14 مهر 1403

قرارگاه جنبش انقلابیون (قجا)

قرارگاه امنیتی و سایبری جنبش انقلابیون جمهوری اسلامی ایران

تغییر تاکتیک‌های باج‌افزار و معنای آن برای کسب و کار شما

در این مصاحبه Help Net Security، تیم وست، مدیر اطلاعات تهدیدات و توسعه در WithSecure، باج‌افزار به‌ عنوان سرویس (RaaS) را با تمرکز بر چگونگی تطبیق این عملیات‌های مجرمانه سایبری با افزایش رقابت، تغییر ساختارها و چندپارگی بحث می‌کند. 

در این مصاحبه Help Net Security، تیم وست، مدیر اطلاعات تهدیدات و توسعه در WithSecure، باج‌افزار به‌عنوان سرویس (RaaS) را با تمرکز بر چگونگی تطبیق این عملیات‌های مجرمانه سایبری با افزایش رقابت، تغییر ساختارها و چندپارگی بحث می‌کند. 
وست در مورد پیامدهای این تغییرات برای صنایع هدف، به‌ویژه مهندسی و تولید صحبت می‌کند و اتکای فزاینده بازیگران باج‌افزار به ابزارهای دوگانه را بررسی می‌کند.

چشم انداز باج افزار به عنوان یک سرویس (RaaS) چگونه تکامل یافته است؟ آیا ما شاهد تغییر در نحوه ساختار این عملیات یا انواع شرکت های وابسته هستیم؟
ما شاهد افزایش رقابت هستیم زیرا برندهای معتبر به دنبال جذب شرکت‌های وابسته هستند. با حذف گروه‌های برجسته‌ای مانند LockBit و ALPHV، بسیاری از شرکت‌های وابسته «کوچ‌نشین» شده‌اند و به دنبال گروه‌های RaaS جدید برای همسویی هستند. این امر باعث تشدید رقابت در داخل اکوسیستم شده است، زیرا برندهای مختلف RaaS تلاش می‌کنند تا شرایط جذاب تر، ابزار بهتر و پرداخت‌های قابل اعتماد را برای جذب این اپراتورهای با تجربه ارائه دهند.
گروه‌های کوچک‌تری مانند مدوسا و شنل انگیزه‌های جذابی را برای اعضای وابسته به نهادهای منحل شده ارائه می‌دهند تا به آنها بپیوندند. به عنوان مثال، مدوسا تا 90 درصد سود را به شرکت‌های وابسته به LockBit و ALPHV ارائه می‌کند و Cloak به شرکت‌های وابسته اجازه می‌دهد تا به صورت رایگان و بدون پرداخت اولیه بپیوندند.
بنابراین، از نظر ساختاری، بسیاری از عملیات باج‌افزار به سمت یک رویکرد مدولارتر و غیرمتمرکز تغییر کرده‌اند. به جای یک گروه واحد و یکپارچه عمودی که کل زنجیره حمله را مدیریت می‌کند، بسیاری از مدل‌های موفق RaaS اکنون می‌توانند به‌عنوان شبکه‌های وابسته در نظر گرفته شوند.
گروه‌های مختلف در مراحل خاصی از حمله، مانند دسترسی اولیه، حرکت جانبی، یا اخاذی تخصص دارند. این تفکیک نقش‌ها، انتساب را پیچیده‌تر کرده و انعطاف پذیری اکوسیستم را در برابر اختلالاتی مانند اقدامات اجرای قانون افزایش داده است.
نقش کارگزاران دسترسی اولیه (IABs) نیز در اکوسیستم RaaS تکامل یافته است. این IAB ها می‌توانند دارای بودجه خوبی باشند و توانایی بالایی داشته باشند و با ارائه دسترسی قابل اعتماد و مقیاس‌پذیر از عوامل مخرب مختلف پشتیبانی کنند.
بازیگران فرآیند بهره برداری در سطح اینترنت را صنعتی کرده‌اند و ورود اپراتورهای باج افزار را کاهش داده‌اند. IAB ها در یافتن، تسلیح سازی و فروش دسترسی به سیستم‌های آسیب‌پذیر تخصص دارند. آنها پیچیدگی بهره‌برداری از آسیب‌پذیری‌ها، دور زدن فیلترها‌ و مدیریت عملیات اسکن و بهره‌برداری در مقیاس بزرگ را مدیریت می‌کنند. این مدل خدمات اکنون به باج‌افزارهای وابسته اجازه می‌دهد تا بدون نیاز به تخصص فنی عمیق، دسترسی آماده خریداری کنند.

به نظر می‌رسد باج‌افزارهایی که بخش‌های خاصی مانند مهندسی و تولید را هدف قرار می‌دهند در حال افزایش است. پیامدهای این صنایع چیست و چرا ممکن است اهداف جذابی باشند؟
آخرین تحقیقات ما نشان داد که بخش مهندسی و تولید بیشترین تأثیر را در نیمه اول سال 2024 با 20.59 درصد از کل قربانیان مشاهده کرده است. تأثیر بالای عملیاتی هنگام ایجاد اختلال در این صنایع می‌تواند آنها را به اهداف جذاب تبدیل کند. توقف در این بخش‌ها می‌تواند منجر به خسارات مالی قابل توجه، مهلت‌های از دست رفته و حتی جریمه‌های قراردادی شود. برنامه‌های تولید حساس به زمان، فشار را برای پرداخت سریع باج برای بازگرداندن عملیات افزایش می‌دهد.
در حالی که بیشتر بازیگران RaaS به جای بخش‌های خاص، آسیب‌پذیری‌ها و فرصت‌ها را هدف قرار می‌دهند، زنجیره‌های تامین پیچیده می‌توانند عملیات امنیت سایبری را دشوار کنند. هر دو صنعت عمیقاً با چندین تامین کننده، شریک و مشتری در ارتباط هستند. یک حمله موفق باج افزار به یک موجودیت واحد می‌تواند اثرات آبشاری در سراسر زنجیره تامین داشته باشد و تاثیر حمله را تقویت کند. این اتصال متقابل اهرمی را که گروه‌های باج‌افزار در طول مذاکرات دارند افزایش می‌دهد، زیرا پیامدهای خرابی طولانی‌مدت بسیار فراتر از قربانی فوری است.
داده‌های اختصاصی و مالکیت معنوی (IP)، از جمله طرح‌ها، نقشه‌ها و اسرار تجاری برای حفظ مزیت رقابتی و در نتیجه دارایی‌های پرسود برای سرقت یا فروش بسیار مهم هستند.ما همچنین دریافتیم که گروه‌های باج‌افزار در حال کنار گذاشتن شیوه‌های قبلی برای اجتناب از بخش‌های حیاتی مانند مراقبت‌های بهداشتی هستند. از نظر تأثیر بر جامعه، این حملات اغلب بسیار جدی‌تر هستند. قبلاً گروه‌های باج‌افزار تا حد زیادی از هدف قرار دادن بخش‌هایی که می‌توانستند پاسخ‌های شدید دولت یا مجری قانون را ایجاد کنند، خودداری می‌کردند. اگرچه تعداد حملات کلی مراقبت‌های بهداشتی به عنوان نسبتی از قربانیان کلی در سال 2024 ثابت است.
گروه‌های باج‌افزار بدون تفکیک هر سازمانی را هدف قرار می‌دهند که تصور شود منابع لازم برای پرداخت را دارد. علاوه بر این، سرمایه گذاری کم سابقه این بخش‌ها در امنیت سایبری در مقایسه با بخش‌های مالی یا فناوری، آنها را به اهداف جذابی تبدیل می‌کند.

به نظر می‌رسد اعتماد در میان بازیگران باج‌افزار در حال کاهش است. این بی‌اعتمادی چگونه بر اکوسیستم باج‌افزار تأثیر می‌گذارد و می‌تواند منجر به عملیات‌های پراکنده یا غیرمتمرکزتر شود؟
ما همیشه عبارت “هیچ افتخاری در میان دزدها وجود ندارد” را می‌شنویم و این واقعاً در برخی از حوادث اخیر باج افزار آشکار می‌شود. ما اخیراً کلاهبرداری خروج ALPHV را مشاهده کرده‌ایم، که در آن گفته می‌شود که شرکت‌های وابسته از درآمدشان کلاهبرداری شده‌اند. بنابراین، رویدادهایی مانند این و سرکوب گروه‌های بزرگتر مانند LockBit احتمالاً باعث ایجاد حس بی‌اعتمادی و تشدید تنش در جوامع مجرمان سایبری شده است.
همانطور که اعتماد از بین می‌رود، احتمالاً شاهد یک اکوسیستم باج افزار تکه تکه‌تر خواهیم بود. وابستگان وفادار ممکن است از هم جدا شوند تا برندهای خود را ایجاد کنند یا وفاداری خود را به گروه‌های دیگری که آنها را قابل اعتمادتر می‌دانند تغییر دهند. این انشعاب می‌تواند منجر به ظهور مجموعه‌های باج‌افزار کوچکتر و کمتر قابل پیش‌بینی شود.
ممکن است شاهد تغییر برندهای ساده 1 به 1 باشیم، مشابه زمانی که DarkSide پس از حمله استعماری Pipeline در سال 2021 به BlackMatter تغییر نام داد. با این حال، ما همچنین شاهد برجسته‌تر شدن برندهای 1 به چند هستیم، جایی که وابستگان یک نوع واحد تولید می‌شوند. چندین برند جدید به عنوان مثال، انواع باج افزار مانند 8base و Faust ممکن است هر دو مشتقات یک منبع واحد باشند.
صرف نظر از نوع، این پراکندگی و تمرکززدایی، هدف قرار دادن گروه‌های خاص را برای مجریان قانون دشوارتر می‌کند، زیرا مدل‌های سلسله مراتبی سنتی جای خود را به شبکه‌های سیال و توزیع‌شده بازیگران می‌دهند. در عین حال، از دیدگاه یک مدافع، بی اعتمادی در بین مجرمان سایبری مفید است، زیرا احتمالاً آنها را مؤثرتر، کارآمدتر و دفاع در برابر آنها را آسان‌تر می‌کند.

استفاده روزافزون از ابزارهای با کاربرد دوگانه توسط بازیگران باج‌افزار، تشخیص و پاسخ را پیچیده می‌کند. چگونه تیم‌های امنیتی باید استراتژی‌های خود را برای شناسایی و کاهش تهدیدات ناشی از این ابزارها تطبیق دهند؟
ابزارهایی که متوجه شدیم معمولاً توسط بازیگران RaaS مورد استفاده قرار می‌گیرند شامل PDQ Connect، Action1، AnyDesk و TeamViewer برای دسترسی از راه دور‌ و همچنین‌rclone ، rsync ،‌Megaupload و FileZilla برای استخراج داده‌ها هستند. اینها ابزارهای نرم افزاری قانونی هستند که معمولاً در عملیات فناوری اطلاعات استفاده می‌شوند. بنابراین، این ماهیت دو منظوره به آن‌ها اجازه می‌دهد تا از کنترل‌های سنتی ضد بدافزار فرار کنند و به طور یکپارچه در فعالیت‌های عادی شبکه ترکیب شوند‌ و تشخیص و پاسخ را چالش‌برانگیزتر می‌کند. روش‌های تشخیص سنتی مبتنی بر امضا در برابر چنین ابزارهایی با کاربرد دوگانه مؤثرتر هستند.
تیم‌های امنیتی باید به سمت تجزیه و تحلیل رفتاری حرکت کنند و بر شناسایی الگوهای رفتاری غیرعادی یا مشکوک تمرکز کنند تا اینکه صرفاً بر امضاهای بدافزار شناخته شده تکیه کنند. به عنوان مثال، اگر یک ابزار معمولی خوش خیم مانند TeamViewer خارج از ساعات کاری معمولی یا از یک آدرس IP غیر معمول استفاده می‌شود، می‌تواند نشان دهنده فعالیت مخرب باشد.
ایجاد یک مبنای فعالیت عادی برای ابزارهای با کاربرد دوگانه در سازمان بسیار مهم است. با درک الگوهای استفاده معمولی، تیم‌های امنیتی می‌توانند به طور مؤثرتری انحرافاتی را که ممکن است نشان‌دهنده سوء‌استفاده باشد، شناسایی کنند. به عنوان مثال، اگر ابزاری مانند rclone به طور ناگهانی برای انتقال حجم زیادی از داده به یک سرور خارجی ناآشنا استفاده شود، این باید یک هشدار را ایجاد کند، حتی اگر خود ابزار قانونی باشد.
راه‌حل‌های مدیریت نوردهی نیز می‌توانند نقش مهمی ایفا کنند. این فناوری‌ها به تیم‌های امنیتی دید جامعی را در سراسر شبکه گسترده‌شان ارائه می‌کنند و سیستم‌های آسیب‌پذیر، پیکربندی‌های نادرست یا دارایی‌های پرخطر را که می‌توانند از طریق ابزارهای قانونی مورد سوء استفاده قرار گیرند، شناسایی می‌کنند.

گرایش به سمت باج‌افزارهایی که سرقت داده‌ها را بر حملات رمزگذاری سنتی اولویت می‌دهند، در حال آشکارتر شدن است. این چگونه چشم‌انداز ریسک را برای سازمان‌ها تغییر می‌دهد و تمرکز تدابیر دفاعی آن‌ها چیست؟
سرقت داده‌های با ارزش مانند UP، سوابق مالی و اطلاعات مشتریان به مجرمان سایبری مزیت قدرتمندی در مذاکرات باج می‌دهد. سازمان‌ها همچنین با آسیب‌های طولانی‌مدت ناشی از از دست دادن اعتماد مشتری، مجازات‌های نظارتی و آسیب به شهرت مواجه می‌شوند.
مجرمان سایبری متوجه می‌شوند که تمرکز بر سرقت داده‌ها به زمان کمتر و منابع کمتری نسبت به استقرار رمزگذاری در مقیاس کامل در کل سازمان نیاز دارد. این رویکرد “Smash and Grab” به مهاجمان اجازه می‌دهد تا به سرعت حملات را اجرا کنند و به سمت هدف بعدی حرکت کنند و کارایی کلی آنها را افزایش دهند.
دفاع در برابر این تاکتیک‌ها مستلزم تمرکز فوری بر حفاظت از داده‌ها است. اولویت‌های حیاتی شامل شناسایی و ایمن سازی داده‌های حساس، اجرای کنترل‌های دسترسی دقیق، و نظارت مستمر برای دسترسی به داده‌های مشکوک و فعالیت‌های استخراج است.
علاوه بر این، اجرای رمزگذاری برای داده‌ها در حالت استراحت و در حال انتقال می‌تواند ارزش داده‌های سرقت شده را کاهش دهد. اگر بازیگران باج‌افزار موفق به استخراج داده‌ها شوند، داده‌های رمزگذاری‌شده بدون کلیدهای رمزگشایی مربوطه غیرقابل خواندن و غیرقابل استفاده می‌مانند.
در عین حال، دفاع‌های سنتی در برابر رمزگذاری باج افزار، مانند استراتژی‌های پشتیبان‌گیری و تقسیم‌بندی شبکه، همچنان مهم هستند.
کسب‌وکارها همچنین باید اطمینان حاصل کنند که طرح‌های واکنش به حادثه، چالش‌های منحصربه‌فرد ناشی از سرقت داده‌ها را برطرف می‌کند. این شامل آماده شدن برای سناریوهای بالقوه اخاذی مضاعف و آمادگی برای مدیریت پیامدها با مشتریان و سایر ذی‌نفعان است.
به طور کلی، سازمان‌ها باید تمرکز خود را بر امنیت داده‌ها افزایش دهند و برای سناریوهای پیچیده‌تر اخاذی آماده شوند. آنهایی که دارای مدیریت مواجهه قوی و ابزارهای امنیتی بالغی هستند که بر مهار نفوذ متمرکز شده‌اند، برای کاهش این تهدیدات در حال تحول موقعیت بهتری دارند.

https://313-313.ir/