روند‌های جدید حملات باج‌افزار‌ها در سال ۲۰۲۳

روند‌های جدید حملات باج‌افزار‌ها در سال ۲۰۲۳
تاریخ انتشار : ۰۷ تير ۱۴۰۲

کسپرسکی در گزارشی ترند‌های جدید باج‌افزار‌ها در سال ۲۰۲۳ را روایت می‌کند.

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».

امروزه هر اخباری را که نگاه می‌کنیم، به نحوی به باج‌افزار‌ها ارتباط دارد. بی‌شک هکر‌ها و افراد سودجو همیشه در تلاش برای کسب سود از هر سازمان، موسسه بهداشتی و آموزشی، خدمات و شرکت‌های صنعتی هستند. در سال ۲۰۲۲، کسپرسکی (Kaspersky) بیش از ۷۴.۲ میلیون حمله‌ی باج‌افزاری را شناسایی کرد که این رقم ۲۰ درصد بیشتر از سال ۲۰۲۱ (۶۱.۷ میلیون) بود. اگرچه اوایل سال ۲۰۲۳ شاهد کاهش اندک تعداد حملات باج‌افزاری بودیم، اما به جایش هر حمله پیچیده‌تر بود و هدف‌گیری بهتری داشت.

نگاهی به گزارش‌های سال گذشته

سال گذشته، درباره‌ی سه ترند صحبت شد:

  • تلاش تهدیدکنندگان برای توسعه‌ی باج‌افزار کراس پلتفرم و سازگاری بیشتر
  • تکامل یافتن و حتی «صنعتی‌تر» شدن اکوسیستم باج‌افزار‌ها
  • طرف‌گیری باند‌های رانت‌خواری در مناقشه ژئوپلیتیک

جالب است که بدانید این ترند‌ها همچنان هم ادامه دارد. چند ماه پس از انتشار پست باج‌افزار‌های سال گذشته، با خانواده‌ی جدید باج‌افزار‌های چند پلتفرمی هم مواجه شدیم که متاسفانه هدف‌شان لینوکس و ویندوز بود. نامش هم RedAlert/N۱۳V است. این باج‌افزار که تمرکزش روی پلتفرم‌های غیر ویندوز بود، از توقف وی‌ام‌ها (VM) در محیط ESXi پشتیبانی می‌کرد و همین به وضوح نشان می‌داد که هکر‌ها و تهدیدکنندگان به دنبال چه چیزی هستند.

حالا ظاهرا خانواده باج‌افزار دیگری به نام لاک‌بیت (LockBit) پا را فراتر از باج‌افزار‌های نسل قبلی گذاشته است. محققان امنیتی آرشیوی را کشف کردند که حاوی نمونه‌های آزمایشی این بدافزار برای تعدادی از پلتفرم‌هایی از جمله macOS و FreeBSD که خیلی رایج نیستند و همچنین برای ساختار‌های مختلف پردازنده غیراستاندارد مانند MIPS و SPARC بود.

در مورد ترند دوم هم، دیدیم که بلک‌کت (BlackCat) در اواسط سال، تی‌تی‌پی‌های (TTP) خود را تغییر داد. این گروه دامنه‌هایی را تحت نام‌هایی ثبت کرد که شبیه به نام سازمان‌های نقض‌کننده بود و وب سایت‌هایی مثل وبسایت Have I Been Pwned ایجاد می‌کرد. سازمان‌هایی که قربانی این حملات سودجویانه هستند، می‌توانند در این سایت‌ها بررسی کنند و ببینند که آیا نام‌شان در داده‌های به سرقت رفته وجود دارد یا نه.

یک نمونه از این ترند، ایترنیتی (Eternity) است. مقاله‌ای ادعا کرد که این بدافزار در درگیری‌های ژئوپلیتیکی مورد استفاده قرار گرفته است. تحقیقات ما نشان داد که ایترنیتی یک اکوسیستم بدافزاری کامل و حتی یک نوع باج‌افزار دارد. پس از انتشار این مقاله، نویسنده‌اش اول اطمینان حاصل کرد که این بدافزار روی کاربران اوکراین تاثیر نمی‌گذارد و بعد هم یک پیام برای پشتیبانی از اوکراین درون این بدافزار گنجاند.

چه چیز دیگری چشم‌انداز باج‌افزار‌ها را در سال ۲۰۲۲ شکل داد؟

گروه‌های باج‌افزاری هر روزه می‌آیند و می‌روند و خب طبیعتا برخی از آن‌ها سال گذشته با ظهور گروه‌های جدید دیگر، فعالیت خود را متوقف کردند.

فعال‌ترین خانواده‌ی باج‌افزاری که در سال ۲۰۲۲ خیلی به چشم آمد، بلک باستا (BlackBasta) بود. زمانی که ما گزارش اولیه‌ی خود در مورد بلک باستا را در آوریل سال ۲۰۲۲ منتشر کردیم، تنها اسم یک قربانی را می‌دانستیم، اما از همان موقع تعداد این افراد روز به روز در حال افزایش است. حالا در همین حین، خود بدافزار تکامل پیدا کرد و یک مکانیزم خودانتشار مبتنی بر LDAP را به خود اضافه کرد. بعد‌ها با نسخه‌ای از بلک باستا مواجه شدیم که هدفش محیط‌های ESXi شده بود و جدیدترین نسخه‌ای که از آن یافتیم از ساختار x ۶۴ پشتیبانی می‌کرد.

همانطور که پیش‌تر گفتیم، در حالی که یک سری گروه‌های جدید وارد بازی شدند، برخی گروه‌های دیگر مانند ریویل (REvil) و کنتی (Conti) کمرنگ و کمرنگ‌تر شدند. کنتی بدنام‌ترین آن‌ها بود و از زمانی که آرشیوش در فضای مجازی پخش شد و بسیاری از محققان امنیتی آن را تحلیل کردند، توجه همگان را به خود جلب کرد.

در نهایت هم، گروه‌های دیگری مانند کلاپ (Clop) سال گذشته فعالیت‌های خود را بیشتر کردند و در اوایل سال ۲۰۲۳ به اوج رسیدند، چراکه ادعا می‌کردند ۱۳۰ سازمان را با استفاده از یک ضعف خیلی ریز هک کرده‌اند.

جالب است بدانید که پنج گروه برتر باج‌افزار (با توجه به تعداد قربانیان ذکر شده در سایت‌های مختلف) نسبت به سال گذشته تغییرات زیادی کرده‌اند. در حال حاضر ریویل و کنتی که در حملات سایبری H۱، ۲۰۲۲ به ترتیب در رده‌ی دوم و سوم بودند، در حمله‌ی Q۱، ۲۰۲۳ جای خود را به بلک کت و وایس سوسایتی (Vice Society) دادند. الباقی گروه‌های باج‌افزاری که در سال ۲۰۲۳ پنج گروه برتر را تشکیل دادند هم، کلاپ و رویال (Royal) بودند.

تحلیل باج‌افزار‌ها از منظر واکنش به حادثه

تیم واکنش اضطراری جهانی یا همان جی‌ای‌آر‌تی (GERT) سال گذشته روی بسیاری از حوادث باج‌افزاری تحقیق کرد. در واقع، این موضوع بزرگ‌ترین چالش آن‌ها بود (حتی با این که سهم باج‌افزار‌ها در سال ۲۰۲۲ نسبت به سال ۲۰۲۱ کمی کاهش یافت و از ۵۱.۹ درصد به ۳۹.۸ درصد رسید).

اگر بخواهیم دسترسی اولیه را بررسی کنیم، تقریبا نیمی از مواردی که جی‌ای‌آرتی بررسی کرد (۴۲.۹%)، سوءاستفاده از ضعف‌های دستگاه‌ها و برنامه‌های عمومی، مانند روتر‌های پچ نشده و نسخه‌های آسیب‌پذیر برنامه ثبت لاگ و ... بود. دسته دوم پرونده‌ها هم شامل حساب‌های خطرناک و ایمیل‌های مخرب می‌شد.

محبوب‌ترین ابزار‌های گروه‌های باج‌افزاری، هر سال بی‌هیچ تغییری باقی می‌مانند. هکر‌ها برای جمع‌آوری داده‌ها از پاورشل (PowerShell)، برای افزایش امتیازات از میمیکاتز (Mimikatz)، برای اجرای دستور‌ها از راه دور از پی‌اس اکسز (PsExec) یا فریم ورک‌هایی مانند کوبالت اتک (Cobalt Attack) استفاده می‌کنند.

پیش‌بینی‌های ما برای ترند‌های سال ۲۰۲۳

ما با نگاهی به اتفاقات سال ۲۰۲۲ و اوایل سال ۲۰۲۳ و همچنین تحلیل خانواده‌های مختلف باج‌افزارها، سعی کردیم بفهمیم که قرار است چه اتفاق بزرگ دیگری در این حوزه بیفتد. مشاهدات ما به سه ترند احتمالی ختم شد.

ترند اول: قابلیت‌های تعبیه شده‌ی بیشتر

ما قبلا هم دیدیم که چندین گروه باج‌افزاری عملکرد‌های بدافزار خود را در طول سال ۲۰۲۲ گسترش دادند. خودانتشاری، چه واقعی و چه جعلی، قابل توجه‌ترین افزونه‌ی جدید ما بود. همان‌طور که پیش‌تر گفتیم، بلک باستا با استفاده از کتابخانه‌ی LDAP شروع به گسترش خود کرد و توانست لیستی از دستگاه‌های موجود در شبکه را به دست آورد.
لاک‌بیت در سال ۲۰۲۲ ویژگی «خودانتشاری» را به خود اضافه کرد و در تلاش بود تا دیگر نیاز نباشد که اجرای ابزار‌هایی مانند پی‌اس اکسز به صورت دستی روی اپراتور‌ها انجام شود. اما خب این‌ها فقط حرف بود و در عمل مشخص شد که این ویژگی در واقع فقط ویژگی حذف اعتبار بود که در نسخه‌های بعدی حذف شد.

مثلا باج‌افزار پلی (Play)، مکانیزم خودانتشاری دارد. به این شکل که آی‌پی‌های مختلفی که SMB فعال دارند را جمع‌آوری می‌کند، با آن‌ها ارتباط برقرار می‌کند، منابع SMB را نصب می‌کند، سپس خودش را کپی کرده و روی ماشین‌های هدف اجرا می‌شود.
اخیرا بسیاری از گروه‌های باج‌افزاری بدنام، خودانتشاری را بین خود پذیرفته‌اند و همین نشان می‌دهد که این روند حالا حالا‌ها ادامه دارد.

ترند دوم: سواستفاده از درایور

سوءاستفاده از یک درایور (Driver) آسیب‌پذیر برای رسیدن به اهداف مخرب، یک ترفند قدیمی بوده، اما هنوز هم به خوبی روز‌های اول جواب می‌دهد، به خصوص در درایور‌های آنتی ویروس (AV). درایور کرنل Avast Anti Rootkit یک سری ضعف‌های خاصی داشت که قبلا توسط آوس‌لاکر (AvosLocker) مورد سوءاستفاده قرار گرفته بود. در مه سال ۲۰۲۲، سنتینل‌لبز (SentinelLabs) به طور مفصل درباره‌ی دو ضعف جدید درایور (CVE-۲۰۲۲-۲۶۵۲۲ و CVE-۲۰۲۲-۲۶۵۲۳) توضیح داد. این درایو‌ها بعد‌ها توسط خانواده‌های باج‌افزار آوس‌لاکر و کوبا (Cuba) مورد سوءاستفاده قرار گرفتند.
توجه داشته باشید که درایور‌های آنتی ویروس تنها درایور‌هایی نیستند که توسط افراد سودجو مورد سوءاستفاده قرار می‌گیرند. همکاران ما از سوءاستفاده یک باج‌افزار از درایور ضد چیت بازی محبوب گنشین ایمپکت (Genshin Impact) و استفاده از آن برای از بین بردن حفاظت اِندپوینت (دستگاه رایانشی که به صورت ریموت به شبکه متصل شده و با آن ارتباط برقرار می‌کند) در ماشین هدف خبر دادند.

متاسفانه امروزه ترند سوءاستفاده از درایور هم‌چنان در حال تکامل است و ادامه دارد. آخرین مورد گزارش شده کمی عجیب است، چرا که با هیچ یک از دو دسته قبلی هم‌خوانی ندارد. در این مورد گواهی نامه‌های امضای کد قانونی، مثل گواهی‌نامه فاش شده انویدیا (Nvidia) و گواهی‌نامه شرکت مخابرات کویت (Kuwait Telecommunication Company) برای امضای یک درایور مخرب مورد استفاده قرار گرفت و بعد هم در حملات باج‌افزاری علیه سازمان‌های آلبانیایی مورد استفاده قرار گرفت.

ترند سوم: اخذ کد از خانواده‌های باج‌افزاری دیگر برای جذب زیرمجموعه‌های بیشتر

گروه‌های باج‌افزاری بزرگ همیشه در حال قرض گرفتن قابلیت‌های کد‌های فاش شده یا کد‌های خریداری شده از دیگر مجرمان سایبری هستند تا بتوانند به نحوی عملکرد بدافزار خود را بهبود بخشند.
اخیرا دیدیم که گروه لاک‌بیت حداقل ۲۵ درصد از کد‌های فاش شده‌ی کنتی را پذیرفته و براساس آن نسخه جدیدی منتشر کرده است. ابتکاراتی مانند این، باعث می‌شود تا زیرمجموعه‌ها بتوانند با کد‌های آشنا کار کنند، آن هم در حالی که اپراتور‌های بدافزار برای افزایش قابلیت‌های حمله تهاجمی خود، فرصتی به دست می‌آورند.

همکاری میان باند‌های باج‌افزار نیز باعث شده تا حملات روز به روز پیشرفته‌تر شود. گروه‌ها در حال همکاری با یک‌دیگر و توسعه استراتژی‌های پیشرفته برای دور زدن تدابیر امنیتی و بهبود حملات خود هستند.
این روند به کسب و کار‌های باج‌افزاری که ابزار‌های هک با کیفیت بالا می‌سازند و آن‌ها را به دیگر کسب و کار‌های باج‌افزاری بازار سیاه می‌فروشند، کمک شایانی می‌کند.

سخن پایانی

سال‌هاست که باج‌افزار وجود دارد و به نوعی تبدیل شده به صنعت مجرمان سایبری. تهدیدکنندگان تاکتیک‌ها و روش‌های حمله جدید را آزمایش کرده و از موثرترین روش‌ها هم‌چنان استفاده می‌کنند. در حال حاضر باج‌افزار را دیگر می‌توان یک صنعت بالغ دانست و انتظار داریم که به این زودی‌ها هیچ کشف یا تغییر اساسی‌ای در آن صورت نگیرد.

گروه‌های باج‌افزار با پشتیبانی از پلتفرم‌های بیشتر، به حداکثر رساندن سطح حمله‌ی خود ادامه خواهند داد. با این که در حال حاضر حمله به سرور‌های ESXi و لینوکس امری عادی است، گروه‌های باج‌افزاری برتر در تلاش هستند تا پلتفرم‌های بیشتری را هدف خود قرار دهند. یک مثال خوب از این قضیه، کشف اخیر یک آرشیو با ساخت‌های آزمایشی باج‌افزار لاک‌بیت برای macOS، FreeBSD و ساختار‌های غیرمرسوم سی‌پی‌یو (CPU)، مانند MIPS، SPARC و ... است.

علاوه بر این، تکامل و گسترش حملات سایبری‌ای که هکر‌ها در عملیات‌های خود از آن‌ها استفاده می‌کنند، ادامه دارد و همان تکنیک سوءاستفاده از درایور که پیش‌تر به آن پرداختیم، مثال خوبی از این موضوع است. برای مقابله‌ی موثر با تاکتیک‌های همیشه در حال تغییر فعالان باج‌افزار، به سازمان‌ها و متخصصان امنیتی توصیه می‌کنیم تا:

  • نرم‌افزار خود را به موقع به‌روزرسانی کنند تا از هرگونه سوءاستفاده از ضعف‌ها توسط فعالان باج‌افزار جلوگیری شود.
  • از راه‌حل‌های امنیتی‌ای که برای محافظت از زیرساخت‌ها در برابر تهدیدات مختلف، از جمله ابزار‌های ضد باج‌افزار، حفاظت از حملات هدف‌مند، ای‌دی‌آر (EDR) و ... مناسب هستند، استفاده شود.
  • با استفاده از سرویس Threat Intelligence که منبعی جامع از ترفند‌های جدید مجرمان سایبری است، دانش خود را درباره‌ی امنیت اطلاعات و تاکتیک‌ها و تکنیک‌های باج‌افزار به‌روز نگه دارید.