باجافزار یک نوع نرمافزار مخرب (بدافزار) است که تمام دادهها را برروی رایانه یا دستگاه تلفن همراه رمزگذاری کرده و دسترسی مالک آنها را به این دادهها مسدود میکند. هنگامی که این آلودگی اتفاق میافتد، قربانی پیامی دریافت میکند که در آن دستورالعملهای چگونگی پرداخت باج (معمولا در بیتکوینها) ارائه شده است.
فرآیند اخاذی اغلب شامل محدودیت زمانی برای پرداخت میشود و پرداخت جریمه هم باید کلید رمزگشایی را به قربانی بدهد اما هیچ تضمینی وجود ندارد که این اتفاق بیافتد. دو نوع باجافزار رایج وجود دارد؛ باجافزار رمزگذاری که شامل الگوریتمهای رمزنگاری پیشرفته است. این برنامه برای مسدود کردن فایلهای سیستم و تقاضای باج است و برای دسترسی قربانی به آنها، کلیدی وجود دارد که میتواند محتوای مسدود شده را رمزگشایی کند.
نوع دیگر باجافزار مسدودکننده است که قربانی را به وسیله سیستم عامل مسدود میکند و امکان دسترسی به دسکتاپ و هر برنامه یا فایلی را غیرممکن میسازد؛ پروندهها در این مورد رمزگذاری نمیشوند اما مهاجمان باز هم برای کامپیوتر آلوده باجگیری میکنند.
باجافزارها دارای برخی ویژگیهای کلیدی هستند که آن را از دیگر نرمافزارهای مخرب مجزا میکند و رمزگذاری غیرقابل شکست از جمله ویژگیهای آن است. به این معنی که نمی توانید فایلها را خودتان رمزگشایی کنید اما باجافزار میتواند انواع فایلها، از اسناد تا تصاویر، فایلهای صوتی و سایر مواردی که ممکن است روی رایانه باشد، رمزگذاری کند.
همچنین باجافزار میتواند نام فایلها را رمزگذاری کند، بنابراین نمیتوان فهمید کدام اطلاعات تحت تاثیر قرار گرفتهاند؛ این یکی از ترفندهای مهندسی اجتماعی است که برای جلب توجه و قربانی کردن قربانیان برای پرداخت باج استفاده میشود. باج افزار یک افزونه متفاوت به فایلها اضافه خواهد کرد و گاهی اوقات یک نوع خاصی از آسیب، باجافزار را سیگنال میکند.
از سوی دیگر، باجافزار تصویر یا پیامی را نشان میدهد که نشاندهنده رمزگذاری شدن اطلاعات شما هست و برای بازگرداندن آنها مبلغ خاصی را از شما درخواست میکند همچنین درخواست پرداخت در بیتکوین را میدهد، زیرا این رمزگذاری نمیتواند توسط محققان امنیتی سایبری یا سازمانهای قانونی انجام شود.
معمولا این باجگیریها محدودیت زمانی دارند تا سطح دیگری از محدودیتها برای این طرح اخاذی، اضافه شود. معمولا گذشت از زمان سررسید به معنای افزایش باج است، اما این میتواند بدین معنا باشد که اطلاعات ناقص شده یا برای همیشه از بین رفته است.
باجافزار همچنین از مجموعه پیچیدهای از تکنیکهای گریز از آنتیویروسهای سنتی استفاده و اغلب رایانههای آلوده به باتنت را جذب میکند، بنابراین مجرمان اینترنتی میتوانند زیرساختهای خود را افزایش دهند و حملات آینده را تقویت کنند و نیز میتواند به دیگر رایانههای شخصی متصل به شبکه محلی انتشار یابد و باعث ایجاد آسیب بیشتر شود.
دلیل هجوم به کاربران خانگی، کسب و کارها و نهادهای دولتی
اینکه چرا سازندگان و توزیعکنندگان باجافزار، کاربران خانگی را هدف قرار میدهند، دلایل متعددی دارد. زیرا کاربران خانگی پشتیبانگیری دادهها را ندارند، آموزش امنیت سایبری ندیدهاند و ممکن است روی هر چیزی کلیک کنند. کمبود دانش امنیتی آنلاین باعث میشود تا مهاجمان سایبری بتوانند به راحتی دسترسی به اطلاعاتشان داشته باشند.
کاربران خانگی حتی امنیت پایه سایبری را ندارند و نرمافزار خود را به روز نگه نمیدارند، آنها موفق به سرمایهگذاری در راهحلهای امنیت سایبری نشدهاند و به شانس اعتقاد دارند تا آنها را امن نگه دارد. اکثر کاربران خانگی هنوز به طور انحصاری به آنتیویروس اعتماد میکنند تا از همه تهدیدات محفاظت شوند که اغلب در تشخیص و توقف باجافزار ناکارآمد هستند و بخش زیادی از کاربران اینترنتی، میتوانند قربانیان بالقوه شوند.
اما سازندگان و توزیعکنندگان باجافزار، کسبوکارها را نیز به دلایل متعدد هدف قرار میدهند. زیرا در کسبوکارها پول زیادی وجود دارد، مهاجمان میدانند که یک آلودگی موفق میتواند باعث اختلال در کسبوکار بزرگ شود و شانس آنها جهت دریافت پول افزایش مییابد. سیستمهای کامپیوتری در شرکتها اغلب پیچیده و مستعد آسیبپذیری هستند که میتوانند از طریق وسایل فنی مورد استفاده قرار گیرند.
همچنین عامل انسانی هنوز یک مسئولیت بزرگ است که میتواند مورد سوءاستفاده قرار گیرد اما از طریق تاکتیکهای مهندسی اجتماعی، باجافزار با نفوذ به هسته کسبوکار، میتواند نه تنها کامپیوترها را بلکه سرورها و سیستمها به اشتراکگذاری فایل مبتنی بر ابر را نیز تحت تاثیر قرار دهد و همچنین کسبوکارهای کوچک اغلب آماده مقابله با حملات پیشرفته سایبری نیستند.
سازندگان و توزیعکنندگان باجافزار، نهادهای دولتی را نیز هدف قرار میدهند. موسسات دولتی مانند ادارات دولتی، پایگاههای اطلاعاتی عظیم شخصی و محرمانه را مدیریت میکنند که مجرمان سایبری میتوانند آنها را به فروش برسانند. کاهش بودجه و مدیریت غیرمستقیم اغلب بر بخشهای سایبری تاثیر میگذارد، همچنین کارکنان برای کشف و جلوگیری از حملات سایبری آموزش ندیدهاند (نرمافزارهای مخرب اغلب از تاکتیکهای مهندسی اجتماعی برای سوءاستفاده از ناهنجارهای انسانی و ضعفهای روحی استفاده میکنند).
موسسات دولتی اغلب از نرمافزار و تجهیزات قدیمی استفاده میکنند، بدان معنی که سیستمهای کامپیوتری آنها با حفرههای امنیتی، پیکربندی میشود و مورد سوءاستفاده قرار میگیرند. یک آلودگی موفق تاثیر زیادی بر انجام فعالیتهای معمول دارد و باعث اختلالات زیادی میشود و حمله موفقیتآمیز به نهادهای دولتی، جنایتکاران سایبری را برای حملات بیشتر وسوسه میکند.
اقدامات پیشگیرانه و محدودکنندهی اثرگذاری حملات باجافزاری
از جمله این اقدامات میتوان به تهیه و نگهداری کپیهای پشتیبان از اطلاعات بهصورت آفلاین اشاره کرد. لازم به توجه است این نسخه پشتیبان لزوما باید بهصورت کاملا آفلاین بوده و بهطور فیزیکی از شبکه و سیستمها جدا باشد، زیرا وجود هرگونه ارتباط آنلاین نظیر NAS متصل به شبکه، هارد اکسترنال متصل به پورت USB یا پارتیشن NAS متصل به سرورها میتواند هنگام وقوع حمله منجر به از بین رفتن کپی پشتیبان به همراه دادههای اصلی شود.
بررسی و صحتسنجی مداوم نسخههای پشتیبان آفلاین، جداسازی (Segmentation) شبکه به زیرشبکههای کوچک و با دسترسی محدود و کنترلشده، اعمال سیاستهای سختگیرانه در دسترسیهای لبهی شبکه به ویژه مسدودسازی دسترسیهای مدیریتی راه دور نظیر RDP/SSH/Telnet و کنسولهای مدیریتی تحت وب تجهیزات مختلف و مسدودسازی پیوستهای خطرناک در سرویسدهندههای ایمیل سازمان نیز از دیگر اقدامات است.
همچنین لازم است از نرمافزارهای نامطمئن بهویژه برنامههای کرکشده و نامعتبر استفاده نشود، نصب و بهروزرسانی آنتیویروس در سطح همهی سیستمهای متصل به شبکه، رصد و پایش سرور اکتیودایرکتوری بهعنوان مهمترین سیستم در سطح شبکه و بهروزرسانی پیوستهی نرمافزارها و سیستمهای عامل نیز از دیگر اقدامات است.
در نهایت در صورت آلودگی به حملات باجافزاری، باید از دستکاری سیستم آلوده تا حد امکان خودداری شود. اگر از دادهی پشتیبان وجود دارد بهتر است تا زمانیکه بدافزار پاکسازی نشده از بازیابی خودداری شود، چرا که وجود بدافزار ممکن است منجر به آلودگی مجدد شده و پشتیبانها نیز از دست بروند. همچنین حین حادثه رایانههای آلوده سریعا خاموش شده و از راهاندازی مجدد آن از طریق سیستم عامل خود دستگاه خودداری شود و حین حادثه تمامی هاردها و رسانههای ذخیرهسازی به صورت فیزیکی از مدار خارج شوند.