اجاره باج افزار (RaaS) چیست؟

اجاره باج افزار یک مدل مبتنی بر خرید اشتراک است که شخص اجاره کننده را قادر می‌سازد که از نرم افزارهای باج افزاری که قبلا توسط شخص یا گروه دیگری توسعه یافته‌اند برای اجرای حملات باج افزاری استفاده کند و شخص اجاره کننده درصدی از هر باج پرداخت شده توسط قربانیان را به دست می‌آورد. در حقیقت RaaS از مدل تجاری SaaS الهام گرفته شده است.

در گذشته، دانش برنامه نویسی برای همه هکرهای موفق یک الزام بود. اما حالا با ورود چنین سرویسی، چنین پیش نیاز فنی دیگر اهمیت چندانی ندارد. مثل تمام سرویس‌های SaaS، کاربران RaaS نیازی به مهارت و حتی تجربه برای استفاده از آن ندارند. بنابراین، RaaS حتی تازه کارترین هکرها را قادر به اجرای حملات سایبری بسیار پیچیده می‌کند و سود نسبتاْ زیادی را به اجاره کننده‌های خود پرداخت می‌کنند (بعضی از ارائه کنندگان سرویس RaaS تا ۸۰٪ از مبلغ هر باج پرداخت شده را به اجاره کنندگان می‌دهند). میانگین باج خواهی سایبری از سه ماهه سوم سال ۲۰۱۹ با افزایش ۳۳٪ به ۱۱۱,۶۰۵ دلار رسیده است. عدم نیاز به دانش فنی و درآمد بالقوه شگرف، باعث می‌شود که سرویس‌های RaaS نقش پررنگی را در ازدیاد قربانیان حملات باج افزاری داشته باشند.

سرویس اجاره باج افزار چطور کار می‌کند؟

یک سرویس RaaS موفق، نیازمند یک باج افزار قدرتمند است که توسط توسعه دهندگان ماهر و مشهور طراحی شده است تا اجاره کنندگان را به ثبت نام و انتشار باج افزار وادار کند. اشخاص یا گروه‌های شناخته شده در این زمینه، باج افزاری را ایجاد می‌کنند که شانس نفوذ موفقیت آمیز در آن بالا و احتمال کشف آن بسیار کم باشد. پس از تولید باج افزار، آن را به یک زیرساخت چند کاربره تبدیل می‌کنند. بعد از آن باج افزار آماده اجاره به تعداد زیادی از کاربران است. مدل درآمدی RaaS کاملاْ شبیه به SaaS است، اجاره کنندگان می توانند با پرداخت یکباره یا اشتراک ماهیانه ثبت نام کنند. حتی بعضی از سرویس‌های RaaS شرایط ثبت نام پولی ندارند و اجاره کنندگان می‌توانند به صورت کمیسیونی ثبت نام و فعالیت کنند.

پس از اجاره باج افزار، مستندات آموزشی (مثل راهنمای قدم به قدم اجرای حمله) در اختیار اجاره کننده قرار می‌گیرد. حتی بعضی از سرویس دهندگان به اجاره کنندگان پنلی را ارائه می‌کنند که امکان نظارت بر هر حمله را می‌دهد. سرویس دهندگان برای جذب اجاره کنندگان در انجمن‌های فعال در دارک وب تبلیغ می‌کنند. بعضی از گروه‌های شناخته شده مثل Circus Spider باج افزار خود را تنها در اختیار افرادی با مهارت‌های فنی خاص می‌گذارند ولی اکثر گروه‌ها علاقمند به انتشار سریع باج افزار خود هستند و شرایط استفاده ساده‌ای دارند.

شرایط همکاری با Circus Spider

بیشتر باج افزارها از طریق حملات فیشینگ به دستگاه قربانی نفوذ می‌کنند. فیشینگ روشی است برای سرقت داده‌های حساس (مثل پسوردها یا اطلاعات بانکی) از طریق یک منبع ظاهراْ بی ضرر. ایمیل‌های فیشینگ رایج‌ترین نوع حملات فیشینگ هستند. به قربانی ایمیلی ارسال می‌شود که به نظر معتبر می‌رسد، اما وقتی روی لینکی که در آن قرار گرفته کلیک می‌کنند، ناآگاهانه قربانی یک حمله سایبری می‌شوند. اجاره کنندگان خدمات RaaS نیز به همین روش یک ایمیل فیشینگ به نظر معتبر به قربانیان ارسال می‌کنند. با کلیک روی لینکی که در ایمیل درج شده، قربانی به وبسایتی هدایت می‌شود که باج افزار را مخفیانه دانلود می‌کند. از زمان همه گیری ویروس کورونا، ایمیل‌های فیشینگ با موضوع Covid-19 به اینباکس‌ها سرازیر شدند. این ایمیل‌ها در بسیاری از موارد برای افراد ناآگاه و آموزش ندیده بسیار قانع کننده و طبیعی جلوه می‌کنند.

ایمیل فیشینگ Netwalker با موضوع کورونا

پس از دانلود شدن، باج افزار در سراسر سیستم آلوده شده منتشر می‌شود و گاهاْ فایروال‌‌ و آنتی ویروس‌ها را غیر فعال می‌سازد. بعد از غیرفعال شدن مکانیزم‌های امنیتی سیستم، باج افزار ممکن است امکان دسترسی از راه دور را برای مهاجمین مقدور سازد. اگر نفوذ به چنین سطحی برسد، دستگاه آلوده شده به راحتی می‌تواند به عنوان یک دروازه ورودی به شبکه داخلی سازمان استفاده شود. باج افزارهایی که قادر به چنین نفوذی هستند، می‌توانند یک سازمان را کاملا گروگان بگیرند.

بعد از اینکه باج افزار بدون شناسایی پیشرفت خود را انجام داد، فایل‌های قربانی به گونه‌ای رمزگذاری می‌شوند که دیگر قابل دسترس نیستند. بعد از تکمیل حمله، مرحله اخاذی یا باج گیری آغاز می شود. معمولا یک فایل متنی در دستگاه قربانی قرار می‌گیرد که به قربانی می‌گوید تا در ازای کلید رمزگشایی برای دسترسی مجدد به فایل‌ها، مبلغی را به عنوان باج پرداخت نماید.

متن باج افزار Egregor

بعضی از گروه‌های جرایم سایبری مثل گروه Maze، از مدل اخاذی مضاعف برای سازمان‌های حساس و مهم استفاده می‌کنند؛ آن‌ها در ازای دریافت کلید رمزگشایی درخواست باج می‌کنند و تهدید می‌کنند که اگر قبل از پایان مهلت داده شده پرداخت انجام نشود، تمام داده‌ها را در دارک وب منتشر می‌کنند. طبیعت فضای دارک وب آن را به محل مناسبی برای فعالیت مجرمین سایبری بدل کرده است، بنابراین هرگونه اطلاعات فاش شده، در اختیار تعداد زیادی از مجرمان سایبری و هکرهای کلاه سیاه قرار خواهد می‌گیرد. ترس از نفوذ و آسیب بیشتر، بسیاری از قربانیان حملات باج افزار را مجبور می‌کند تا خواسته مجرمان سایبری را قبول کنند.

متن باج افزار Sodinokibi که به استفاده از شبکه Tor اشاره کرده است

برای پرداخت باج، به قربانیان دستور داده می‌شود که با استفاده از شبکه Tor به درگاه پرداخت اختصاصی متصل شوند، و باج را پرداخت کنند. بیشتر این پرداخت‌ها با رمزارزها (معمولاْ بیت کوین) انجام می‌شود به اضافه اینکه هر باج پرداختی، پولشویی می‌شود، بنابراین نمی‌توان توسعه دهنده یا اجاره کننده باج افزار را ردیابی کرد.

فرآیند آلودگی در RaaS

آیا باید مبلغ باج را پرداخت کرد؟

اینکه باید مبلغ باج را پرداخت کرد یا خیر، تصمیم دشواری است. اگر تصمیم به پرداخت باج بگیرید، یعنی شما به مجرمین سایبری اطمینان کرده‌اید که قول خود را عملی خواهند کرد و در ازای باج پرداخت شده فایل‌های شما را رمزگشایی می‌کنند. جرایم اینترنتی ذاتاْ غیراخلاقی هستند، بنابراین شما نمی‌توانید به مجرمان سایبری اطمینان کنید که گوشه ای از اخلاقیات را حفظ کرده و قول‌های خود را عملی کنند. در واقع بسیاری از اجاره کنندگان RaaS ترجیح می‌دهند وقت خود را برای یافتن قربانیان تازه صرف کنند، تا اینکه درگیر ارائه کلید رمزگشایی شوند و از طرف دیگر پرداخت باج به مجرمان سایبری باعث افزایش چنین حملاتی می‌شود و اجاره کنندگان بیشتری را به سمت استفاده از این سرویس‌ها سوق می‌دهد.

چگونه از خود در مقابل باج افزارها محافظت کنیم؟

مؤثرترین استراتژی برای کاهش حملات باج افزاری، آموزش کاربران، ایجاد سیستم‌های دفاعی و نظارت مستمر برای کشف آسیب پذیری‌هاست. در ادامه چند پیشنهاد برای محافظت از سازمان یا سیستم شخصی در مقابل باج افزارها آورده شده است:

  • تمام درخواست‌های اتصال در دستگاه کاربران را مدیریت کنید و فرآیندی برای تایید اعتبار ایجاد کنید.
  • کاربران سازمان را در مورد چگونگی شناسایی حملات فیشینگ آموزش دهید.
  • DKIM و DMARC را برای جلوگیری از استفاده مهاجمین از دامنه شما (برای انجام حملات فیشینگ) تنظیم نمایید.
  • کلیه آسیب پذیری‌هایی که ممکن است برای سازمان شما یک تهدید جدی باشد، کنترل و برطرف نمایید.
  • از داده‌های خود به صورت منظم بکاپ گیری کنید.
  • فقط به حافظه‌های ابری تکیه نکنید، از اطلاعات خود در حافظه‌های اکسترنال یا سرورهای داخلی بکاپ گیری کنید.
  • از کلیک روی لینک‌های مشکوک خودداری کنید. فیشینگ فقط از طریق ایمیل اتفاق نمی‌افتد، لینک‌های مخرب ممکن است در صفحات مختلف وب یا حتی فایل‌ها قرار گرفته باشند.
  • از آنتی ویروس‌ها و ضدبدافزارهای معتبر استفاده کنید. (مجانی به درد نمی‌خوره!)
  • از به آپدیت بودن تمام دستگاه‌ها و نرم‌افزارهای موجود اطمینان حاصل کنید.
  • کاربران و کارکنان را نسبت به مهندسی اجتماعی آموزش و آگاهی دهید.
  • سیاست‌های محدودیت نرم افزار (Software Restriction Poilicies) را اعمال کنید تا از اجرای نرم افزارها در مسیرهای رایجی که باج افزارها قرار می‌گیرند (مثل پوشه temp) جلوگیری شود.
  • اصول حداقل دسترسی (Principle of Least Privilege) را اعمال کنید تا هر اکانت کاربری یا سرویس اکانت تنها به اندازه نیاز مجوز دسترسی داشته باشد.