پرش به محتوای اصلی

پنج دلیل جدید برای نپرداختن باج به مهاجمان سایبری

مقالات آنتی ویروس
تاریخ ارسال : 1404/02/23 منبع : ایده ارتباط تراشه
پنج دلیل جدید برای نپرداختن باج به مهاجمان سایبری

بررسی تحولات اخیر در حملات باج ‌افزاری (Ransomware Attacks) به شرکت ‌ها و دلایلی که نشان می ‌دهند در سال ۲۰۲۵، پرداخت باج نه ‌تنها بی‌ فایده ‌تر از گذشته، بلکه تصمیمی اشتباه ‌تر از همیشه است.

۱۲ مه، روز جهانی مبارزه با باج ‌افزار (Ransomware) است. این روز به ‌یاد ماندنی که در سال ۲۰۲۰ توسط اینترپل و شرکت کسپرسکی بنیان‌ گذاری شد، فرصتی است تا درباره روندهای قابل‌ توجه در حملات باج‌ افزاری صحبت کنیم. روندهایی که نشان می‌ دهند مذاکره با مهاجمان و پرداخت پول به‌ صورت رمزارز، بیش از پیش به تصمیمی اشتباه تبدیل شده ‌اند.

کیفیت پایین ابزارهای رمزگشایی (Decryptors)

زمانی ‌که زیرساخت ‌های یک شرکت در پی حمله‌ باج ‌افزاری رمزگذاری می ‌شوند، اولین خواسته‌ آن کسب ‌و کار این است که هرچه سریع‌ تر به وضعیت عادی بازگردد و داده‌ های موجود در ایستگاه‌ های کاری و سرورها را بازیابی کند. در یادداشت ‌های باج ‌گیری این ‌گونه به ‌نظر می ‌رسد که با پرداخت پول، شرکت یک برنامه رمزگشا دریافت خواهد کرد که به‌ سرعت اطلاعات را به حالت اولیه بازمی ‌گرداند و امکان ادامه‌ روندهای کاری را بدون دردسر فراهم می ‌کند. اما در عمل، این اتفاق تقریبا هرگز نمی‌ افتد.

در وهله‌ اول، برخی باج‌ گیران به‌ سادگی قربانیان خود را فریب می ‌دهند و هیچ ابزاری برای رمزگشایی ارسال نمی ‌کنند. چنین مواردی به ‌طور گسترده ‌ای شناخته شده ‌اند؛ برای مثال، افشای مکاتبات داخلی گروه باج ‌افزاری Black Basta نشان داد که این گروه در مواردی حتی پس از دریافت پول هم هیچ ‌گونه ابزار رمزگشایی در اختیار قربانیان قرار نداده است.

دوم آن‌ که مجرمان سایبری در زمینه رمزگذاری تخصص دارند، نه رمزگشایی؛ به همین دلیل معمولا تلاش چندانی برای توسعه ابزارهای رمزگشایی خود نمی‌ کنند. نتیجه آن، ابزارهایی است که عملکرد ضعیف و کندی دارند. در بسیاری موارد، بازیابی اطلاعات از نسخه پشتیبان بسیار سریع ‌تر از استفاده از ابزار مهاجمان خواهد بود. ابزارهای رمزگشای آن‌ ها اغلب در مواجهه با نام فایل ‌های خاص، تضادهای مربوط به سطح دسترسی، یا حتی بدون دلیل مشخص، دچار اختلال و توقف می ‌شوند. همچنین این ابزارها فاقد مکانیزمی برای ادامه فرآیند رمزگشایی از نقطه ‌ای هستند که عملیات قبلا قطع شده است. گاهی نیز به‌ دلیل منطق معیوب در طراحی، فایل ‌ها را به‌ طور کامل خراب می ‌کنند.

حملات تکرارشونده

همه می‌ دانند که باج‌ گیر، تا زمانی ‌که فرصت داشته باشد، به باج ‌گیری ادامه می‌ دهد – و این موضوع در مورد باج ‌افزارها نیز صدق می ‌کند. گروه ‌های مجرم سایبری با یکدیگر در ارتباط هستند و اعضای آن ‌ها میان ارائه ‌دهندگان مختلف خدمات باج ‌افزار جا به ‌جا می ‌شوند. علاوه بر این، حتی زمانی که نیروهای امنیتی موفق به متوقف کردن یک گروه می‌شوند، معمولا نمی ‌توانند تمام اعضای آن را دستگیر کنند. افرادی که از دستگیری فرار می ‌کنند، معمولا فعالیت‌ های خود را در گروهی دیگر از سر می ‌گیرند. در نتیجه، زمانی که اطلاعات مربوط به دریافت موفق پول از یک قربانی در میان این گروه ‌ها منتشر شود، گروه‌ های جدید از آن آگاه شده و تلاش می‌ کنند همان سازمان را دوباره هدف قرار دهند – و اغلب نیز در این کار موفق می ‌شوند.

سخت ‌گیری‌ های قانونی بیشتر

مهاجمان امروزی تنها به رمزگذاری داده ‌ها اکتفا نمی‌ کنند، بلکه اطلاعات را نیز سرقت می‌ کنند؛ موضوعی که ریسک‌ های بلند مدت و جدی برای شرکت ‌ها ایجاد می‌ کند. پس از یک حمله باج ‌افزاری، شرکت معمولا سه گزینه پیش‌ رو دارد:

  • گزارش عمومی حادثه و بازگرداندن عملیات و داده ‌ها بدون برقراری ارتباط با مجرمان سایبری؛
  • گزارش حادثه، اما پرداخت پول برای بازیابی داده‌ ها و جلوگیری از افشای آن ‌ها؛
  • پنهان کردن حادثه با پرداخت پول برای حفظ سکوت.

گزینه آخر همیشه یک بمب ساعتی بوده است – همان ‌طور که پرونده‌ های Westend Dental و Blackbaud نشان می ‌دهند. علاوه بر این، بسیاری از کشورها اکنون قوانینی وضع می ‌کنند که چنین اقداماتی را غیرقانونی می ‌سازد. برای مثال:

  • دستورالعمل NIS2 (امنیت شبکه و اطلاعات) و قانون DORA (تاب‌ آوری عملیاتی دیجیتال) که در اتحادیه اروپا به تصویب رسیده ‌اند، شرکت‌ ها را موظف می ‌کنند که در صورت وقوع حملات سایبری، به‌ سرعت موضوع را گزارش دهند. این قوانین همچنین شرکت ‌ها، به ‌ویژه کسب ‌و کارهای بزرگ و حساس، را ملزم می ‌کنند که اقدامات لازم را برای افزایش مقاومت در برابر تهدیدات سایبری انجام دهند؛ از جمله تقویت امنیت سیستم‌ ها، داشتن برنامه واکنش به حادثه و اطمینان از ادامه فعالیت در شرایط بحرانی.
  • در بریتانیا نیز قانونی در دست بررسی است که بر اساس آن، سازمان ‌های دولتی و اپراتورهای زیرساخت‌ های حیاتی از پرداخت باج منع خواهند شد. همچنین این قانون تمامی کسب‌ و کارها را موظف می ‌کند که وقوع حملات باج‌ افزاری را به‌ سرعت گزارش دهند.
  • در سنگاپور، قانون امنیت سایبری به‌ روز رسانی شده است و اکنون اپراتورهای زیرساخت‌ های حیاتی اطلاعات را موظف می ‌کند که تمامی حوادث سایبری را گزارش دهند؛ از جمله حملاتی که از طریق زنجیره تامین صورت می ‌گیرند یا باعث اختلال در خدمات ‌رسانی به مشتریان می ‌شوند.
  • در ایالات متحده، مجموعه ‌ای از دستورالعمل‌ های فدرال و قوانین ایالتی در دست بررسی و تا حدی نیز تصویب شده است که پرداخت ‌های بزرگ (بیش از 100 هزار دلار) به مجرمان سایبری را ممنوع می‌ کند. این قوانین همچنین شرکت ‌ها را ملزم می‌ سازد که حوادث سایبری را به‌ سرعت گزارش دهند.

بنابراین، حتی اگر یک شرکت بتواند با موفقیت از یک حادثه سایبری عبور کند، در صورتی‌ که پرداخت باج را به‌ صورت پنهانی انجام داده باشد، همچنان با خطر پیامدهای ناخوشایند در سال ‌های آینده مواجه است – به‌ ویژه اگر ماجرا بعدها و در پی دستگیری باج ‌گیران افشا شود.

نبود ضمانت

در بسیاری از موارد، شرکت‌ ها پول را نه به‌ منظور دریافت ابزار رمزگشایی، بلکه برای گرفتن اطمینان از مهاجمان می‌ پردازند که داده‌ های سرقت ‌شده منتشر نخواهد شد و حمله نیز محرمانه باقی می ‌ماند. اما چنین اطمینانی هرگز قابل اعتماد نیست و هیچ تضمینی وجود ندارد که این اطلاعات در آینده فاش نشود. همان ‌طور که حوادث اخیر نشان می ‌دهند، افشای اطلاعات سرقت ‌شده و حتی خودِ حمله ممکن است در چندین سناریو مختلف رخ دهد:

  • در نتیجه‌ ی درگیری‌ های داخلی میان مهاجمان. برای مثال، اختلافات درون ‌گروهی یا حمله یک گروه به زیرساخت ‌های گروه دیگر می ‌تواند منجر به افشای اطلاعات قربانیان شود؛ یا به قصد انتقام ‌جویی، یا برای ضربه زدن به دارایی ‌های رقبای سایبری. در سال ۲۰۲۵، داده‌ های مربوط به قربانیان در جریان افشای مکاتبات داخلی گروه Black Basta منتشر شد. در نمونه ‌ای دیگر، زمانی که گروه DragonForce زیرساخت ‌های دو گروه رقیب، یعنی BlackLock و Mamona را نابود و تصاحب کرد، اطلاعات قربانیان آن‌ ها نیز فاش شد. همچنین در ۷ مه، وب‌ سایت گروه Lockbit مورد نفوذ قرار گرفت و داده‌ های پنل مدیریتی آن به‌ صورت عمومی منتشر شد که شامل فهرست کامل و جزئیات مربوط به تمام قربانیان این گروه طی شش ماه گذشته بود.
  • در جریان یورش نیروهای امنیتی به یک گروه باج ‌افزاری. در چنین مواردی، پلیس معمولا خودِ داده‌ های سرقت ‌شده را منتشر نمی ‌کند، اما وقوع حمله و نام قربانیان افشا می ‌شود. برای مثال، سال گذشته اطلاعات مربوط به قربانیان گروه Lockbit از همین طریق فاش شد.
  • به دلیل اشتباهی که خود گروه ‌های باج ‌افزاری مرتکب می‌ شوند. زیرساخت ‌های گروه ‌های باج ‌افزاری اغلب محافظت چندانی ندارند و داده‌ های سرقت ‌شده ممکن است به‌ طور تصادفی توسط محققان امنیتی، رقبای تجاری یا حتی افراد عادی کشف شود. برجسته ‌ترین مثال این موضوع، مجموعه عظیمی از داده‌ های سرقت ‌شده از پنج شرکت بزرگ توسط گروه ‌های مختلف باج ‌افزاری بود که به ‌طور کامل توسط گروه هکری DDoSecrets منتشر شد.

باج ‌افزار ممکن است مشکل اصلی نباشد!

به لطف فعالیت ‌های نیروهای امنیتی و تکامل قوانین، چهره یک "گروه باج ‌افزاری معمولی" به طور چشمگیری تغییر کرده است. فعالیت گروه‌ های بزرگ که در حوادث سال ‌های ۲۰۲۰ تا ۲۰۲۳ بودند کاهش یافته و طرح ‌های باج‌ افزار به ‌عنوان سرویس (ransomware-as-a-service) به‌ طور برجسته‌ تری ظاهر شده ‌اند، که در آن حمله‌ کنندگان می ‌توانند تیم‌ های کوچک یا حتی افراد باشند. یک روند مهم پدید آمده است: با افزایش تعداد حوادث رمزگذاری، مجموع پول ‌های پرداخت‌ شده کاهش یافته است. دو دلیل برای این موضوع وجود دارد: اول، قربانیان به طور فزاینده ‌ای از پرداخت پول خودداری می کنند، و دوم، بسیاری از باج ‌گیران مجبور به حمله به شرکت‌ های کوچک ‌تر و درخواست پول کمتری هستند. آمار دقیق ‌تر را می‌ توانید در Securelist پیدا کنید.

اما مهم ‌ترین تغییر این است که تعداد مواردی که مهاجمان انگیزه‌ های ترکیبی دارند، افزایش یافته است. به ‌عنوان مثال، یک گروه ممکن است هم ‌زمان کارزارهای جاسوسی را اجرا کرده و زیرساخت قربانی را با باج ‌افزار آلوده کند. گاهی اوقات، باج ‌افزار صرفا به ‌عنوان پوششی برای پنهان کردن فعالیت‌ های جاسوسی استفاده می ‌شود، و در برخی موارد، به نظر می ‌رسد که مهاجمان ماموریت استخراج اطلاعات به سفارش طرفی دیگر را انجام می ‌دهند و در عین حال، از اخاذی نیز به‌ عنوان منبع درآمد اضافی استفاده می ‌کنند. برای صاحبان کسب ‌و کار و مدیران، این وضعیت به این معناست که در صورت وقوع یک حمله باج ‌افزاری، نمی ‌توان به‌ طور کامل انگیزه مهاجم را درک کرد یا به سابقه و اعتبار او اعتماد نمود.

چگونه با یک حمله باج ‌افزاری مقابله کنیم؟

نتیجه ‌گیری ساده است: پرداخت پول به عاملان باج‌ افزار نه‌ تنها راه‌ حل نیست، بلکه ممکن است باعث تداوم و تشدید مشکل شود. کلید بازیابی سریع کسب ‌و کار، داشتن یک برنامه واکنش از پیش طراحی‌ شده است.

سازمان‌ ها باید برنامه ‌های دقیقی برای واکنش تیم‌ های فناوری اطلاعات و امنیت اطلاعات در برابر حملات باج ‌افزاری تدوین و پیاده ‌سازی کنند. در این برنامه ‌ها، سناریوهای خاصی مانند ایزوله‌ سازی سیستم‌ ها و زیرشبکه‌ ها، غیرفعال‌ سازی VPN و دسترسی‌ از راه دور، و مسدود کردن حساب ‌های کاربری (از جمله حساب‌ های اصلی مدیریتی) و انتقال به حساب‌ های پشتیبان باید به ‌طور ویژه مورد توجه قرار گیرد. برگزاری آموزش‌ های منظم برای بازیابی داده‌ ها از نسخه‌ های پشتیبان نیز اقدام هوشمندانه ‌ای است. و البته نباید فراموش کرد که این نسخه ‌های پشتیبان باید در سیستمی جداگانه و ایزوله نگهداری شوند تا در صورت حمله، در معرض آسیب قرار نگیرند.

برای اجرای این اقدامات و توانایی واکنش سریع پیش از آنکه حمله کل شبکه را درگیر کند، ضروری است که یک فرآیند پایش عمیق و مستمر در سازمان پیاده ‌سازی شود. شرکت ‌های بزرگ می‌ توانند از راهکارهای XDR (تشخیص و پاسخ توسعه ‌یافته) بهره‌ مند شوند، در حالی که کسب ‌و کارهای کوچک ‌تر می‌ توانند با اشتراک در خدمات MDR (تشخیص و پاسخ مدیریت ‌شده) از نظارت و واکنش حرفه ‌ای و باکیفیت برخوردار شوند.

تبلیغات

طراحی و قالب سایت پزشکی و سلامت

مناسب برای معرفی و خدمات رسانی پزشکان
دسته بندی ها
سایر مقالات
برچسب ها
باج افزار
حملات باج افزاری
Ransomware
MDR
XDR
عضویت در خبرنامه
فروش ویژه پاییزی
فروش ویژه تابستان آنتی ویروس نود 32 و کسپرسکی

شرکت ایده ارتباط تراشه

فعالیت خود را از سال 1390، به عنوان بزرگترین ارائه دهنده ابزار و نرم افزارهای امنیت اطلاعات رایانه ای آغاز نموده است و با اخذ نمایندگی رسمی شرکت های ESET و Kaspersky سبد متنوعی از آنتی ویروس های خانگی و تحت شبکه را در اختیار گرفته تا یک محصول اورجینال به کاربران خود ارائه دهد. این شرکت با دارا بودن دفاتر نمایندگی در سراسر کشور و با تشکیل تیم فنی قدرتمند برای پشتیبانی همواره تلاش داشته تا بهترین راهکارها را در قالب محصولات و خدمات در اختیار مشتریان قرار دهد. همچنین این شرکت با اجرای بهترین خدمات از جمله طراحی سایت، نرم افزار مدیریت ارتباط با مشتریان، تولید ویدیو های آموزشی توانسته مشاوری برای بروز بودن کسب و کار مشتریان خود باشد و با شعار "کسب و کار شما گران بها است" تا فردا هایی روشن تر همواره برای خدمت رسانی به هموطنان عزیز در تلاش بوده است.

تماس با ما

تهران، شهرک راه آهن، خیابان کامیاب، کوچه کاوش، برج تریتا، طبقه 19، واحد 184

47000782 , 44950338 , 44950389 , 44964960 , 44964967 (021)

Logo-Samandehi Logo-Enamad
کلیه حقوق مادی و معنوی این سایت متعلق به شرکت ایده ارتباط تراشه می باشد.
Whatsapp Chat کارشناسان ما پاسخگوی شما هستند