تهدید باج افزار در سه ماهه سوم ۲۰۲۴، سطح خطر بالا
در سه ماهه سوم سال ۲۰۲۴، تهدید باج افزار و حملات هکرها همچنان در سطح بالایی قرار داشتند و گروه تازه تأسیس RansomHub جایگاه LockBit را به عنوان پرکارترین گروه باجافزار تصاحب کرد. این تحولات نشان میدهد که اکوسیستم باجافزارها به رغم تلاشهای بین المللی برای مقابله با آن، همچنان در حال رشد و تکامل است. به بررسی آخرین تحولات در حوزه باجافزارها، نقش گروههایی مانند RansomHub و LockBit، و همچنین تحلیل دادههای ارائه شده توسط سیمانتک میپردازیم.
افزایش حملات باج افزار در سه ماهه سوم ۲۰۲۴
بر اساس دادههای منتشرشده از سایتهای نشت اطلاعات، گروههای باجافزار در سه ماهه سوم سال ۲۰۲۴ ادعا کردند که ۱,۲۵۵ حمله موفق داشته اند. این رقم در مقایسه با سه ماهه دوم که ۱,۳۲۵ حمله گزارش شده بود، کاهش جزئی داشته است، اما روند کلی نشان دهنده افزایش تعداد حملات در بلندمدت است.
افول LockBit و ظهور RansomHub
یکی از مهمترین تحولات سه ماهه سوم در حوزه تهدید باج افزار، افول گروه LockBit بود که پیش از این به عنوان قدرتمندترین گروه باجافزار شناخته می شد. در سه ماهه دوم، LockBit ادعا کرده بود که ۳۵۳ حمله موفق داشته است، اما این عدد در سه ماهه سوم به ۱۸۸ حمله کاهش یافت. این کاهش احتمالاً ناشی از عملیات بین المللی پلیس در فوریه ۲۰۲۴ است که فعالیتهای این گروه را تحت تأثیر قرار داد. اگرچه LockBit در سه ماهه دوم بهبود نسبی داشت، اما به نظر می رسد اعتماد همکاران این گروه به دلیل افشای اطلاعات شناساییشان توسط مقامات کاهش یافته است.
در مقابل، گروه RansomHub که تنها از فوریه ۲۰۲۴ فعالیت خود را آغاز کرده، به سرعت به جایگاه اول در میان گروههای باج افزار دست یافت. این گروه در سه ماهه سوم ادعا کرد که ۱۹۱ حمله موفق داشته است، در حالی که این عدد در سه ماهه دوم تنها ۷۵ حمله بود. موفقیت RansomHub احتمالاً به دلیل جذب همکاران باتجربه از گروه های رقیب و ارائه شرایط جذابتر در مدل Ransomware-as-a-Service (RaaS) است.
نقش سیمانتک در تحلیل حملات باج افزار
تحلیلهای سیمانتک نشان میدهد که تفاوت قابل توجهی بین آمار تهدید باج افزار ادعاشده توسط گروه های باجافزار و حملات واقعی که توسط این شرکت بررسی شدهاند، وجود دارد. برای مثال، LockBit تنها مسئول ۷٪ از حملات بررسیشده توسط سیمانتک در سه ماهه سوم بود، در حالی که RansomHub مسئول ۳۳٪ از این حملات بود. این دادهها نشان می دهند که RansomHub به طور فعال در حال جذب همکاران باتجربه از گروههای رقیب است و حملات خود را با دقت بیشتری اجرا میکند.
ابزارهای مورد استفاده در حملات باج افزار
حملات باجافزار امروزی بسیار پیچیده هستند و شامل مراحل متعددی می شوند که در آنها از ابزارهای مختلفی استفاده میشود. تحلیل ابزارهای مورد استفاده در این حملات، بینش خوبی در مورد تاکتیکها، تکنیکها و رویههای (TTPs) گروههای باجافزار ارائه میدهد.
۱. ابزارهای Living off the Land
این ابزارها شامل برنامههای کاربردی داخلی ویندوز هستند که توسط مهاجمان برای حرکت جانبی در شبکه ها و اجرای دستورات روی ماشینهای راه دور استفاده میشوند. ابزارهایی مانند PsExec، WMI و PowerShell از جمله پرکاربردترین ابزارها در این دسته هستند.
۲. ابزارهای Impairing Defenses
مهاجمان به طور فزایندهای از تکنیک Bring Your Own Vulnerable Driver (BYOVD) استفاده میکنند. در این تکنیک، یک درایور آسیب پذیر به شبکه هدف منتقل میشود و از آن برای غیرفعال کردن نرمافزارهای امنیتی استفاده میشود. این درایورها دسترسی سطح کرنل دارند و میتوانند فرآیندهای امنیتی را متوقف کنند.
۳. ابزارهای Remote Desktop/Remote Admin
بزارهایی مانند RDP، AnyDesk، Splashtop و ScreenConnect به طور قانونی برای مدیریت از راه دور استفاده می شوند، اما مهاجمان از آنها به عنوان درهای پشتی برای دسترسی به سیستمها استفاده میکنند.
۴. ابزارهای Data Exfiltration
بسیاری از گروههای باجافزار از تاکتیک Double Extortion استفاده میکنند که در آن دادهها قبل از رمزگذاری سرقت میشوند و سپس به عنوان اهرم فشار برای دریافت باج مورد استفاده قرار میگیرند. ابزار Rclone یکی از پرکاربردترین ابزارها برای خروج دادهها است.
اکوسیستم قوی باج افزارها
رشد گروههایی مانند RansomHub و Qilin نشان می دهد که اکوسیستم باجافزارها به رغم تلاشهای بین المللی برای مقابله با آن، همچنان در حال تقویت است. این موضوع باعث میشود که حتی در صورت از بین رفتن یک گروه بزرگ مانند LockBit، سایر گروهها به سرعت جای خالی آن را پر کنند و اکوسیستم باجافزارها همچنان پابرجا بماند.
تأثیر عملیات بین المللی پلیس بر گروههای باج افزار
عملیات بینالمللی پلیس در فوریه ۲۰۲۴ علیه LockBit یکی از مهمترین اقدامات در مقابله با باج افزارها بود. این عملیات منجر به دستگیری چندین عضو کلیدی و افشای اطلاعات مربوط به همکاران این گروه شد. با این حال، به نظر میرسد که این اقدامات نتوانستهاند تأثیر بلندمدتی بر اکوسیستم باجافزارها داشته باشند. گروههای جدید مانند RansomHub به سرعت جای خالی LockBit را پر کردهاند و حتی حملات خود را با دقت بیشتری اجرا می کنند.
راهکارهای پیشنهادی سیمانتک برای مقابله با باج افزارها
سیمانتک به عنوان یکی از پیشگامان در حوزه امنیت سایبری، راهکارهای متعددی را برای مقابله با تهدیدات باجافزار ارائه کرده است. برخی از این راهکارها عبارتند از:
استفاده از راهکارهای امنیتی پیشرفته: نرم افزارهای آنتی ویروس و ضد باجافزار باید به طور مداوم بهروزرسانی شوند تا بتوانند در برابر تهدیدات جدید مقاومت کنند.
آموزش کارکنان: بسیاری از حملات باجافزار از طریق فیشینگ و مهندسی اجتماعی انجام میشوند. آموزش کارکنان برای شناسایی این تهدیدات میتواند خطر حملات را به طور قابل توجهی کاهش دهد.
پشتیبانگیری منظم: داشتن نسخه های پشتیبان از دادهها میتواند در صورت وقوع حمله باجافزار، بازیابی اطلاعات را تسهیل کند.
مانیتورینگ مداوم شبکه: استفاده از ابزارهای مانیتورینگ شبکه میتواند به شناسایی فعالیتهای مشکوک و جلوگیری از حملات باجافزار کمک کند.
مطالعه موردی: یک حمله باجافزار موفق
در سه ماهه سوم سال ۲۰۲۴، یک شرکت بزرگ تولیدی در اروپا هدف حمله باجافزار RansomHub قرار گرفت. مهاجمان ابتدا از طریق یک ایمیل فیشینگ به شبکه شرکت نفوذ کردند و سپس از ابزارهای Living off the Land مانند PowerShell برای حرکت جانبی در شبکه استفاده کردند. در نهایت، دادههای حساس شرکت رمزگذاری شدند و مهاجمان تقاضای باج ۵ میلیون دلاری کردند.
این شرکت با کمک سیمانتک توانست حمله را شناسایی کرده و از گسترش آن جلوگیری کند. با این حال، بخشی از دادهها به دلیل عدم وجود نسخههای پشتیبان بهروز، از دست رفتند. این مطالعه موردی نشان میدهد که حتی شرکتهای بزرگ نیز میتوانند هدف حملات باجافزار قرار بگیرند و اهمیت راهکارهای امنیتی پیشگیرانه را برجسته میکند.
آینده اکوسیستم باج افزارها
با توجه به رشد گروههایی مانند RansomHub و Qilin، به نظر میرسد که اکوسیستم باجافزارها در آینده نزدیک همچنان فعال و پویا باقی بماند. گروههای جدید به سرعت جایگزین گروههای قدیمی می شوند و از تکنیکهای پیشرفته تری برای اجرای حملات خود استفاده میکنند.
پیش بینی میشود که در آینده، حملات باجافزار بیشتر متمرکز بر صنایع حساس مانند بهداشت و درمان، انرژی و زیرساختهای حیاتی خواهند بود. همچنین، استفاده از هوش مصنوعی و یادگیری ماشین توسط گروههای باج افزار میتواند حملات را هدفمندتر و پیچیدهتر کند.
تهدید باج افزارها در سه ماهه سوم سال ۲۰۲۴ همچنان در سطح بالایی قرار داشت و گروه RansomHub به عنوان جدیدترین بازیگر این حوزه، جایگاه LockBit را تصاحب کرد. تحلیلهای سیمانتک نشان میدهد که این گروه به سرعت در حال جذب همکاران باتجربه و افزایش دقت در اجرای حملات خود است. برای مقابله با این تهدیدات، سازمانها باید از راهکارهای امنیتی پیشرفته استفاده کنند و به طور مداوم سیستمهای خود را بهروزرسانی نمایند.
با توجه به افزایش پیچیدگی حملات باج افزار، همکاری بین المللی و استفاده از ابزارهای تحلیلی مانند آنچه سیمانتک ارائه میدهد، نقش کلیدی در کاهش تأثیر این تهدیدات ایفا میکند. سازمانها باید همواره هوشیار باشند و از آخرین تحولات در این حوزه مطلع شوند تا بتوانند از داده ها و سیستمهای خود به طور مؤثر محافظت کنند.