باج افزار مهم ترین تهدید امنیت سایبری است که امروزه سازمان ها با آن مواجه هستند. اما اخیراً رهبران آژانس امنیت ملی و FBI هر دو نشان داد که حملات کاهش یافته است در نیمه اول سال 2022. ترکیبی از تحریم ها علیه روسیه، جایی که بسیاری از باندهای مجرم سایبری از آنجا منشا می گیرند، و بازارهای کریپتوکارنسی در حال سقوط ممکن است تأثیر داشته باشد و استخراج وجوه و دریافت پرداخت های خود را برای باج افزارها دشوار کند.
اما ما هنوز از جنگل بیرون نیامده ایم. علیرغم افت موقت، باج افزار نه تنها در حال رشد است، بلکه در حال تکامل است. امروزه، باجافزار بهعنوان یک سرویس (RaaS) از یک مدل کالایی و خودکار با تکیه بر کیتهای بهرهبرداری از پیش بستهبندی شده، به یک عملیات تجاری بسیار هدفمند و پیچیده که توسط انسان اداره میشود، تکامل یافته است. این دلیلی است که مشاغل با هر اندازه ای نگران شوند.
تبدیل شدن به RaaS
به طور گسترده ای شناخته شده است که مجرمان سایبری امروزی مجهز، با انگیزه بالا و بسیار موثر هستند. آنها به طور تصادفی به این راه نرسیدند و بدون مداومت آنقدر موثر باقی نمانده اند فن آوری ها و روش های خود را تکامل می دهند. انگیزه سود کلان مالی تنها عامل ثابت بوده است.
حملات باجافزار اولیه، حملاتی ساده و مبتنی بر فناوری بودند. این حملات باعث افزایش تمرکز بر روی قابلیتهای پشتیبانگیری و بازیابی شد، که باعث شد دشمنان به دنبال پشتیبانگیری آنلاین و رمزگذاری آنها نیز در طول حمله باشند. موفقیت مهاجم منجر به باجهای بزرگتر شد و باجخواهیهای بزرگتر باعث شد که قربانی کمتر بپردازد و مجری قانون درگیر شود. باندهای باج افزار با اخاذی پاسخ دادند. آنها نه تنها به رمزگذاری دادهها، بلکه به استخراج و تهدید به عمومی کردن دادههای اغلب حساس مشتریان یا شرکای قربانی روی آوردند و خطر پیچیدهتری برای آسیب برند و اعتبار ایجاد کردند. امروزه، برای مهاجمان باج افزار غیرعادی نیست که به دنبال سیاست بیمه سایبری قربانی باشند تا به تنظیم تقاضای باج کمک کند و کل فرآیند (از جمله پرداخت) را تا حد امکان کارآمد کند.
ما همچنین شاهد حملات باجافزاری با نظم کمتر (اما به همان اندازه مخرب) بودهایم. به عنوان مثال، انتخاب پرداخت باج به نوبه خود، قربانی را به عنوان یک فرد قابل اعتماد برای یک حمله آینده شناسایی می کند، و این احتمال را افزایش می دهد که مجدداً توسط همان باج افزار یا گروه دیگری مورد حمله قرار گیرد. برآوردهای پژوهشی بین 50٪ به 80٪ (PDF) سازمانهایی که باج پرداخت کردند، بارها مورد حمله قرار گرفتند.
همانطور که حملات باج افزار تکامل یافته است، فن آوری های امنیتی، به ویژه در مناطق شناسایی و مسدود کردن تهدید، تکامل یافته است. فنآوریهای ضد فیشینگ، فیلترهای هرزنامه، آنتیویروس و شناسایی بدافزارها همگی برای مقابله با تهدیدات مدرن به منظور به حداقل رساندن خطر سازش از طریق ایمیل، وبسایتهای مخرب یا سایر بردارهای حمله محبوب تنظیم شدهاند.
این بازی ضرب المثل "گربه و موش" بین دشمنان و ارائه دهندگان امنیتی که دفاع بهتر و رویکردهای پیچیده را برای توقف حملات باج افزار ارائه می دهد، منجر به همکاری بیشتر در حلقه های مجرمان سایبری جهانی شده است. درست مانند گاوصندوقها و متخصصان هشدار که در سرقتهای سنتی استفاده میشوند، کارشناسان توسعه بدافزار، دسترسی به شبکه و بهرهبرداری، حملات امروزی را تقویت میکنند. شرایط را برای تکامل بعدی در باج افزار ایجاد کرد.
مدل RaaS امروز
RaaS برای تبدیل شدن به یک عملیات پیچیده و تحت رهبری انسان با یک مدل تجاری پیچیده و اشتراک سود تکامل یافته است. یک اپراتور RaaS که ممکن است در گذشته به طور مستقل کار کرده باشد، اکنون با متخصصان قرارداد می بندد تا شانس موفقیت را افزایش دهد.
یک اپراتور RaaS - که ابزارهای باج افزار خاصی را نگهداری می کند، با قربانی ارتباط برقرار می کند و پرداخت ها را ایمن می کند - اکنون اغلب در کنار یک هکر سطح بالا کار می کند که خود نفوذ را انجام می دهد. وجود یک مهاجم تعاملی در داخل محیط هدف، تصمیم گیری زنده در طول حمله را امکان پذیر می کند. آنها با همکاری یکدیگر، نقاط ضعف خاصی را در شبکه شناسایی میکنند، امتیازات را افزایش میدهند و حساسترین دادهها را برای اطمینان از پرداختها رمزگذاری میکنند. علاوه بر این، آنها برای یافتن و حذف نسخههای پشتیبان آنلاین و غیرفعال کردن ابزارهای امنیتی، شناسایی انجام میدهند. هکر قراردادی اغلب در کنار یک کارگزار دسترسی کار می کند، که مسئول دسترسی به شبکه از طریق اعتبارنامه های دزدیده شده یا مکانیسم های پایداری است که در حال حاضر وجود دارد.
حملات ناشی از این همکاری تخصصی، حس و ظاهری شبیه حملات «قدیمی» و پیشرفته و مستمر به سبک تهدید دارند، اما بسیار شایعتر هستند.
چگونه سازمان ها می توانند از خود دفاع کنند
مدل جدید RaaS که توسط انسان کار میکند بسیار پیچیدهتر، هدفمندتر و مخربتر از مدلهای RaaS در گذشته است، اما هنوز بهترین روشهایی وجود دارد که سازمانها میتوانند برای دفاع از خود دنبال کنند.
سازمان ها باید در مورد بهداشت امنیتی خود نظم و انضباط داشته باشند. فناوری اطلاعات همیشه در حال تغییر است و هر زمان که یک نقطه پایانی جدید اضافه شود یا یک سیستم به روز شود، این پتانسیل را دارد که آسیب پذیری یا خطر جدیدی را معرفی کند. تیمهای امنیتی باید روی بهترین شیوههای امنیتی متمرکز باشند: وصلهسازی، استفاده از احراز هویت چندعاملی، اجرای اعتبارنامههای قوی، اسکن تاریک وب برای شناسایی اعتبار در معرض خطر، آموزش کارمندان در مورد نحوه شناسایی تلاشهای فیشینگ و موارد دیگر. اینها بهترین روش ها به کاهش سطح حمله کمک می کند و خطر اینکه یک واسطه دسترسی بتواند از یک آسیب پذیری برای به دست آوردن ورود سوء استفاده کند، به حداقل برسانید. علاوه بر این، هرچه یک سازمان از بهداشت امنیتی قویتری برخوردار باشد، «سر و صدای» کمتری برای تحلیلگران وجود خواهد داشت تا در مرکز عملیات امنیتی (SOC) آنها را مرتب کنند، و آنها را قادر میسازد تا زمانی که تهدید واقعی شناسایی میشود، روی تهدید واقعی تمرکز کنند.
فراتر از بهترین شیوههای امنیتی، سازمانها همچنین باید اطمینان حاصل کنند که از قابلیتهای پیشرفته تشخیص تهدید و واکنش برخوردار هستند. از آنجایی که کارگزاران دسترسی زمانی را صرف انجام عملیات شناسایی در زیرساخت های سازمان می کنند، تحلیلگران امنیتی فرصتی دارند تا آنها را شناسایی کرده و حمله را در مراحل اولیه آن متوقف کنند - اما تنها در صورتی که ابزار مناسب را داشته باشند. سازمانها باید به دنبال راهحلهای تشخیص و پاسخ گسترده باشند که میتوانند تلهمتری را از رویدادهای امنیتی در نقاط پایانی، شبکهها، سرورها، ایمیلها و سیستمهای ابری و برنامههای کاربردی شناسایی و به هم مرتبط کنند. آنها همچنین به توانایی پاسخگویی در هر جایی که حمله شناسایی می شود نیاز دارند تا سریعاً آن را خاموش کنند. شرکتهای بزرگ ممکن است این قابلیتها را در SOC خود داشته باشند، در حالی که سازمانهای متوسط ممکن است بخواهند مدل شناسایی و پاسخ مدیریت شده را برای نظارت و پاسخگویی تهدیدات 24 ساعته در نظر بگیرند.
با وجود کاهش اخیر در حملات باج افزار، متخصصان امنیتی نباید انتظار داشته باشند که این تهدید به این زودی ها منقرض شود. RaaS به تکامل خود ادامه خواهد داد، با جدیدترین سازگاری ها با رویکردهای جدید در پاسخ به نوآوری های امنیت سایبری جایگزین شده است. اما با تمرکز بر بهترین شیوههای امنیتی همراه با فناوریهای کلیدی پیشگیری، شناسایی و پاسخ، سازمانها در برابر حملات انعطافپذیرتر خواهند شد.