وضعیت باج‌افزارهای رایانه‌ای در دو سال؛

باج افزارها به چند کاربر اینترنت حمله ور شده اند؟

تاریخ انتشار : ۱۱ شهريور ۱۳۹۵

بررسی وضعیت باج‌افزارهای رایانه‌ای در ۲سال اخیر نشان می دهد که بیشترین کاربرانی که مورد حمله باج‌افزارها قرار گرفتند، کاربران خانگی بوده‌اند و قزاقستان، الجزایر و اوکراین در صدر حملات هستند.

به گزارش گرداب؛ مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (مرکز ماهر) با مروری بر تهدیدات باج‌افزاری طی دو سال گذشته، وضعیت باج‌افزارهای رایانه‌ای و آمار تهدیدات جهانی از این نرم افزارهای مخرب را در سال‌های ۲۰۱۴ تا ۲۰۱۶ میلادی، اعلام کرد.

Ransomware یا باج‌افزار نوعی از نرم افزارهای مخرب (بدافزار) است که به محض اینکه دستگاهی را آلوده کند، مانع دسترسی به آن دستگاه یا اطلاعات ذخیره‌ شده آن می شود. زمانی که یک باج‌افزار وارد سیستم کاربر شود، دیگر شانسی برای باز پس گیری اطلاعات شخصی وجود ندارد. همچنین تقاضای پرداخت باج از طریق پول های مجازی (Bitcoins بیت کوین ) باعث می‌شود تا ردیابی مجرم امکان پذیر نباشد و فرآیند پرداخت مجهول باقی بماند.

یافته های اصلی از باج افزارها در ۲ سال

باج افزارها عمدتا دو نوع از بدافزار شامل باج‌افزارهای از نوع مسدودکننده دسترسی به سیستم عامل و نیز باج‌افزارهایی از نوع رمزگذار را شامل می شوند که امروزه به طور گسترده به جای باج‌افزار رمزگذار، از کلمه مختصر مترادف آن یعنی «باج‌افزار» استفاده می‌شود. اگرچه با توجه به آمارهای منتشرشده تعداد کاربرانی که با مسدودکننده ها مواجه می شوند نیز همچنان بالا است.

بزرگترین تفاوت بین دو نوع باج‌افزار مسدودکننده و رمزگذار آن است که صدمات مسدودکننده کاملا قابل برگشت است. حتی در بدترین حالت، صاحب کامپیوتر آلوده می تواند به سادگی OS را دوباره نصب کند و همه فایل هایشان را برگرداند. ولی باج‌افزارهای رمزگذار مطمئنا بسیار پیچیده تر هستند زیرا در حالت کلی امکان ندارد فایلی بدون کلید رمزگشایی، بازگردانیده شود. معمولا این کلیدها روی سرورهای مجرمان ذخیره می شوند و قربانیان به آن دسترسی ندارند. شدت عواقب ناشی از آلودگی سیستم ها، یکی از دلایلی است که باج‌افزارهای رمزگذار را در بین مجرمان سایبری محبوب کرده است.

پیگیری ها نشان می دهد که در حال حاضر، باج‌افزارها تهدیدی جدی برای کاربران اینترنت محسوب می شوند. براساس این آمارها، تعداد کل کاربرانی که در بازه زمانی آوریل ۲۰۱۵ و مارس ۲۰۱۶ با باج‌افزار مواجه شده اند، ۱۷.۷ درصد نسبت به ۱۲ ماه قبل آن (آوریل ۲۰۱۴ الی مارس ۲۰۱۵) افزایش یافته است. به این معنی که ۲ میلیون و ۳۱۵ هزار و ۹۳۱ کاربر در جهان درگیر باج افزار شده اند. همچنین نسبت کاربرانی که حداقل یکبار با باج‌افزار مواجه شده اند از تعداد کل افرادی که با بدافزار مواجه شده اند، ۰.۷ درصد افزایش یافته است .

در میان کسانی که با باج‌افزار مواجه شده اند، نسبت کسانی که با نوع رمزنگار مواجه شده اند، ۲۶ درصد بیشتر بوده است و از ۶.۶ درصد به ۳۱.۶ درصد تا سال ۲۰۱۶ رسیده است.در همین حال تعداد کاربرانی که با رمزنگارها مورد حمله قرار گرفته اند در این بازه زمانی ۵.۵ برابر افزایش یافته و تعداد کاربرانی که با باج‌افزارهای مسدودکننده دسترسی به سیستم عامل مورد حمله قرار گرفته اند، ۱۳.۳ درصد کاهش یافته است که حدود یک و نیم میلیون نفر را دربر می گیرد.

باج‌افزارها از کجا آمدند

هر چند که در حال حاضر باج‌افزارها به طور گسترده مورد توجه رسانه ها و جامعه امنیتی قرار گرفته اند، ولی در حقیقت نسخه اولیه باج‌افزارها در سال ۱۹۸۹ منتشر شده است (زمانی که اولین بدافزار از تکنیک رمزگذاری فایل ها استفاده کرد). نمونه بعدی بدافزار باج گیر که Gpcode نام داشت، مدت ها پیش در اواسط سال ۲۰۰۰ توسط محققان امنیتی کشف شد. این باج‌افزار با الگوریتم رمزنگاری خود قادر به رمزگذاری فایل ها روی ماشین آلوده بود.

Gpcode با چند نمونه دیگر که از خانواده آن محسوب می شدند (از جمله Cryzip, Krotten و غیره) همراه بود. پس از آن یک نسخه سبکتری از Gpcode ظهور کرد. ظهور چنین برنامه هایی حوادث نسبتا کوچکی را ایجاد می کرد ولی هرگز هیچ فردی آن ها را به عنوان یک اپیدمی تصور نمی کرد. این وضعیت برای سال ها بدون تغییر باقی ماند.

اما اولین اپیدمی حقیقی باج‌افزارها مربوط به سال ۲۰۱۰ میلادی است که ۱۰۰۰ کاربر خانگی در روسیه و برخی کشورهای همسایه آن با cryptic windows مواجه شدند که همه دسکتاپ ویندوز را پوشانده بود و معمولا شامل یک پیام بود که مهاجم از قربانی به منظور باز کردن مرورگر یا صفحه کامپیوتر درخواست باج می کرد.

از لحاظ مقیاس، این مشکل به قدری بزرگ و تعداد قربانیان آن قابل توجه بود که باعث شد مراجع دولتی نیز درگیر شوند و پوشش رسانه ای گسترده چه از طریق تلویزیون و چه از طریق وبلاگ ها در روسیه ایجاد شود.

باج‌افزار رایانه های شخصی: از مسدودکننده ها تا باج‌افزارهای رمزگذار

بررسی صورت گرفته از ارزیابی ظهور باج افزارها طی دو سال اخیر، نشان می دهد که شیوع باج‌افزارها به صورت متناوب بوده و هر چند ماه افزایش و کاهش داشته است؛ البته مدت زمان کاهش آن طولانی نبوده است. به عنوان مثال، در فوریه ۲۰۱۶ هر دو گروه (باج‌افزارها و باج‌افزارهای رمزگذار) سقوط چشمگیر داشته و سپس مجددا افزایش ادامه یافته است.

بررسی روند رفتار باج‌افزارها در حمله به کاربران نیز نشان می دهد که در جولای ۲۰۱۴ میلادی بیش از ۲۷۴ هزار کاربر درگیر باج‌افزارها بوده‌اند. دلیل اصلی برای این افزایش، رواج باج‌افزار مسدودکننده مرورگر Trojan-Ransom.JS.SMSer.pn بود که بیش از ۳۱ درصد از ۲۷۴ هزار کاربر توسط این باج‌افزار مورد حمله قرار گرفتند، در این بازه زمانی، باج‌افزارهای رمزگذار یک دهم (۱۱.۶۳ درصد) از کل افراد را آلوده کردند.

همچنین در آوریل ۲۰۱۵ حدود ۲۸۲.۵ هزار کاربر توسط انواع باج‌افزار مورد حمله قرار گرفتند. این امر ناشی از شیوع باج‌افزارهای مختلف بوده که تنها ۱۰ درصد از آنها از نوع باج‌افزار رمزنگار بوده اند. ماه اکتبر سال ۲۰۱۵ با بیش از ۴۲۸.۴ هزار کاربری که مورد حمله باج‌افزار قرار گرفتند، عنوان بیشترین تعداد کاربر آلوده به باج‌افزار را به خود اختصاص داده است ولی باز هم از میان افراد آسیب دیده ۹.۳۸ درصد از افراد به باج‌افزار رمزگذار آلوده شده بودند.

در ماه مارس ۲۰۱۶ و زمانی که موج دیگری از حملات باج‌افزار صورت گرفت، وضعیت بسیار متفاوت بود. در این ماه بیش از نیمی از افراد (۵۱.۹ درصد) با باج‌افزارهای از نوع رمزگذار مواجه شده بودند. این امر عمدتا ناشی از فعالیت گسترده باج‌افزار TeslaCrypt بود.

گسترش شیوع باج‌افزارهای رمزگذار در ماه های آوریل و می سال ۲۰۱۶ میلادی  (هر چند که فراتر از محدوده این گزارش است) این روند را تایید می کند (در ماه آوریل ۲۰۱۶، ۵۴ درصد از کاربران و در ماه می ۳۵.۷ درصد از کاربران مورد حمله باج‌افزارهای رمزگذار قرار گرفتند).

بازیگران اصلی باج‌افزارهای از نوع رمزگذار

با نگاه به گروه های باج‌افزار فعال در مدت زمان تحت پوشش این گزارش، به نظر می رسد که در این مدت زمان، تعداد نسبتا کمی باج‌افزار رمزگذار عامل این تهدید جهانی بوده اند. در اوایل این بازه زمانی (از آوریل ۲۰۱۴ الی مارس ۲۰۱۵) اکثر باج‌افزارهای از نوع رمزکننده متعلق به گروه هایی از بدافزارهای Shade، Aura، Lortok، Fury، TorrentLocker، CTB-Locker، Mor، Scatter، Crykal، CryptoWall بودند. این باج‌افزارها به ۱۰۱.۵۶۸ کاربر در سراسر دنیا حمله کرده که ۷۷.۴۸ از کلیه کاربران آلوده به انواع باج‌افزار را تشکیل می دهد.

اما در سال بعد، شرایط تغییر کرد و Tesla Crypt، CBT-Locker و Cryakl به تنهایی توانستند ۷۹.۲۱ درصد از آلودگی به باج‌افزارهای رمزگذار را تشکیل دهند.

جالب توجه است که در سال ۲۰۱۶-۲۰۱۵، طبقه‌بندی (Others) به ۲.۴۱ درصد از حملات کاهش یافته در حالی که یک سال قبل از آن ۲۲.۵۵ درصد محاسبه شده بود. این افت می‌تواند نشانه توسعه یافتن زیرساخت مجرمان باشد. به عبارت دیگر، مجرمان به جای آنکه خودشان باج‌افزار را توسعه دهند، بدافزار «آماده برای استفاده» خریداری می‌کنند.

کاربران خانگی هدف بیشترین حملات باج‌افزارها

مروری بر نوع کاربرانی که بیشتر هدف باج‌افزارها قرار گرفته‌اند، نشان می‌دهد که در بازه زمانی مورد مطالعه در گزارش، کاربران خانگی هدف بیشتر حملات باج‌افزار، بوده اند. اپیدمی باج‌افزارهای مسدودکننده در سال ۲۰۱۰ میلادی در مناطق روسیه علت این امر عنوان شده است.

در دوره اول، ۹۳.۲ درصد کاربرانی که با باج‌افزار مواجه شدند، جزء کاربران خانگی بوده اند. در حالی که ۶.۸ درصد افراد باقیمانده، کاربران سازمان‌ها بودند. در دوره دوم با آنکه سهم کاربران سازمان‌ها در حمله با باج‌افزارها دو برابر (۱۳.۱۳ درصد) شد یعنی افزایش ۶ درصدی داشت، ولی همچنان کاربران خانگی بیشتر مورد حمله قرار گرفتند.

در طول ۲۴ ماهی که این گزارش پوشش می‌دهد، سهم کاربران سازمانی که توسط باج‌افزارهای رمزنگار مورد حمله قرار گرفتند، حدود ۲۰ درصد ثابت باقی مانده است . اما این ثبات ظاهری در تعداد واقعی منعکس نشده است. تعداد کاربران سازمانی که با باج‌افزارهای رمزگذار مورد حمله قرار گرفتند، نزدیک به ۶ برابر افزایش یافته است.

۳ کشور، هدف بیشترین حملات باج افزارها

تجزیه و تحلیل مکان جغرافیایی کاربران آلوده نشان می‌دهد که کشورهای قزاقستان، الجزایر و اوکراین به ترتیب دارای بیشترین آمار آلودگی نسبت به «تعداد باج‌افزار» به «تعداد بدافزار» بوده‌اند. نسبت تعداد کاربران آلوده به باج‌افزار به تعداد کاربران آلوده به هر نوع بدافزار می‌تواند معیار نسبتا مناسبی برای بررسی پراکندگی جغرافیایی باشد.

در بازه زمانی سال ۲۰۱۴ تا ۲۰۱۵ ، لیست کشورهای با سهم بالاتر از حملات ناشی از باج‌افزارها در جدول زیر نشان داده شده است.

اما یک سال بعد وضعیت به طور قابل توجهی تغییر کرد و هند از جایگاه هفتم به جایگاه اول جدول با ۹.۶ درصد کاربران آلوده انتقال پیدا کرد. همچنین سهم کاربران روسیه به ۶.۴۱ درصد افزایش یافت و به دنبال آنها کشورهای قزاقستان، ایتالیا، آلمان، ویتنام و الجزایر قرار گرفتند.

از نظر تعداد قربانیان، کشورهای هند و برزیل و روسیه و آلمان در صدر جدول به عنوان بیشترین کاربران قربانی باج‌افزار هستند. همچنین در بازه زمانی سال ۲۰۱۵ تا ۲۰۱۶، قربانیان کشورهای ایالات متحده، ویتنام، الجزایر و اکراین و قزاقستان به طور قابل ملاحظه‌ای کاهش یافتند.

در همین حال ۱۰ کشوری که سهم بالایی از کاربرانی که حمله با باج افزار رمزگذار را به خود اختصاص داده اند در جدول زیر آمده است. این کشورها ۶۴.۱۴ درصد از کل کاربرانی را تشکیل می دهند که با هرگونه باج‌افزاری و ۵۲.۸۳ درصد از آنها با باج‌افزارهای رمزگذار درگیر بوده اند. در سالهای ۲۰۱۵ تا ۲۰۱۶ این مقادیر به ترتیب به ۶۴.۵۷ درصد و ۶۱.۳۲ درصد افزایش یافتند.

در سال ۲۰۱۶ باج‌افزارهای رمزگذار خیلی شایع‌تر شده و سهم چنین حملات در برخی کشورها (مانند ایالات متحده، برزیل، قزاقستان، اوکراین، ویتنام و روسیه) بیش از ۲۰ درصد افزایش یافته است و در برخی از کشورها مانند آلمان و ایتالیا باج‌افزارهای رمزگذار پیشتاز بوده اند.

مرکز ماهر با تاکید براینکه اگرچه در برخی از کشورها تعداد کاربران مورد حمله با انواع مختلف باج‌افزار کاهش یافته ولی هیچ کشوری وجود ندارد که سهم کاربران مورد حمله با باج‌افزار رمزگذار آن کاهش داشته باشد، اعلام کرد: برخی کشورها مانند آلمان، برزیل، اوکراین، قزاقستان و ایتالیا نرخ رشد بسیار بالایی در این حملات دارند و در نتیجه باید همه کاربران به ویژه این کشورها در استفاده از شبکه جهانی اینترنت محتاط عمل کنند.