گزارش Kaspersky روندهای جدید باج افزار را برای سال 2022 شناسایی می کند

باج‌افزار احتمالاً نوعی از جنایات سایبری است که در سال 2021 بیشترین خبرها را به خود اختصاص داده است و به نظر می‌رسد سال 2022 نیز از این روند پیروی می‌کند. با این حال هنوز در حال تکامل است و باج افزار جدید سازگارتر، انعطاف پذیرتر و صنعتی تر به نظر می رسد.

با توجه به کسپرسکی در جدید گزارش، مجرمان سایبری به استفاده از باج افزار برای تهدید خرده فروشان و شرکت های سراسر کشور ادامه می دهند، زیرا انواع بدافزارهای قدیمی در حالی که بدافزارهای جدید توسعه می یابند باز می گردند.

تجزیه و تحلیل دقیق تکنولوژیکی و ژئوپلیتیکی از اواخر سال 2021 و 2022، کسپرسکی را به فهرستی از چند روند جدید در باج افزار می آورد.

باج افزار سعی می کند تا حد امکان سازگار باشد

شکار بازی بزرگ

در شکار بازی بزرگ مدل (BGH) آن را به گونه‌ای ساخته است که عوامل تهدید باج‌افزار به محیط‌های پیچیده‌تر نفوذ می‌کنند. در نتیجه، این عوامل تهدید باید با انواع سخت افزارها و سیستم عامل های بسیار متفاوت سر و کار داشته باشند، و بنابراین باید بتوانند کد مخرب خود را روی ترکیب های مختلف معماری و سیستم عامل اجرا کنند.

برای دستیابی به این هدف، برخی از توسعه دهندگان باج افزار تصمیم گرفتند کد خود را در زبان های برنامه نویسی چند پلتفرمی مانند Rust یا Golang بنویسند. در یک حاشیه جالب، کسپرسکی اشاره می کند که تجزیه و تحلیل چنین کدهای بین پلتفرمی برای مدافعان دشوارتر از کدهای نوشته شده در زبان برنامه نویسی C ساده است.

ادامه

ادامه وابستگان عامل تهدید از نسخه های مختلف باج افزار استفاده می کنند. چند شرکت وابسته به Conti به گونه‌ای از بدافزار دسترسی دارند ضربه زدن سیستم های ESXi با نوع لینوکس.

گربه سیاه

گربه سیاه باج افزار به زبان Rust نوشته شده است که کامپایل آن را در پلتفرم های مختلف آسان تر می کند. به گفته کسپرسکی، زمان زیادی از ظهور نسخه ویندوزی BlackCat نگذشته بود که نسخه لینوکس آن ظاهر شد. نسخه لینوکس بسیار شبیه به نسخه ویندوز است، با تغییرات جزئی برای انطباق با لینوکس: اجرای دستور با استفاده از cmd.exe در ویندوز با معادل لینوکس جایگزین شده است. همچنین نسخه لینوکس قابلیت خاموش کردن دستگاه و حذف ماشین های مجازی (VM) ESXi را دارد.

DeadBolt

DeadBolt به عنوان مثال دیگری می آید. این باج‌افزار به‌عنوان ترکیبی جالب از Bash، HTML و Golang نوشته شده است، و آن را قادر می‌سازد از قابلیت‌های چند پلتفرمی استفاده کند، اگرچه فقط لوازم QNAP و ASUSTOR NAS را هدف قرار می‌دهد.

دیدن: نقض رمز عبور: چرا فرهنگ پاپ و رمزهای عبور با هم ترکیب نمی شوند (PDF رایگان) (TechRepublic)

اکوسیستم باج‌افزار «صنعتی‌تر» می‌شود

بازیگران تهدید باج‌افزار، درست مانند هر شرکت نرم‌افزاری، دائماً در تلاش هستند تا همه چیز را برای خود و مشتریان/وابسته‌هایشان سریع‌تر و آسان‌تر کنند.

Lockbit باج‌افزار به‌عنوان یک سرویس (RaaS) بسیار موفق بوده است که در طول سال‌ها تکامل ثابتی را نشان داده است (شکل A). با شروع از سال 2019، به سرعت تکامل یافت و در سال 2020 از شرکت های وابسته استقبال کرد و یک پورتال نشت، طرح اخاذی مضاعف و استخراج داده ها قبل از رمزگذاری داده ها را توسعه داد. جدای از توسعه مداوم در عملکردها و سهولت استفاده، زیرساخت نیز با گذشت زمان بهبود یافته است تا در برابر حملات و تلاش های DDoS علیه آنها مقاوم تر شود.

شکل A

ابزار استخراج StealBIT نیز نمونه بارز این مرحله صنعتی سازی است. در حالی که در ابتدا مجرمان سایبری تنها از ابزارهای در دسترس عموم برای استخراج داده ها استفاده می کردند، آنها ابزار خود را برای شناسایی کمتر و همچنین برای بهبود بسیار زیاد نرخ انتقال داده توسعه دادند. همچنین، این ابزار فقط می‌تواند فایل‌های انتخابی را بر اساس پسوند فایل‌ها استخراج کند. در نهایت، شامل یک شماره ردیابی وابسته است که هنگام استخراج داده ها ارسال می شود.

بازیگران تهدید باج افزار، ژئوپلیتیک را در نظر می گیرند

برای شروع، اکنون جنبه های ژئوپلیتیکی برای آلوده کردن اهداف در نظر گرفته می شود. سرفصل هایی که از COVID-19 یا جنگ در اوکراین استفاده می کنند در ایمیل های هرزنامه و فیشینگ برای ترغیب کاربران به باز کردن فایل های پیوست یا کلیک بر روی پیوندهای آلوده کننده استفاده شده است.

در حالی که استفاده از COVID-19 در آلوده کردن ایمیل‌ها شخصی نبود، جنگ بین اوکراین و روسیه متفاوت است، زیرا جنایتکاران سایبری طرف‌هایی را می‌گیرند و عواقبی نیز دارد. به عنوان مثال، Conti نشت می کند ناشی از حمله و افشای کونتی توسط یک مهاجم طرفدار اوکراین که کونتی را به دلیل موقعیت آنها در درگیری هدف قرار داده بود. در 25 فوریه 2022، کونتی بیانیه‌ای را در وب‌سایت خود منتشر کرد و گفت که اگر روسیه هدف حملات سایبری قرار گیرد، کونتی با تمام قابلیت‌ها علیه زیرساخت‌های حیاتی دشمن تلافی خواهد کرد.

از سوی دیگر، جوامعی مانند Anonymous، ارتش فناوری اطلاعات اوکراین و پارتیزان های سایبری بلاروس در حمایت از اوکراین موضع گرفتند.

Freeud، یک نوع باج‌افزار کاملاً جدید که از اوکراین پشتیبانی می‌کند، حاوی پیامی در باج‌نامه است که می‌گوید نیروهای روسی باید اوکراین را ترک کنند. این باج افزار همچنین دارای قابلیت پاک کردن است، در صورتی که با لیستی از فایل هایی که قرار است پاک شوند پیکربندی شده باشد.

سایر باج افزارهایی که از ابتدای این درگیری مستقر شده اند، فعالیت های مخرب را پنهان کرده اند: GoRansom و HermeticWiper، یا برف پاک کن DoubleZero چندتا را نام بردن.

دیدن: سیاست امنیتی دستگاه تلفن همراه (TechRepublic Premium)

توصیه هایی برای محافظت در برابر باج افزار

برخی از بهترین روش ها برای بهبود امنیت شما عبارتند از:

• همیشه همه نرم افزارها و سیستم عامل ها را در همه دستگاه های مورد استفاده شرکت به روز نگه دارید. این به شدت در برابر سوء استفاده از آسیب پذیری رایج که می تواند هر سیستم یا دستگاهی را هدف قرار دهد کمک می کند.
• ترافیک خروجی باید به شدت کنترل شود تا بتوان فایل‌های بزرگ یا انتقال داده‌های شبکه مشکوک را شناسایی کرد.
• راه‌حل‌های امنیتی را با قابلیت تشخیص حرکات جانبی مستقر کنید. این حرکات در داخل شبکه شرکت برای مهاجمان اجباری است و باید در مراحل اولیه شناسایی شوند تا از نفوذ یا تخریب داده ها جلوگیری شود.
• راه‌حل‌های امنیتی با تمرکز بر باج‌افزار، علاوه بر راه‌حل‌های XDR (تشخیص و پاسخ eXtended) باید به کار گرفته شوند.
• اطلاعات اطلاعاتی خاص تهدید را به تیم SOC خود ارائه دهید.
• راه‌حل‌های حفاظت از ایمیل/ضد فیشینگ را به کار بگیرید، زیرا عوامل تهدید باج‌افزار ممکن است از spear phishing برای هدف قرار دادن شرکت استفاده کنند.

افشاگری: من برای Trend Micro کار می کنم، اما نظرات بیان شده در این مقاله از آن من است.