تغییر در رفتار سرقت داده‌ کسب‌و‌کارها

گروه دانش و فن|

افزایش تعداد افرادی که از خانه کار می‌کنند نسبت به گذشته، مشاغل بیشتری را در معرض خطر باج‌افزاری قرار داده است. شکاف در امنیت شبکه، سایه فناوری اطلاعات و تکیه بیشتر به ارتباطات از راه دور، گزینه‌های زیادی را برای بهره‌برداری مجرمان سایبری فراهم می‌کند. هر وقت باج‌افزار از چرخه خبر خارج می‌شود‌، این شبهه پدید می‌آید که آیا مجرمان سایبری به سمت فعالیت‌های دیگر و شاید پرسودتر رفته‌اند.

 این در حالی است که وضعیت حملات باج‌افزاری برای مهاجمان، نه تنها خوب است، بلکه آنها هر روز در حال تحول نیز هستند. به گزارش «تعادل» از وب‌سایت هلپ‌نت‌سکیوریتی، تا حدود پنج سال پیش‌، هدف مجرمان این بود که فایل‌های یک قربانی را رمزگذاری کنند و از آنها بخواهند برای آزادی این فایل‌ها، مبلغی را بپردازند. این حملات معمولا بی‌سروصدا، با میزان موفقیت پایین و نیاز به دانش و شناسایی عمیق بود. 

مجرمان سایبری یک ایمیل به همراه یک لینک مخرب ارسال می‌کردند و امیدوار بودند که کارمندی در یک شرکت یا سازمان، ایمیل را برای آلوده کردن سیستم خود باز کند. آن زمان، تقریبا هرکسی می‌توانست از یک سرویس پرداخت برای بازی‌های آنلاین برای انجام این حملات استفاده کند و مهاجمان کیت‌های باج‌افزاری را با قیمتی معادل 1000 دلار به‌صورت آنلاین می‌فروختند. اما هرچه دفاع سایبری پیچیده‌تر شد، مهاجمان و روش‌های آنها نیز وارد فازهای پیچیده‌تری شد. 

 در سال‌های گذشته ما شاهد ظهور باج‌افزارهای واناکرای و نات‌پتیا بودیم که از کدهای مخرب پیشرفته استفاده می‌کردند. در حالی که این حملات برای هر شغل و تجارتی که به باج‌افزار آلوده می‌شد، ویران‌کننده بود‌، هنوز هم این اطمینان وجود نداشت که قربانی باج را پرداخت می‌کند یا خیر. برای مثال، اگرچه شرکت مایرسک با آلوده شدن به باج‌افزار نات‌پتیا، متحمل ضرری 300 میلیون دلاری شد، اما یک پنی هم تحت ‌عنوان باج به مهاجمان پرداخت نکرد. علاوه بر این، با وجود بیش از 200 هزار دستگاهی که به باج‌افزار واناکرای آلوده شدند، طبق گزارش‌ها، مهاجمان تنها 389 هزار و 905 دلار و آن هم بر اساس ارزش بیت‌کوین دسامبر 2019 به جیب زدند. 

مجرمان سایبری برای اطمینان از اینکه تلاش‌هایشان شانس بیشتری برای کسب میزان قابل توجهی پول برایشان به ارمغان می‌آورد، باز هم در حال تغییر تاکتیک‌های خود هستند و برای این کار، روی حملات باج‌افزاری که اصطلاحا «بازی‌بزرگ» نامیده می‌شود، متمرکز شده‌اند.

    ظهور باج‌افزار بازی بزرگ

برخلاف باج‌افزارهای اولیه، حملات باج‌‌افزار بازی‌بزرگ به‌خوبی برنامه‌ریزی شده‌‌اند، هدفمند هستند و شانس بیشتری ازجهت کسب درآمد برای مجرمان دارند.

 این تکنیک‌ها محتاط‌تر و بی‌سروصداتر عمل می‌کنند: بازیگران مهاجم بی‌صدا دسترسی سطح بالایی به سیستم پیدا می‌کنند که به آنها امکان می‌دهد به هر کجا که دوست دارند بروند و هر کاری که دوست دارند روی سیستم انجام دهند. آنها می‌توانند در مرحله بعدی اطلاعات را به سرقت برده و آن را به بالاترین پیشنهاددهنده بفروشند، در حالی که همان زمان بذر حمله باج‌افزاری را نیز می‌ریزند. به این ترتیب، پس از فعال کردن باج‌افزار، اگر شرکت مبلغ باج را هم پرداخت نکند، مهاجم همچنان می‌تواند با فروش داده‌هایی که به دست آورده، سود خود را 

به دست آورد. 

برخی از این مهاجمان هم ممکن است به‌حدی بی‌پروا باشند که بدون در نظر گرفتن اهمیت اطلاعات برای آن شرکت یا سازمان، اطلاعات را بفروشند یا آنها را به‌سادگی در وب تاریک منتشر کنند. در حال حاضر بسیاری از حملات جدید باج‌افزاری وجود دارد که داده‌ها را قبل از رمزگذاری آنها سرقت می‌کند، مانندMaze، Snatch، Zeppelin و REvil و اخیرا باند پشت حملات باج‌افزاری REvil، در حالی که قربانی تمایلی به پرداخت باج مورد نظر نشان نداده بود، داده‌های سرقت‌شده را به حراج گذاشت.

    اقداماتی برای کاهش و بهبودی 

در برابر باج‌افزارها

برای مقابله با تمامی باج‌افزار‌ها و به‌ویژه باج افزار بازی‌بزرگ، پیشگیری موثرتر از درمان است. اول اینکه مشاغل باید دقیقا بدانند که داده‌های حساسشان کجا نگهداری می‌شود و دسترسی به این داده‌ها را فقط برای کسانی که لازم است، محدود کنند. با استفاده از رویکردهای حداقلی ممکن، این اطمینان حاصل می‌شود که اگر مجرمان سایبری موفق به دسترسی به شبکه شوند، دامنه فعالیت آنها برای حرکات جانبی محدود خواهد بود. شرکت‌ها همچنین باید برنامه‌های احتمالی را در صورتی که مورد حملات باج‌افزاری قرار بگیرند هم در نظر داشته باشند. این اقدامات شامل اینکه کارمندان پس از حمله باج‌افزاری باید چطور به کار خود ادامه دهند، استقرار تیم‌های امنیتی برای جلوگیری از آسیب بیشتر حملات باج‌افزاری و حذف آنها از سیستم می‌شود. همچنین پشتیبان‌گیری برای هر برنامه احتمالی مهم است. برای اطمینان از بازیابی پرونده‌ها، کسب‌وکارها باید ردیابی فعالیت سیستم‌های فایلی خود را در نظر بگیرند، تا بدانند که این حمله باج‌‌افزاری چه زمان رمزگذاری شده است. در این شرایط، بازیابی پرونده‌های رمزگذاری‌شده، نسبتا آسان‌تر است. اتوماسیون نیز اینجا اهمیت زیادی دارد، از‌ آنجایی که تلاش این است که پس از آلوده شدن یک کسب‌وکار و سازمان به حمله باج‌افزاری، باج‌افزار کمتر گسترش یابد و فایل‌ها را رمزگذاری کند. بنابراین دسترسی به داده‌های حساس را با افزایش کنترل‌ روی داده‌ها کاهش داده و فرآیندی را در دستور کار خود قرار دهید تا هرگونه فعالیت غیرمعمول را به‌طور خودکار کشف کرده و حساب‌های آلوده‌شده را در سریعترین زمان ممکن خاموش کنید تا بدین‌ترتیب آسیب وارده، محدود شود. در حالی که یک کسب‌وکار، فعالیت فایل‌های خود را ردگیری می‌کند باید بر فهرست فعالیت‌ها خصوصا مواردی که داده‌های حساس در آنها ذخیره شده، نظارت داشته باشد و آنها را تحلیل کنید. اتوماسیون می‌تواند این اطمینان را ایجاد کند که این اتفاق به‌طور دقیق و به‌موقع رخ می‌دهد و تیم امنیتی را نسبت به هرگونه ناهنجاری که نشان‌دهنده حمله است، آگاه کند. کسب‌وکارها باید این آمادگی را داشته باشند که ممکن است در بعضی از موارد، به عنوان هدف یک حمله باج‌افزاری قرار گیرند و بر این اساس باید خود را آماده کنند. در غیر این صورت، دستیابی به رمزگشایی فایل‌هایشان می‌تواند هزینه‌های زیادی برایشان داشته باشد.