بدون شک بدافزارها همیشه یکی از مهم ترین تهدیدات فناوری اطلاعات و ارتباطات بوده اند.در طول همه ی این سالها، بدافزارها به یکی از عوامل اولیه ی جرائم امنیتی بدل شده اند، از همان سالهای ابتدایی همراه با ویروس ها تا تهدیدات پیچیده تر و نسبتا موثرتر مثل باج افزارها.
به طور مشابه، دلایل توسعه و توزیع کدهای مخرب نیز با گذشت زمان از آزمون قابلیت های سیستم به شناسایی طراحان و سازندگان بدافزارها – که به منظور کسب منافع مالی طراحی شده- تغییر کرده است.
در این مقاله، نگاهی به تکامل بدافزارهای باجگیر خواهیم انداخت ، نوع بدافزارهای استفاده شده برای سرقت اطلاعات کاربران از نسخه های اولیه تا جدیدترین نسخه های آنها که در حال حاضر در بازار به عنوان یک سرویس به فروش می رسد.
شروع سرقت اطلاعات در سال 1989
با وجود اینکه سرقت اطلاعات ایده ی جدیدی نیست، اما در سالهای اخیر با توجه به تاثیر آن بر کاربران و سازمانهای قربانی و همچنین افزایش تنوع، رویکرد جدیدی را اتخاذ کرده است.
اولین باج افزار طراحی شده در قالب تروجانی با نام PC Cyborgبه سال 1989 میلادی مربوط می شود. این تروجان جایگزین فایل AUTOEXEC.BAT می شده ، پوشه ها را مخفی می ساخته و به رمزگذاری تمامی فایل های درایو C می پرداخته است و به این ترتیب سیستم غیر قابل استفاده می شده است. و پیغامی برای کاربر جهت“renew the licanse” با پرداخت 189 دلار به شرکت PC Cyborg ارسال می گردیده .
در سالهای بعد، نسخه های جدید این برنامه تلاشهای دیگری برای اخاذی از کاربران در پیش گرفت ، اما بر خلاف رمزگذاری متقارن که PC Cyborg مورد استفاده قرار داده بود، این برنامه ی جدید از الگوریتم های نامتقارن استفاده می کرد. برای مثال در سال 2005 ، GP Coder ابتدا فایل هایی با پسوند های مشخص را رمز نگاری می کرد و سپس از قربانی مبلغی بین 100 تا 200 دلار درخواست می نمود.
برخی مشتقات باج افزارها
پس از اولین نمونه های باج افزارها، دیگر انواع بدافزارها که با رویکرد غیر قابل استفاده ساختن اطلاعات کاربران فعالیت می کردند روی کار آمدند. اگرچه علاوه بر رمز گذاری اطلاعات، سیستم کاربران را نیز بلاک می کردند.
یکی از این نمونه ها winlock اولین بدافزاری است که در سال 2010 شناسایی شد. این بدافزار با آلوده سازی سیستم کاربران آن را بلاک می ساخت و پس از آن پیامی مبنی بر پرداخت مبلغ مشخصی وجه برای کاربر ارسال می شد. به منظور دریافت کد رمز گشایی کاربر مجبور به ارسال پیامی می شد که 10 دلار هزینه داشت.
به همین ترتیب سال 2012 شاهد ظهور ویروس “police” بودیم که دسترسی قربانیان به سیستم هایشان را بلاک می ساخت. این بدافزار قادر به ارسال پیامی تقلبی از سوی پلیس محلی مبنی بر اتهام قانون شکنی بود و برای دسترسی مجدد به سیستم کاربران را موظف به پرداخت جریمه می کرد.
اما کاربران با آگاهی نسبت به این باج افزار با رفتن به منوی safe mode و حذف registery key می توانستند بدون پرداخت وجه دوباره کنترل دستگاه خود را به دست گیرند.
- چه زمانی پیچیدگی باج افزارها شدت یافت؟
در سال های اخیر موج جدیدی از باج افزارهای طراحی شده به منظور رمزگذاری اطلاعات کاربران طراحی شده است ، که مجرمان سایبری را قادر می سازد برای رمزگشایی فایل های قربانیان درخواست وجه نمایند اما همه ی این ها توسط ESET شناسایی شده است.
در سال 2013 از اهمیت cryptolocker مطلع شدیم و دانستیم که ویژگی اصلی آن رمزگذاری فایل ها از طریق الگوریتم های 2048-bit public key بوده و فقط فایل هایی با پسوند های مشخص و همچنین سازمانهای C&C که از شبکه ی Tor استفاده می کنند را هدف قرار داده است.
همزمان cryptowall موفق به شکست رکورد خود از نظر تعداد ابتلا گردید: از exploit kit مرورگرها و حملات drive by download تا معمول ترین شیوه های ارسال فایل های مخرب از طریق فایل پیوست نامه های الکترونیکی. این باج افزار در طول زمان با تغییراتی در نوع ابتلا و همچنین روش های اخذ وجه به نسخه ی جدیدتری تغییر ورژن داد.
اوایل سال 2015 نوع دیگری از باج افزارها با عنوان “CTB Locker” که بر روی کامپیوتر کاربر به وسیله ی Trojan downloader قابل نصب بود شناسایی شد. یکی از ویژگی های این بدافزار رمزگذاری فایل های هارد دیسک ، درایور های شبکه و removeable drives با استفاده از الگوریتم های غیر قابل برگشت می باشد. به منظور حفظ هویت طراح این باج افزار، از طریق سرور T&T متصل شده و درخواست وجه می کنند.
تنوع باج افزارها نیز افزایش یافته است.
ما شاهد تنوع این نوع تهدیدات همراه با مکانیزم های پیچیده، که بازیابی اطلاعات را بدون پرداخت وجه مشخص شده ،تقریبا غیر ممکن می سازد، بوده ایم. افزون بر این هیچ اطمینانی نیز برای بازیابی اطلاعات پس از پرداخت وجود ندارد.
برای مثال در سال 2014، اولین نمونه ی بدافزار file coder اندرویدی شناسایی گردید که اخیرا به شایع ترین پلت فرم دستگاه های تلفن همراه بدل گردیده است.simplocker با پیغامی شبیه ویروس police طراحی شد که با اسکن فایلهایی با پسوند مشخص بر روی SD Card و با همان هدف قبلی که رمزگذاری فایل ها و درخواست وجه می باشد، کار خود را انجام می دهد.
بدافزار مشابه دیگر Androidlocker می باشد. ویزگی اصلی آن جعل هویت نرم افزارهای امنیتی و برنامه های اندروید به منظور جلب اعتماد کاربران بوده است.
در ماه های اخیر نیز تهدیدات IOT افزایش قابل توجهی داشته اند. دستگاه های مختلف مثل Smart watch ها و یا تلویزیونهای هوشمند به وسیله این بدافزار آلوده شده اند خصوصا آن دسته که سیستم عامل اندورید داشته اند.
آیا این تهدیدات ماندگار هستند؟
مسلما تکثیر بدافزارها، روند رو به رشدی دارد.
باج افزارها به عنوان یک سرویس(RaaS) ، شناخته شده اند تا از طریق ابزاری به نام TOX در دسترس بوده و افراد بدون داشتن اطلاعات فنی خاص را نیز قادر به تولید این دسته از بدافزارها می سازد.
با افشای جدیدترین باج افزار open source منتشر شده، فرصت جدیدی برای توسعه ی این بدافزارها فراهم شده است.
آمار و ارقام ما را به این باور رسانده که این تهدیدات به علت سود آوری غیر قانونی اما قابل توجه برای طراحانشان برای سالها ادامه خواهند داشت.
به همین خاطر، مهم ترین مسئله استفاده از نرم افزارهای امنیتی و بالاتر از همه استفاده از عقل سلیم به منظور عدم ابتلا و یا حداقل آگاهی نسبت به عواقب ابتلا به این خطرات می باشد. علی رغم پیچیدگی و تنوع تهدیدات راهکارهای مقابله با آنها تغییرات عمده ای نکرده است و آنتی ویروس ESET توانایی مقابله و انهدام این دسته از بدافزارها را دارا می باشد. با نصب محصولات امنیتی و دارای لایسنس رسمی می توانید از نفوذ و تخریب بدافزارها پیشگیری نمایید.
منبع: www.welivesecurity.com
