در اکثر حملات باج افزاری یکی از این سه عامل اصلی برای به خطر انداختن شبکه و دسترسی به سیستم ها و داده های حساس سازمان، استفاده می شود:
موثرترین عوامل در حملات باج افزاری موفق در سال 2022 طبق گزارش اخیر کسپرسکی، به ترتیب بهره برداری از حفره های موجود در نرم افزارهای معمول و پر استفاده حدود 43%، استفاده از اکانتهای در معرض خطر 24% و ایمیل های مخرب 12% بوده است.
طبق بررسی ها، بهره برداری از حفره های موجود در نرم افزارها و ایمیل های مخرب نسبت به سالهای گذشته کاهش داشته اما استفاده از اکانتهای در معرض خطر حدود 18% نسبت به قبل افزایش داشته است.
آگاهی از این عوامل کمک زیادی در کاهش خطرات و حملات باج افزاری می کند. بسیاری از شرکتها ممکن است هدف اولیه برای حملات نباشند اما با توجه به امنیت ضعیف آنها به راحتی هک می شوند، بنابراین برای مهاجم یک فرصت تلقی می شوند. اگر به زنجیره این سه عامل توجه کنیم که حدود 80 درصد از عوامل وقوع یک حمله را تشکیل می دهند می توان اقدامات کاهشی و دفاعی موثری داشته باشیم.
طبق گزارش کسپرسکی تمرکز اصلی مهاجمان باج افزاری بر روی بهره برداری از آسیب پذیری ها و سرقت اطلاعات هویتی و اعتباری بوده است.
شروع باج افزارها به طور عمده از سال 2020 و 2021 بوده و طبق تحلیل های صورت گرفته امسال باج افزارها و حملات مرتبط با آن(نشت داده ها با هدف دریافت باج) در حال افزایش است و تعداد سازمانهایی که اطلاعات آنها در سایت های نشت داده ها، منتشر شده در نیمه اول سال 2023 افزایش قابل توجهی داشته است.
در طی این مدت نیز عوامل باج فزاری در حال ارتقا تکنیک های خود بوده اند با اینکه هنوز هم متاسفانه روشهای قبلی آنها به اندازه کافی موثر و موفق هستند.
بهره برداری، فیشینگ و اعتبار
در دسامبر سال 2022 CISA نیز 5 عامل رایج در حملات را نام برد که شامل همین سه عامل به همراه سرویسهای دسترسی از راه دور و زنجیره های تامین third-party بوده است.
تهدیدات معمولا سریع یا آهسته عمل می کنند: حملات سریع سیستم ها را به خطر انداخته و داده ها را طی چند روز رمز گذاری میکنند، در حالی که در حملات آهسته عوامل تهدید معمولاً در طول ماه ها عمیق تر به شبکه نفوذ میکنند و جاسوسی کرده و سپس باج افزار را اجرا می کنند.
تلاش برای بهره برداری از حفره های موجود در نرم افزارها و استفاده از اعتبارات قانونی به راحتی قابل تشخیص نیست و نیاز به ابزارهای نظارت بر رفتار دارد و بنابراین مهاجم فرصت بیشتری برای نفوذ خواهد داشت.
راهکار: دنبال کردن آسیب پذیری های ترند
آگاهی از رویکردهای مهاجمان کمک زیادی برای دفاع در برابر آنها می کند. سازمانها باید آسیب پذیری هایی که مورد بهره برداری قرار گرفته اند را در اولویت قرار دهند.
با توجه به سرعتی که مهاجمان در تبدیل کد اکسپلویت به سلاحی برای پشتیبانی عملیات نفوذ دارند، درک این مسائل که کدام آسیبپذیری به طور فعال مورد سوء استفاده قرار میگیرد، آیا کد اکسپلویت در دسترس عموم است یا خیر و چنانچه وصله یا استراتژی اصلاحی خاص مؤثری برای آن وجود دارد، اعمال شود، میتواند به راحتی سازمان را از برخورد با آن نجات دهد.
اما تاکید و تمرکز تنها بر روی این عوامل به طوریکه از سایر موارد غافل شویم نیز توصیه نمی شود چرا که مهاجمان مرتبا خود را براساس ساز و کارهای دفاعی مورد استفاده، تغییر میدهند.
در گزارش کسپرسکی آمده است : «راههای مورد استفاده مهاجمان در حمله که در یک زمان خاص رایجتر هستند، نباید به طور کلی وضعیت دفاعی سازمان را تغییر دهند، زیرا عوامل تهدید به طور مداوم تکنیک های خود را تغییر میدهند تا بر روی هر عاملی که بیشترین موفقیت را دارند، تمرکز کنند. اقدامات کاهشی در برابر هر یک از عوامل ذکر شده به این معنی نیست که تهدید به طور قابل توجهی کمتر خواهد شد، برای مثال، اگرچه نسبت نفوذهایی که با دسترسی از طریق فیشینگ به دست آمده است، با درصد کمی کاهش داشته، اما ایمیل همچنان توسط بسیاری از مهاجمان در حملات استفاده میشود و موفقیت آمیز هم بوده است.
منبع: https://www.darkreading.com
