مجرمان سایبری مرتبا به دنبال راه های جدید و خلاقانه برای سرقت اطلاعات هستند. اخیرا باج افزارها شیوع بسیاری پیدا کرده و داده های کاربران را بشدت مورد هجوم قرار داده اند. اگرچه مکانیزم باج افزارها هر روز پیچیده تر می شود، اما لازم به یادآوری است که باج افزارها نیز همواره از قوانینی تبعیت می کنند که انواع بدافزارهای دیگر تبعیت می کنند.
به عبارتی باج افزارها هم همچنان بایستی توسط روش های مختلف انتشار یابند، به سیستم نفوذ کنند و سپس کد مخرب خود را اجرا کنند. این بدان معناست که می توان با اتخاذ رویکردهای پیشگیرانه، باج افزارها را شناسایی و از آن ها جلوگیری کرد.
در این مطلب، 9 مورد از متداول ترین روش های انتشار، نحوه شناسایی و جلوگیری از باج افزارها را با شما در میان خواهیم گذاشت:
1. پیوست ایمیل
باج افزارها معمولاً از طریق ایمیل توزیع می شوند و گیرنده را ترغیب می کنند تا فایل موجود در پیوست را دانلود و باز کند. فایل آلوده را می توان در فرمت های مختلفی از جمله فایل zip ، pdf، docs و غیره ارسال کرد. پس از باز شدن و اجرای فایل موجود در پیوست، کد مخرب به سرعت بارگذاری می شود. در غیر اینصورت، مهاجمان ممکن است تا چندین روز یا حتی چند هفته منتظر بمانند تا فایل آلوده توسط کاربر اجرا شود و اطلاعاتش رمزنگاری گردد.
مهاجمان ممکن است تحقیقات گسترده ای را در مورد هدف خود (اغلب یک شرکت خاص، یا شخص عالی رتبه در یک سازمان) انجام دهند تا ایمیل های معتبر و قابل اعتمادی ایجاد کنند. هرچه ایمیل ارسالی قانونی تر به نظر برسد، احتمال اینکه قربانی آن را باز و اجرا کند بیشتر است.
- تنها پیوست ایمیل هایی را دانلود و اجرا کنید که به فرستنده اش اعتماد دارید.
- صحت آدرس ایمیل فرستنده را بررسی کنید. به یاد داشته باشید که نام ایمیل و همچنین دامنه به راحتی قابل جعل است.
- پیوست هایی که در آن از شما می خواهد ماکروها را فعال کنید، اجرا نکنید و در صورت نیاز با تیم IT مشورت کنید. (ماکروها مجموعه ای از دستور ها و فرآیندهایی که لازم است بصورت مرتب و پیاپی اجرا شوند را پیاده سازی می کنند.)
- جهت کسب اطلاعات بیشتر در مورد نحوه جلوگیری از ایمیل های فیشینگ، این مقاله را بخوانید.
روش های جلوگیری:
2. لینک های آلوده و مخرب
مجرمان سایبری با استفاده از ایمیل و همچنین بستر شبکه های اجتماعی، اقدام به توزیع باج افزارها از طریق قرار دادن لینک های آلوده در متن پیام می کنند. برای تشویق کاربر به باز کردن لینک آلوده، متن پیام ها معمولاً به گونه ای نوشته می شوند که احساس اضطرار و اورژانسی بودن وضعیت را ایجاد کند. در صورت باز کردن لینک آلوده، باج افزار مربوطه دانلود و اطلاعات شما رمزگذاری می شود.
روش های جلوگیری:
- لینک های تعبیه شده در ایمیل و شبکه های اجتماعی را به دقت و با وسواس زیاد بررسی کنید.
- از سرویس CheckShortURL برای بررسی نام کامل URL های کوتاه شده استفاده کنید تا از مبدا آن ها آگاه شوید.
- برای جلوگیری از کلیک کردن روی لینک های فیشینگ، لینک ها را به صورت دستی وارد مرورگر خود کنید.
3. پروتکل ریموت دسکتاپ (RDP)
ریموت دسکتاپ یک پروتکل ارتباطی است که به شما امکان می دهد از طریق شبکه، به دسکتاپ کامپیوتر دیگری متصل شوید. استفاده از این پروتکل برای حملات باج افزاری، بسیار رایج است. برای مثال خانواده های باج افزاری مختلفی از جمله SamSam ،Dharma و GandCrab با استفاده از این پروتکل توزیع شده و گسترش یافتند.بصورت پیش فرض این پروتکل از پورت tcp 3389 استفاده می کند. مجرمان سایبری با استفاده از ابزارهای اسکنر پورت، به دنبال پورت های در دسترس در سطح اینترنت می گردند.
سپس سعی می کنند با سو استفاده از آسیب پذیری های امنیتی موجود، یا استفاده از حملات brute force، به کامپیوتر مورد نظر دسترسی مستقیم پیدا کنند. پس از اتصال مستقیم به سیستم، می توانند کم و بیش هر کاری را که بخواهند انجام دهند.
برای مثال می توانند آنتی ویروس را غیر فعال کنند، نسخه پشتیبان (بکاپ) را حذف کرده و پس از آن فایل های شما را رمزگذاری کنند. همچنین می توانند با استفاده از یک backdoor، امکان دسترسی مجدد به سیستم را در آینده ایجاد کنند.
روش های جلوگیری:
- استفاده از پسوردهای پیچیده و استاندارد
- تغییر پورت پیش فرض پروتکل ریموت دسکتاپ
- غیر فعال کردن ریموت دسکتاپ در مواقع غیر ضروری
- استفاده از سرویس VPN برای ارتباطات از راه دور
- فعالسازی احراز هویت چند مرحله ای برای ارتباطات از راه دور
4. ارائه دهندگان سرویس و نرم افزارهای مدیریت از راه دور (MSPs and RMMs)
مجرمان سایبری، بصورت مکرر ارائه دهندگان سرویس های مدیریت شده (MSP) را با حملات مختلف از جمله فیشینگ مورد هدف قرار می دهند و با هک کردن نرم افزارهای مدیریت از راه دور آن ها، به اطلاعات بسیار مهمی دست پیدا می کنند. یک حمله موفقیت آمیز به طور بالقوه می تواند مجرمان سایبری را قادر سازد تا به تمامی مشتریان MSP دسترسی پیدا کنند و آنها را به انواع بدافزار از جمله باج افزارها آلوده کنند.
در آگوست سال 2019، 22 شهر در ایالت تگزاس از طریق آلوده شدن یک MSP مورد حمله باج افزاری قرار گرفتند. مهاجمان 2.5 میلیون دلار برای رمزگشایی فایل ها درخواست کرده بودند.
روش های جلوگیری:
- قابلیت 2FA را روی حساب های کاربری و نرم افزارهای RMM فعال کنید.
- MSP ها باید در خصوص حملات فیشینگ بیش از حد هوشیار و محتاط باشند.
5. بدافزارهای تبلیغاتی (Malvertising)
بدافزارهای تبلیغاتی در حال تبدیل شدن به یک روش محبوب و در حال رشد برای حملات باج افزاری است. بدافزارهای تبلیغاتی از زیرساخت های تبلیغات قانونی در وب سوء استفاده می کنند. مهاجمان یک فضای تبلیغاتی را خریداری می کنند و از این طریق کیت اکسپلویت خود را توزیع می کنند. این تبلیغ می تواند یک تصویر تحریک کننده، شعار تبلیغاتی وسوسه کننده یا پیشنهادی برای دانلود نرم افزار رایگان باشد.
زمانی که روی تبلیغ کلیک می کنید، کیت اکسپلویت سیستم را اسکن کرده و اطلاعات آن شامل نرم افزار ها، سیستم عامل، جزئیات مرورگر و موارد دیگر را استخراج می کند. پس از یافتن یک آسیب پذیری در سیستم، باج افزار مورد نظر اجرا می شود. خیلی از خانواده های باج افزاری مانند CryptoWall و Sodinokibi از این طریق توزیع شدند.
روش های جلوگیری:
- سیستم عامل، نرم افزارها و مرورگرهای خود را بروز نگه دارید.
- افزونه هایی را که استفاده نمی کنید غیرفعال کنید.
- از افزونه مسدود کننده تبلیغات در مرورگر استفاده کنید. پیشنهاد ما uBlock Origin است.
- تنظیمات مرورگر را به گونه ای انجام دهید که پلاگین های جاوا و فلش بصورت خودکار اجرا نشود.
6. دانلودهای ناخواسته (Drive-by downloads)
drive-by download به هر نوع دانلودی می گویند که بصورت ناخواسته و بدون اطلاع کاربر باشد. مجرمان سایبری معمولا محتوای مخربی را در سایت خود بارگذاری می کنند و یا آن را از طریق آسیب پذیری ها موجود، به یک سایت کاملا معتبر تزریق می کنند.
زمانی که از وب سایت آلوده بازدید می کنید، محتوای مخرب، سیستم شما را برای یافتن آسیب پذیریهای مختلف بررسی می کند و سپس اقدام به اجرای فایل باج افزار در پس زمینه کرده و فایل های شما رمزگذاری می شوند. برخلاف بسیاری از حملات دیگر، این نوع حمله نیازی به دخالت کاربر ندارد. نیاز نیست روی چیزی کلیک کنید، نیاز نیست چیزی نصب و یا حتی اجرا کنید. بازدید از آن سایت آلوده تنها کاری است که از سمت شما انجام می شود.
روش های جلوگیری:
- همواره آخرین بروزرسانی و پَچ های امنیتی نرم افزارها را نصب کنید.
- پلاگین های غیر ضروری مرورگرها را حذف کنید.
- یک افزونه مسدود کننده تبلیغات بر روی مرورگر نصب کنید.
7. انتشار از طریق شبکه
در حالی که خانواده های قدیمی باج افزارها تنها قادر به رمزنگاری سیستم محلی بودند، خانواده های جدیدتر بسیار پیشرفته تر و دارای قابلیت خود تکثیری هستند. این باج افزارها از طریق ارتباطات شبکه به راحتی منتشر می شوند. یک حمله موفق می تواند تمامی سازمان را درگیر کند. برخی از ویران کننده ترین حملات باج افزار در تاریخ که از مکانیسم خود تکثیری استفاده می کردند عبارت بودند از: WannaCry، Petya و SamSam.
روش های جلوگیری:
- شبکه را به زیر شبکه های کوچک تر تقسیم بندی کرده و آن ها را طبق اصول امنیتی طراحی کنید. همچنین حداقل سطح دسترسی را برای کاربران قائل شوید.
- برای بکاپ گیری، یک استراتژی کامل و منظم پیاده سازی کنید.
8. کِرک کردن و نرم افزارهای نا معتبر
برخی از انواع باج افزارها از طریق نصب نرم افزارهای نامعتبر و یا کرک آن ها منتشر می شوند. باج افزارها خود را درون فایل های کرک و یا فایل های نصبی این برنامه ها مخفی می کنند. برای مثال خانواده باج افزار STOP Djvu از این نوع است که ابزار رمزگشای آن برای کلید های آفلاین، توسط متخصصان امسی سافت تولید شده است (دانلود ابزارهای رمزگشای امسی سافت).
علاوه بر این، وبسایت هایی که نرم افزارهای نامعتبر و همچنین کرک توزیع می کنند، بیشتر از همه مستعد داشتن بدافزارهای تبلیغاتی (Malvertising) و حملات Drive-by downloads هستند. استفاده از نرم افزاهای کرکی و غیر قانونی، بصورت غیر مستقیم باعث آلوده شدن به باج افزارها می شود.
به طور معمول، نرم افزارهای غیر قانونی و کرکی، بروزرسانی های رسمی را از منبع معتبر دریافت نمی کنند. این بدین معناست که پَچ های امنیتی مهم را که می تواند مانع نفوذ مجرمان سایبری شود، دریافت نکرده و سیستم را بسیار آسیب پذیر می کند.
روش های جلوگیری:
- کِرک نکنید. علاوه بر غیر قانونی بودن، غیر انسانی هم هست.
- از وبسایت هایی که کرک نرم افزار و برنامه های غیر قانونی منتشر می کنند دوری کنید.
9. حافظه های جانبی
حافظه های جانبی مانند درایوهای USB و سیستم های قابل حمل، یکی دیگر از روش های رایج انتقال باج افزار هستند. اتصال یک دستگاه آلوده می تواند منجر به رمزنگاری فایل های سیستم و گسترش باج افزار در سطح شبکه شود. به طور معمول این کار غیر عمدی است. یکی از کارمندان ناخواسته یک درایو USB آلوده را متصل می کند و منجر به آلوده شدن سیستم و در نهایت تمام سازمان می شود.
روش های جلوگیری:
- هرگز دستگاه ها و حافظه های ناشناخته را به کامپیوتر خود وصل نکنید.
- دستگاه ها و حافظه های جانبی خود را به سیستم های عمومی و مشترک مانند کامپیوترهای موجود در کافی نت ها متصل نکنید.
- شرکت ها بایستی سیاست های سخت گیرانه ای برای دستگاه های شخصی کارمندان (BYOD) در محیط سازمان تعریف کنند.
- از یک آنتی ویروس معتبر و با کیفیت استفاده کنید.
جلوگیری از باج افزارها امکان پذیر است!
باج افزارها به روش های مختلفی منتشر می شوند. برخی از حملات باج افزاری مانند پیوست های ایمیل، URL های آلوده، وبسایت های فیشینگ و حافظه های جانبی متکی به خطای انسانی هستند، در حالی که برخی دیگر مانند بدافزارهای تبلیغاتی، دانلودهای ناخواسته و انتشارهای شبکه، بدون هیچ گونه دخالت کاربر روی می دهند.
صرف نظر از نحوه انتشار باج افزارها، اقدامات زیادی وجود دارد که می توانید برای جلوگیری از باج افزارها انجام دهید. استفاده از یک آنتی ویروس معتبر، پشتیبان گیری منظم و اندکی محتاط بودن در فضای اینترنت، می تواند کمک زیادی به محافظت از اطلاعات شما و ایمن نگه داشتن سیستم در برابر باج افزارها کند.
روز خوب و بدون باج افزاری داشته باشید!
برگرفته از:
How ransomware spreads: 9 most common infection methods and how to stop them
بدون نظر