان عضوی از خانواده باج‌افزار Makop شناسایی کرده‌اند، گروهی شناخته‌شده از بدافزارهای رمزگذاری فایل که با تکنیک‌های اخاذی تهاجمی مرتبط هستند. این تهدید در جریان تحقیقات گسترده‌تر در مورد کمپین‌های باج‌افزاری فعال و نوظهور کشف شد.

پس از اجرا، Run Ransomware یک فرآیند رمزگذاری سیستماتیک را آغاز می‌کند که فایل‌های کاربر را در سراسر سیستم آلوده هدف قرار می‌دهد. پس از رمزگذاری داده‌ها، نام فایل‌ها را با افزودن سه عنصر مجزا تغییر می‌دهد: یک شناسه منحصر به فرد قربانی، یک آدرس ایمیل تماس و پسوند '.run'. به عنوان مثال، فایلی مانند '1.png' به '1.png.[2AF20FA3].[runandpay@outlook.com].run' تبدیل می‌شود. این ساختار تغییر نام هم به عنوان نشانگر نفوذ و هم به عنوان یک تاکتیک فشار روانی عمل می‌کند و باعث می‌شود آلودگی بلافاصله قابل مشاهده باشد.

علاوه بر رمزگذاری فایل، این باج‌افزار تصویر زمینه سیستم را تغییر می‌دهد تا پیام حمله را تقویت کند و یک یادداشت باج‌خواهی با عنوان «+README-WARNING+.txt» قرار می‌دهد. این اقدامات به گونه‌ای طراحی شده‌اند که اطمینان حاصل شود قربانی نمی‌تواند نفوذ را نادیده بگیرد.

تاکتیک‌های اخاذی و فشار روانی

یادداشت باج‌خواهی پیامی واضح و اجباری ارائه می‌دهد. در این پیام ادعا می‌شود که کامپیوتر قربانی قفل شده، فایل‌ها رمزگذاری شده‌اند و داده‌های حساس به سرقت رفته‌اند. این ترکیب رمزگذاری و استخراج داده‌ها، نشان‌دهنده یک استراتژی اخاذی دوگانه است، تکنیکی که به طور فزاینده‌ای توسط اپراتورهای باج‌افزار مدرن مورد استفاده قرار می‌گیرد.

به قربانیان دستور داده می‌شود که از طریق آدرس ایمیل ارائه شده، 'runandpay@outlook.com'، با مهاجمان تماس بگیرند و شناسه منحصر به فرد خود را ذکر کنند. این یادداشت با ارائه پیشنهاد باج کمتر در صورت وقوع ارتباط در ۲۴ ساعت اول، بر فوریت موضوع تأکید می‌کند. همچنین تهدید می‌کند که عدم رعایت این موضوع منجر به انتشار عمومی فایل‌های سرقت شده خواهد شد. علاوه بر این، هشدار می‌دهد که در صورت امتناع قربانی از پرداخت، ابزار رمزگشایی حذف خواهد شد و این امر خطر از دست دادن دائمی داده‌ها را افزایش می‌دهد.

در واقع، پرداخت باج، بازیابی فایل‌ها را تضمین نمی‌کند. بسیاری از قربانیان یا ابزارهای رمزگشایی غیرفعال دریافت می‌کنند یا پس از پرداخت، نادیده گرفته می‌شوند. بدون دسترسی به کلیدهای رمزگشایی خصوصی مهاجمان، بازیابی فایل‌های رمزگذاری شده معمولاً غیرممکن است، مگر اینکه پشتیبان‌های قابل اعتمادی در دسترس باشد.

ناقلین عفونت و روش‌های توزیع

باج‌افزار Run از کانال‌های توزیع رایج اما بسیار مؤثری که در سراسر حوزه باج‌افزار استفاده می‌شوند، پیروی می‌کند. آلودگی عموماً پس از تعامل با محتوای مخرب یا فریبنده رخ می‌دهد. عاملان تهدید اغلب بارهای داده را در فایل‌هایی که قانونی یا روتین به نظر می‌رسند، پنهان می‌کنند.

مسیرهای عفونت رایج عبارتند از:

• ایمیل‌های فیشینگ حاوی پیوست‌ها یا لینک‌های مخرب
• پیام‌های پشتیبانی فنی جعلی و کلاهبرداری‌های مهندسی اجتماعی
• نرم‌افزارهای غیرقانونی، کرک‌ها و تولیدکننده‌های کلید
• وب‌سایت‌های آلوده یا کلاهبردار
• شبکه‌های اشتراک‌گذاری فایل نظیر به نظیر
• تبلیغات مخرب و کیت‌های بهره‌برداری
• درایوهای USB آلوده
• سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری اصلاح‌نشده

فایل‌های مخرب ممکن است خود را به صورت برنامه‌های اجرایی، اسکریپت‌ها، بایگانی‌های فشرده (ZIP یا RAR) یا قالب‌های رایج اسناد مانند فایل‌های Word، Excel و PDF نشان دهند. نرم‌افزارهای قدیمی به طور قابل توجهی میزان مواجهه را افزایش می‌دهند، زیرا عاملان تهدید اغلب از آسیب‌پذیری‌های شناخته شده برای دستیابی اولیه به اطلاعات سوءاستفاده می‌کنند.

اهمیت حذف فوری

باج‌افزار پس از ورود به سیستم، باید در اسرع وقت حذف شود. در صورت فعال ماندن، ممکن است به رمزگذاری فایل‌های تازه ایجاد شده یا متصل، از جمله فایل‌هایی که در درایوهای شبکه نگاشت شده یا فضای ذخیره‌سازی مشترک قرار دارند، ادامه دهد. در محیط‌های سازمانی، این امر می‌تواند یک نقطه پایانی به خطر افتاده را به یک حادثه گسترده در شبکه تبدیل کند.

جداسازی به موقع دستگاه آلوده از شبکه می‌تواند از حرکات جانبی جلوگیری کند. با این حال، حذف به تنهایی فایل‌های آسیب‌دیده را رمزگشایی نمی‌کند؛ بلکه فقط فعالیت‌های مخرب بیشتر را متوقف می‌کند.

تقویت دفاع: اقدامات امنیتی ضروری

دفاع مؤثر در برابر Run Ransomware و تهدیدات مشابه نیاز به یک استراتژی امنیتی لایه‌ای دارد. در حالی که هیچ سیستمی کاملاً مصون نیست، بهترین شیوه‌های زیر به طور قابل توجهی میزان مواجهه با خطر را کاهش می‌دهند:

• مرتباً از اطلاعات خود نسخه پشتیبان آفلاین یا ابری تهیه کنید و صحت آنها را تأیید کنید.
• سیستم‌عامل‌ها و برنامه‌های کاربردی را با آخرین وصله‌های امنیتی به‌روز نگه دارید.
• از راهکارهای معتبر محافظت از نقاط پایانی با قابلیت تشخیص تهدید در لحظه استفاده کنید.

فراتر از کنترل‌های فنی، آگاهی کاربر همچنان سنگ بنای تاب‌آوری امنیت سایبری است. آموزش افراد برای تشخیص تلاش‌های فیشینگ و دانلودهای مشکوک می‌تواند میزان آلودگی موفق را به طرز چشمگیری کاهش دهد.

ارزیابی نهایی

باج‌افزار Run نمونه‌ای از پیچیدگی رو به رشد عملیات باج‌افزاری مدرن است. این باج‌افزار از طریق رمزگذاری، سرقت داده‌ها و دستکاری روانی، قربانیان را برای تصمیم‌گیری سریع در مورد پرداخت تحت فشار قرار می‌دهد. وابستگی آن به خانواده باج‌افزار Makop، ماهیت ساختاریافته و در حال تکامل این شرکت‌های جنایی را برجسته می‌کند.

بازیابی بدون پشتیبان‌گیری اغلب غیرممکن است و پرداخت باج همچنان یک قمار پرخطر است. قابل اعتمادترین محافظت در دفاع پیشگیرانه نهفته است: استراتژی‌های پشتیبان‌گیری قوی، به‌روزرسانی‌های به‌موقع نرم‌افزار، محافظت قوی از نقاط پایانی و رفتار آگاهانه کاربر. در چشم‌انداز تهدیدهای امروزی، آمادگی اختیاری نیست، بلکه ضروری است.