بررسی وضعیت باجافزارهای رایانهای در ۲سال اخیر نشان می دهد که بیشترین کاربرانی که مورد حمله باجافزارها قرار گرفتند، کاربران خانگی بودهاند و قزاقستان، الجزایر و اوکراین در صدر حملات هستند.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (مرکز ماهر) با مروری بر تهدیدات باجافزاری طی دو سال گذشته، وضعیت باجافزارهای رایانهای و آمار تهدیدات جهانی از این نرم افزارهای مخرب را در سالهای ۲۰۱۴ تا ۲۰۱۶ میلادی، اعلام کرد.
Ransomware یا باجافزار نوعی از نرم افزارهای مخرب (بدافزار) است که به محض اینکه دستگاهی را آلوده کند، مانع دسترسی به آن دستگاه یا اطلاعات ذخیره شده آن می شود. زمانی که یک باجافزار وارد سیستم کاربر شود، دیگر شانسی برای باز پس گیری اطلاعات شخصی وجود ندارد. همچنین تقاضای پرداخت باج از طریق پول های مجازی (Bitcoins بیت کوین ) باعث میشود تا ردیابی مجرم امکان پذیر نباشد و فرآیند پرداخت مجهول باقی بماند.
یافته های اصلی از باج افزارها در ۲ سال
باج افزارها عمدتا دو نوع از بدافزار شامل باجافزارهای از نوع مسدودکننده دسترسی به سیستم عامل و نیز باجافزارهایی از نوع رمزگذار را شامل می شوند که امروزه به طور گسترده به جای باجافزار رمزگذار، از کلمه مختصر مترادف آن یعنی «باجافزار» استفاده میشود. اگرچه با توجه به آمارهای منتشرشده تعداد کاربرانی که با مسدودکننده ها مواجه می شوند نیز همچنان بالا است.
بزرگترین تفاوت بین دو نوع باجافزار مسدودکننده و رمزگذار آن است که صدمات مسدودکننده کاملا قابل برگشت است. حتی در بدترین حالت، صاحب کامپیوتر آلوده می تواند به سادگی OS را دوباره نصب کند و همه فایل هایشان را برگرداند. ولی باجافزارهای رمزگذار مطمئنا بسیار پیچیده تر هستند زیرا در حالت کلی امکان ندارد فایلی بدون کلید رمزگشایی، بازگردانیده شود. معمولا این کلیدها روی سرورهای مجرمان ذخیره می شوند و قربانیان به آن دسترسی ندارند. شدت عواقب ناشی از آلودگی سیستم ها، یکی از دلایلی است که باجافزارهای رمزگذار را در بین مجرمان سایبری محبوب کرده است.
پیگیری ها نشان می دهد که در حال حاضر، باجافزارها تهدیدی جدی برای کاربران اینترنت محسوب می شوند. براساس این آمارها، تعداد کل کاربرانی که در بازه زمانی آوریل ۲۰۱۵ و مارس ۲۰۱۶ با باجافزار مواجه شده اند، ۱۷.۷ درصد نسبت به ۱۲ ماه قبل آن (آوریل ۲۰۱۴ الی مارس ۲۰۱۵) افزایش یافته است. به این معنی که ۲ میلیون و ۳۱۵ هزار و ۹۳۱ کاربر در جهان درگیر باج افزار شده اند. همچنین نسبت کاربرانی که حداقل یکبار با باجافزار مواجه شده اند از تعداد کل افرادی که با بدافزار مواجه شده اند، ۰.۷ درصد افزایش یافته است .
در میان کسانی که با باجافزار مواجه شده اند، نسبت کسانی که با نوع رمزنگار مواجه شده اند، ۲۶ درصد بیشتر بوده است و از ۶.۶ درصد به ۳۱.۶ درصد تا سال ۲۰۱۶ رسیده است.در همین حال تعداد کاربرانی که با رمزنگارها مورد حمله قرار گرفته اند در این بازه زمانی ۵.۵ برابر افزایش یافته و تعداد کاربرانی که با باجافزارهای مسدودکننده دسترسی به سیستم عامل مورد حمله قرار گرفته اند، ۱۳.۳ درصد کاهش یافته است که حدود یک و نیم میلیون نفر را دربر می گیرد.
باجافزارها از کجا آمدند
هر چند که در حال حاضر باجافزارها به طور گسترده مورد توجه رسانه ها و جامعه امنیتی قرار گرفته اند، ولی در حقیقت نسخه اولیه باجافزارها در سال ۱۹۸۹ منتشر شده است (زمانی که اولین بدافزار از تکنیک رمزگذاری فایل ها استفاده کرد). نمونه بعدی بدافزار باج گیر که Gpcode نام داشت، مدت ها پیش در اواسط سال ۲۰۰۰ توسط محققان امنیتی کشف شد. این باجافزار با الگوریتم رمزنگاری خود قادر به رمزگذاری فایل ها روی ماشین آلوده بود.
Gpcode با چند نمونه دیگر که از خانواده آن محسوب می شدند (از جمله Cryzip, Krotten و غیره) همراه بود. پس از آن یک نسخه سبکتری از Gpcode ظهور کرد. ظهور چنین برنامه هایی حوادث نسبتا کوچکی را ایجاد می کرد ولی هرگز هیچ فردی آن ها را به عنوان یک اپیدمی تصور نمی کرد. این وضعیت برای سال ها بدون تغییر باقی ماند.
اما اولین اپیدمی حقیقی باجافزارها مربوط به سال ۲۰۱۰ میلادی است که ۱۰۰۰ کاربر خانگی در روسیه و برخی کشورهای همسایه آن با cryptic windows مواجه شدند که همه دسکتاپ ویندوز را پوشانده بود و معمولا شامل یک پیام بود که مهاجم از قربانی به منظور باز کردن مرورگر یا صفحه کامپیوتر درخواست باج می کرد.
از لحاظ مقیاس، این مشکل به قدری بزرگ و تعداد قربانیان آن قابل توجه بود که باعث شد مراجع دولتی نیز درگیر شوند و پوشش رسانه ای گسترده چه از طریق تلویزیون و چه از طریق وبلاگ ها در روسیه ایجاد شود.
باجافزار رایانه های شخصی: از مسدودکننده ها تا باجافزارهای رمزگذار
بررسی صورت گرفته از ارزیابی ظهور باج افزارها طی دو سال اخیر، نشان می دهد که شیوع باجافزارها به صورت متناوب بوده و هر چند ماه افزایش و کاهش داشته است؛ البته مدت زمان کاهش آن طولانی نبوده است. به عنوان مثال، در فوریه ۲۰۱۶ هر دو گروه (باجافزارها و باجافزارهای رمزگذار) سقوط چشمگیر داشته و سپس مجددا افزایش ادامه یافته است.
بررسی روند رفتار باجافزارها در حمله به کاربران نیز نشان می دهد که در جولای ۲۰۱۴ میلادی بیش از ۲۷۴ هزار کاربر درگیر باجافزارها بودهاند. دلیل اصلی برای این افزایش، رواج باجافزار مسدودکننده مرورگر Trojan-Ransom.JS.SMSer.pn بود که بیش از ۳۱ درصد از ۲۷۴ هزار کاربر توسط این باجافزار مورد حمله قرار گرفتند، در این بازه زمانی، باجافزارهای رمزگذار یک دهم (۱۱.۶۳ درصد) از کل افراد را آلوده کردند.
همچنین در آوریل ۲۰۱۵ حدود ۲۸۲.۵ هزار کاربر توسط انواع باجافزار مورد حمله قرار گرفتند. این امر ناشی از شیوع باجافزارهای مختلف بوده که تنها ۱۰ درصد از آنها از نوع باجافزار رمزنگار بوده اند. ماه اکتبر سال ۲۰۱۵ با بیش از ۴۲۸.۴ هزار کاربری که مورد حمله باجافزار قرار گرفتند، عنوان بیشترین تعداد کاربر آلوده به باجافزار را به خود اختصاص داده است ولی باز هم از میان افراد آسیب دیده ۹.۳۸ درصد از افراد به باجافزار رمزگذار آلوده شده بودند.
در ماه مارس ۲۰۱۶ و زمانی که موج دیگری از حملات باجافزار صورت گرفت، وضعیت بسیار متفاوت بود. در این ماه بیش از نیمی از افراد (۵۱.۹ درصد) با باجافزارهای از نوع رمزگذار مواجه شده بودند. این امر عمدتا ناشی از فعالیت گسترده باجافزار TeslaCrypt بود.
گسترش شیوع باجافزارهای رمزگذار در ماه های آوریل و می سال ۲۰۱۶ میلادی (هر چند که فراتر از محدوده این گزارش است) این روند را تایید می کند (در ماه آوریل ۲۰۱۶، ۵۴ درصد از کاربران و در ماه می ۳۵.۷ درصد از کاربران مورد حمله باجافزارهای رمزگذار قرار گرفتند).
بازیگران اصلی باجافزارهای از نوع رمزگذار
با نگاه به گروه های باجافزار فعال در مدت زمان تحت پوشش این گزارش، به نظر می رسد که در این مدت زمان، تعداد نسبتا کمی باجافزار رمزگذار عامل این تهدید جهانی بوده اند. در اوایل این بازه زمانی (از آوریل ۲۰۱۴ الی مارس ۲۰۱۵) اکثر باجافزارهای از نوع رمزکننده متعلق به گروه هایی از بدافزارهای Shade، Aura، Lortok، Fury، TorrentLocker، CTB-Locker، Mor، Scatter، Crykal، CryptoWall بودند. این باجافزارها به ۱۰۱.۵۶۸ کاربر در سراسر دنیا حمله کرده که ۷۷.۴۸ از کلیه کاربران آلوده به انواع باجافزار را تشکیل می دهد.
اما در سال بعد، شرایط تغییر کرد و Tesla Crypt، CBT-Locker و Cryakl به تنهایی توانستند ۷۹.۲۱ درصد از آلودگی به باجافزارهای رمزگذار را تشکیل دهند.
جالب توجه است که در سال ۲۰۱۶-۲۰۱۵، طبقهبندی (Others) به ۲.۴۱ درصد از حملات کاهش یافته در حالی که یک سال قبل از آن ۲۲.۵۵ درصد محاسبه شده بود. این افت میتواند نشانه توسعه یافتن زیرساخت مجرمان باشد. به عبارت دیگر، مجرمان به جای آنکه خودشان باجافزار را توسعه دهند، بدافزار «آماده برای استفاده» خریداری میکنند.
کاربران خانگی هدف بیشترین حملات باجافزارها
مروری بر نوع کاربرانی که بیشتر هدف باجافزارها قرار گرفتهاند، نشان میدهد که در بازه زمانی مورد مطالعه در گزارش، کاربران خانگی هدف بیشتر حملات باجافزار، بوده اند. اپیدمی باجافزارهای مسدودکننده در سال ۲۰۱۰ میلادی در مناطق روسیه علت این امر عنوان شده است.
در دوره اول، ۹۳.۲ درصد کاربرانی که با باجافزار مواجه شدند، جزء کاربران خانگی بوده اند. در حالی که ۶.۸ درصد افراد باقیمانده، کاربران سازمانها بودند. در دوره دوم با آنکه سهم کاربران سازمانها در حمله با باجافزارها دو برابر (۱۳.۱۳ درصد) شد یعنی افزایش ۶ درصدی داشت، ولی همچنان کاربران خانگی بیشتر مورد حمله قرار گرفتند.
در طول ۲۴ ماهی که این گزارش پوشش میدهد، سهم کاربران سازمانی که توسط باجافزارهای رمزنگار مورد حمله قرار گرفتند، حدود ۲۰ درصد ثابت باقی مانده است . اما این ثبات ظاهری در تعداد واقعی منعکس نشده است. تعداد کاربران سازمانی که با باجافزارهای رمزگذار مورد حمله قرار گرفتند، نزدیک به ۶ برابر افزایش یافته است.
۳ کشور، هدف بیشترین حملات باج افزارها
تجزیه و تحلیل مکان جغرافیایی کاربران آلوده نشان میدهد که کشورهای قزاقستان، الجزایر و اوکراین به ترتیب دارای بیشترین آمار آلودگی نسبت به «تعداد باجافزار» به «تعداد بدافزار» بودهاند. نسبت تعداد کاربران آلوده به باجافزار به تعداد کاربران آلوده به هر نوع بدافزار میتواند معیار نسبتا مناسبی برای بررسی پراکندگی جغرافیایی باشد.
در بازه زمانی سال ۲۰۱۴ تا ۲۰۱۵ ، لیست کشورهای با سهم بالاتر از حملات ناشی از باجافزارها در جدول زیر نشان داده شده است.
اما یک سال بعد وضعیت به طور قابل توجهی تغییر کرد و هند از جایگاه هفتم به جایگاه اول جدول با ۹.۶ درصد کاربران آلوده انتقال پیدا کرد. همچنین سهم کاربران روسیه به ۶.۴۱ درصد افزایش یافت و به دنبال آنها کشورهای قزاقستان، ایتالیا، آلمان، ویتنام و الجزایر قرار گرفتند.
از نظر تعداد قربانیان، کشورهای هند و برزیل و روسیه و آلمان در صدر جدول به عنوان بیشترین کاربران قربانی باجافزار هستند. همچنین در بازه زمانی سال ۲۰۱۵ تا ۲۰۱۶، قربانیان کشورهای ایالات متحده، ویتنام، الجزایر و اکراین و قزاقستان به طور قابل ملاحظهای کاهش یافتند.
در همین حال ۱۰ کشوری که سهم بالایی از کاربرانی که حمله با باج افزار رمزگذار را به خود اختصاص داده اند در جدول زیر آمده است. این کشورها ۶۴.۱۴ درصد از کل کاربرانی را تشکیل می دهند که با هرگونه باجافزاری و ۵۲.۸۳ درصد از آنها با باجافزارهای رمزگذار درگیر بوده اند. در سالهای ۲۰۱۵ تا ۲۰۱۶ این مقادیر به ترتیب به ۶۴.۵۷ درصد و ۶۱.۳۲ درصد افزایش یافتند.
در سال ۲۰۱۶ باجافزارهای رمزگذار خیلی شایعتر شده و سهم چنین حملات در برخی کشورها (مانند ایالات متحده، برزیل، قزاقستان، اوکراین، ویتنام و روسیه) بیش از ۲۰ درصد افزایش یافته است و در برخی از کشورها مانند آلمان و ایتالیا باجافزارهای رمزگذار پیشتاز بوده اند.
مرکز ماهر با تاکید براینکه اگرچه در برخی از کشورها تعداد کاربران مورد حمله با انواع مختلف باجافزار کاهش یافته ولی هیچ کشوری وجود ندارد که سهم کاربران مورد حمله با باجافزار رمزگذار آن کاهش داشته باشد، اعلام کرد: برخی کشورها مانند آلمان، برزیل، اوکراین، قزاقستان و ایتالیا نرخ رشد بسیار بالایی در این حملات دارند و در نتیجه باید همه کاربران به ویژه این کشورها در استفاده از شبکه جهانی اینترنت محتاط عمل کنند.