انگیزه مالی خانواده باج افزارها

انگیزه مهاجمان از گسترش باج افزار ها متفاوت است که عبارتند از: رسوایی، دزدیدن اطلاعات محرمانه، مشارکت با گروه های مهاجم دیگر، مختل کردن سرویس های رقیب و… گروه های مختلف از تکنیک و روش های مختلف یا به عبارتی TTPs  که مخفف Tactics, techniques, procedures است استفاده می کنند و دانستن این تکنیک ها می تواند به سازمان ها در جهت جلوگیری از فاز رمزنگاری کمک کند. به طور کلی مهاجمان از روش های متفاوتی برای حملات باج افزار استفاده می کنند وباج افزار ها بر اساس انگیزه های مالی به دسته های زیر تقسیم بندی می شوند.

باج افزار Tesla crypt

اهداف مالی می تواند انگیزه مهاجمان برای توسعه این نوع باج افزار باشد اما در ماه may سال ۲۰۱۶ فعالیت های این باج افزار متوقف شده است. اگر چه به صورت گسترده منتشر نشده اما طول عمر زیادی داشته است و از اوایل سال ۲۰۱۵ تا ماه may2016 را شامل می شود. در April سال ۲۰۱۵ محققان در fire eye تعیین کردند که این باج افزار ۷۷۰۰۰ دلار برای توسعه دهنده گان خود به ارمغان آورده است. بر همین اساس مهاجمان با توسعه دادن این نوع از باج افزار رقم سود خود را به بیش از ۵۰۰۰۰ دلار افزایش دادند. اما فعالیت های خود را در ماه may سال ۲۰۱۶ متوقف کردند و کلید خصوصی را در دسترس قرار دادند تا شرکت ها امنیتی بتوانند ابزار های رمز گشایی خود را گسترش دهند. بعضی از خانواده های باج افزار ها درآمد بیشتری هم از باج عاید خود کردند که برای مثال می توان crypto locker اشاره کرد که حدود ۳ میلیون دلار به دست آورد که در قسمت های بعد به توضیح آن خواهیم پرداخت. انگیزه مالی در پشت همه باج افزار ها قرار دارد که این به معنای آن نیست همه آنها به یک روش کار می کنند و گروه هایی که پشت آنها هستند یکی باشند. بعضی از آنها با توسعه باج افزار خود سود سرشاری را می کنند و بعضی از آنها هم برای تست اهداف باج افزار را تولید می کنند و عمل کرد ضعیفی از خود نشان می دهند شناخت این گروها و دسته بندی آنها توسط سازمان ها می تواند منجر به افزایش امنیت سازمان در مواجهه با باج افزار شود.

 باج افزار crypt xxx

این نوع باج افزار در april سال ۲۰۱۶ مشاهده شده است که به عنوان بخشی از یک exploit kit عمل می کرد. در این ورژن نقض هایی در پروسه رمز نگاری مشاهده شد به طوری که واحد آزمایشگاهی kasperspy به سرعت توانست ابزاری برای رمز گشایی سیستم هایی که از طریق این باج افزار تحت تاثیر قرار گرفته بودند را گسترش دهد. در ورژن قبلی از تکنیک های مختلف رمزنگاری استفاده می شد برای مثال یکی از این تکنیک ها VSS یا Valium shadow copy  را پاک می کرد و بازگردانی فایل ها از طریق backup داخلی را غیرممکن می کرد. گمانه زنی های زیادی وجود دارد که نشان می دهد این مدل جدید از خانواده crypt xxx را گروه متفاوتی درست کرده اند چرا که کدهای آن ناقص است و عملکرد ضعیفی نسبت به مدل قبلی از خود نشان می دهد.

در این دوره بسیاری از گروه های امنیتی می توانند باج افزار ها را شناسایی و ایزوله کنند و در بسیاری از موارد آنها را متوقف کنند. در واقع داشتن یک نگاه کلی از باج افزارها برای گروه های امنیتی بسیار مهم است چرا که می توانند از فعالیت های باج افزار ها و گسترش آنها جلوگیری کنند. همین طور باید بدانند که چه تیمی پشت طراحی باج افزار قرار گرفته و از چه تکنیکی استفاده می کنند.

 باج افزارcrypto wall

این نوع از باج افزار بسیار مشهور است و از راه های مختلفی می تواند گسترش پیدا کند و توسط یک گروه هکر روسی گسترش پیدا کرده است. به طور معمول این نوع باج افزار از طریق اسپم به خصوص فایل های پیوست شده خود را گسترش می دهد. این باج افزار می تواند توسط یک سری exploit kit های مشهور نظیر Angler ,Magnitude, Nuclear گسترش پیدا کند که در وب سایت های قانونی پنهان شده اند. تغییر تاکتیک برای باج افزار بسیار مهم است چرا که این exploit kit ها توسط گروه های امنیتی شناخته شده هستند و اگر باج افزار از آنها استفاده کنند سریع متوقف می شوند و نمی توانند بر روی سیستم قربانی نصب شوند. برای مثال می توان به Anglerاشاره کرد که دیگر کاربردی ندارد چرا که بسیاری از گروه های امنیتی تکنیک های مخرب آن را تحت نظر قرار داده اند. Angler شاید تاکتیک خود را عوض کند تا ضد ویروس های مشهور نتوانند به وجود آن و اجرا شدن آن در حافظه پی ببرند اما با نظارت بر فعالیت های توسعه دهنده گان Angler گروه های امنیتی می توانند اطمینان حاصل کنند که Angler نمی تواند در شبکه جایی برای خود باز کند بنابراین می توانند خود را در برابر باج افزار crypto wall محافظت کنند. ممکن است بررسی exploit kit ها زمان زیادی را به خود اختصاص دهد اما گروه های امنیتی می توانند با بررسی و به اشتراک گذاشتن آنها از گسترش باج افزار ها جلوگیری کنند. بسیاری از سازمان ها گروه های مختلف امنیتی دارند که وظیفه آنها نظارت و بررسی exploit kit ها می باشد تا از این طریق بتوانند بسته های امنیتی خود را به طور منظم به روز رسانی کنند و استراتژی امنیتی خود را در برابر باج افزارها گسترش دهند.

 باج افزار locky

یکی از خانواده های باج افزار می باشد که با استفاده از اسپم ها و فایل های پیوست شده خود را گسترش می دهد. نخست این باج افزار از طریق پیوست های Microsoft office به عنوان اسپم گسترش پیدا می کند بعد از آن از قربانی می خواهد که برای دانلود فایل macro ها را فعال کند اگر قربانی این عمل را انجام دهد به باج افزار اجازه داده است که خود را بر روی سیستم قربانی نصب کند. علاوه بر این این از فایل های java هم برای حمله خود استفاده می کند تا بتواند بر پیچیدگی خود اضافه کند چرا که بسیاری از ابزار های امنیتی با فایل های با پسوند .js به عنوان یک فایل مخرب اجرایی برخورد نمی کنند اما در mail gateway می تواند بلاک شود. بسیاری از سرویس های امنیتی می توانند فایل های ZIP,RAR,7z را اسکن کنند و فایل های با پسوند.js را بلاک کنند.

این باج افزار همچنین از exploit kit هایی نظیر Neutrino وNuclear استفاده می کند که هر دو آنها از Adobe Flash استفاده می کنند تا از طریق مرورگر قربانی بتوانند باج افزار را نصب کنند. اعتقاد بر این است که کسانی که پشت این باج افزار هستند همان هایی باشند که بات نت Dridex را گسترش داده اند این بات نت اوایل سال ۲۰۱۴ به شهرت رسید چرا که بانک ها را تحت تاثیر خود قرار می داد و اطلاعات آنها را به سرقت می برد و بعد از آن در بازارهای سیاه آنها را به فروش می رساند. این گروه خود را Evil  به معنی شیطان نام گذاری کرده بودند. این باج افزار مثال خوبی است از اینکه مهاجمان چگونه تاکتیک خود را تغییر می دهند تا بهترین نتیجه را بگیرند. باید این نکته را هم در نظر داشت که اگر مهاجمان تاکتیک های خود را عوض کردند در مقابل نهاد های مالی راه کار های امنیتی خود را قوی تر خواهند کرد. در خلال سال های ۲۰۱۰ تا ۲۰۱۲ ضد ویروس های تقلبی در همه جا یافت می شد و گروه های بزرگ هک از این طریق به سود های کلانی دست پیدا می کردند وهدف بیشتر آنها گسترش باج افزار ها بود نه دزدیدن اطلاعات بانکی. گروهی که بات نت Dridex را توسعه داده بودند یکی از همین گروه ها بودند که از طریق ضد ویروس های تقلبی توانستند باج افزار locky را گسترش دهند یا شاید هم تا به امروز توانسته اند از آن به عنوان Raas استفاده کنند.

 باج افزار Ranscam

به طور معمول باج افزار ها زمانی که خود را بر روی سیستم قربانی نصب می کنند شروع به رمزگذاری فایل ها کرده و بعد از دریافت باج آنها را رمز گشایی می کنند اما باج افزار Ranscam روشی متفاوت دارد و آن هم این است که پس از نصب بر روی سیستم قربانی آن را از دسترس خارج می کند و با نمایش پیامی از قربانی درخواست باج می کند و زمانی که قربانی اقدام به پرداخت باج می کند دوباره یک پیام به قربانی نمایش داده می شود که باج پرداخته نشده است و تمام فایل ها قربانی را پاک می کند. از آنجای که هدف این باج افزار گرفتن پول از قربانیان است پس به احتمال زیاد فایل و سیستم فایل هایی را که در حمله اش رمزگزاری کرده است را بازگردانی نمی کند.

کاری که باج افزارهای دیگر انجام می دهند این است که فایل های کاربر را مخفی یا به جایی دیگر انتقال می دهند اما این باج افزار پیچیده، فایل های قربانیان را قبل از اینکه به آن ها پیغام باج دهد، پاک می کند. بنابراین هیچ راهی برای بازیابی فایل ها وجود ندارد.این باج افزار فقط به شما یادآوری می کند که پرداخت باج کمکی به شما نمی کند.

شرکت پرسا تک می تواند با استفاده از کارشناسان خود سیستم های امنیتی را برای شرکت ها صنعتی راه اندازی کند.