تحقیقات جدید سیمانتک نشان میدهد که سازمانها با سطح بیسابقهای از خطر ناشی از حملات هدفمند باجافزار مواجه هستند، زیرا تعداد نفوذگران در کنار افزایش پیچیدگی در تاکتیکها افزایش مییابد.
در چند سال گذشته، باج افزار هدفمند یکی از اصلی ترین خطرات سایبری برای مشاغل و سایر سازمان های بزرگ بوده است. با این حال، همانطور که در مقاله سفید جدیدی از تیم Symantec Threat Hunter، بخشی از نرمافزار Broadcom ذکر شده است، در دوازده ماه گذشته مهاجمان باجافزار تهاجمیتر شدهاند، راههای بیشتری برای افزایش دامنه حملات خود پیدا کردهاند و با نصب بلندپروازانهتر شدهاند. تعدادی از حملات جسورانه و بسیار مخرب!
حمله به خط لوله استعماری در ایالات متحده در ماه مه 2021 باعث اختلال قابل توجهی شد و باعث نگرانی در مورد عرضه سوخت این کشور شد. در همان ماه، حمله به وزارت بهداشت ایرلند، اداره خدمات بهداشتی، آن را مجبور کرد هزاران قرار ملاقات را لغو کند و عملیات بهبودی را آغاز کند که اکنون به پایان رسیده است.
در حالی که سطح کلی فعالیت باجافزار کاهش یافته است، این امر به دلیل کاهش پستهای انبوه و حملات بیرویه باجافزار است. نگرانی بیشتر این است که تعداد سازمانهایی که تحت تأثیر حملات هدفمند باجافزار قرار گرفتهاند، 83 درصد در 18 ماه گذشته افزایش یافته است، از 81 در ژانویه 2020 به 148 در ژوئن 2021.
تعداد واقعی حملات هدفمند باج افزار بسیار بیشتر است. حملات تایید شده از خانوادههای باجافزار هدفمند شناخته شده احتمالاً تنها نمونهای از تعداد کلی حملاتی است که این تهدیدات را شامل میشود. بسیاری از حملات باجافزار هدفمند قبل از استقرار محموله متوقف میشوند، به این معنی که ممکن است به عنوان باجافزار شناسایی نشوند. علاوه بر این، اکثر اپراتورهای باج افزار هدفمند، باج افزار خود را برای هر حمله جدید دوباره کامپایل می کنند. این بدان معنی است که نوع باج افزار مورد استفاده در یک حمله ممکن است توسط تشخیص های عمومی یا ایجاد شده توسط یادگیری ماشینی مسدود شود تا شناسایی مرتبط با آن خانواده باج افزار!
در کنار این افزایش در سطوح فعالیت، چشم انداز تهدید باج افزار پیچیده تر و پیچیده تر شده است و تعدادی از پیشرفت های جدید تهدید را برای سازمان ها تشدید کرده است.
ظهور باج افزار به عنوان یک سرویس RaaS
اگرچه باجافزار بهعنوان سرویس (RaaS) مفهوم جدیدی نیست، بازار RaaS در طول سال گذشته بهطور قابل توجهی تکامل یافته است. الگوی اصلی در حال حاضر شامل نویسندگان باجافزار است که دسترسی به خود باجافزار، میزبانی برای دادههای نقضشده و مدیریت مذاکرات باجافزار را ارائه میدهند. در برخی موارد، گزارش شده است که توسعه دهندگان باج افزار یک کتاب بازی کامل را برای شرکت های وابسته ارائه می دهند.
با این حال، اکنون به نظر می رسد که برخی از شرکت های وابسته به باج افزار کمتر به نویسندگان باج افزار وابسته هستند. در حالی که مدتها مشخص بود که شرکتهای وابسته در صورت بسته شدن توسعهدهنده باجافزار به دیگر توسعهدهندگان باجافزار مهاجرت میکنند، بسیاری از آنها اکنون از ابزارها، تاکتیکها و رویههای متمایز خود (TTP) استفاده میکنند. اکنون به نظر می رسد برخی از شرکت های وابسته به طور همزمان با بیش از یک نویسنده باج افزار همکاری می کنند. تیم شکارچی تهدید Symantec، شرکتهای وابسته را مشاهده کرده است که از دو نوع مختلف باجافزار در مدت زمان بسیار کوتاه و در برخی موارد در طول یک حمله استفاده میکنند.
همکاری سیمانتک با بات نت
در برخی موارد، مهاجمان باجافزار از قبل باتنتها را کنترل میکنند، مانند گروه ماینر (معروف به Wizard Spider)، که مالک باتنت Trickbot است. Trickbot به عنوان پیشرو حملات Ryuk دیده می شود که به ماینر نیز نسبت داده می شود. به طور مشابه، Hispid (معروف به Evil Corp) از بات نت Dridex خود استفاده کرده است که در ابتدا برای انجام حملات مالی ساخته شده بود تا ابزاری برای تحویل باج افزار به سازمان ها در اختیار آنها قرار دهد.
دیگر بازیگران از آن زمان تلاش کرده اند تا این الگوی حمله را تکرار کنند و به دنبال همکاری با اپراتورهای بات نت هستند. قابل توجه ترین آنها استفاده از IcedID توسط حداقل یکی از اپراتورهای وابسته باج افزار Conti است.
تهدیدات بی سابقه سیمانتک Symantec
انبوه گروههایی که حملات باجافزار هدفمند را همراه با تکامل بازار RaaS انجام میدهند، اکنون به این معنی است که باجافزار هدفمند تهدیدی جدی برای سازمانها محسوب میشود. اگرچه باجافزارهای باجافزاری در ماههای اخیر توجه دولت و مجری قانون قابل توجهی را به خود جلب کردهاند، پرداختهای چند میلیون دلاری باج به این معناست که اکثر عوامل تهدید همچنان ناامید هستند.