بیایید نگاهی عمیق به بدنام ترین باج افزارهای باج افزار جهان و حملاتی که آنها در طول سال ها انجام داده اند داشته باشیم.
باج افزار یک عامل تهدید مهم است که سالانه میلیاردها دلار برای کسب و کارها، شرکت ها و اپراتورهای زیرساخت هزینه دارد. در پس این تهدیدات، باندهای حرفه ای باج افزار نهفته اند که بدافزارهایی را ایجاد و توزیع می کنند که حملات را ممکن می کند.
برخی از این گروه ها به طور مستقیم به قربانیان حمله می کنند، در حالی که برخی دیگر مدل محبوب Ransomware-as-a-a-Service (RaaS) را اجرا می کنند که به شرکت های وابسته امکان اخاذی از سازمان های خاص را می دهد.
با افزایش دائمی تهدید باج افزار، شناخت دشمن و نحوه عملکرد آنها تنها راه پیشروی است. بنابراین، در اینجا فهرستی از پنج گروه مرگبار باج افزار که فضای امنیت سایبری را مختل می کنند، آورده شده است.
1. Revil
گروه باج افزار REvil، با نام مستعار Sodinokibi، یک عملیات باج افزار به عنوان یک سرویس (RaaS) مستقر در روسیه است که برای اولین بار در آوریل 2019 ظاهر شد. این گروه یکی از بی رحم ترین گروه های باج افزار با پیوندهایی به آژانس خدمات فدرال روسیه (FSB) در نظر گرفته می شود. ).
این گروه به سرعت توجه متخصصان امنیت سایبری را به دلیل مهارت فنی خود و جسارت برای دنبال کردن اهداف برجسته به خود جلب کرد. سال 2021 سودآورترین سال برای این گروه بود زیرا چندین شرکت چند ملیتی را هدف قرار داد و چندین صنعت را مختل کرد.
قربانیان عمده
در مارس 2021، REvil به شرکت الکترونیک و سخت افزار Acer حمله کرد و سرورهای آن را به خطر انداخت. مهاجمان 50 میلیون دلار برای یک کلید رمزگشایی طلب کردند و تهدید کردند که در صورت عدم پاسخگویی شرکت به خواسته های گروه، باج را به 100 میلیون دلار افزایش خواهند داد.
یک ماه بعد، این گروه حمله دیگری را علیه تامین کننده اپل، Quanta Computers انجام داد. این شرکت تلاش کرد از کوانتا و اپل باج گیری کند، اما هیچ یک از این شرکت ها 50 میلیون دلار باج درخواستی را پرداخت نکردند.
گروه باج افزار REvil به هک کردن خود ادامه داد و JBS Foods، Invenergy، Kaseya و چندین تجارت دیگر را هدف قرار داد. جیبیاس فودز مجبور شد بهطور موقت فعالیتهای خود را تعطیل کند و برای از سرگیری فعالیتها، حدود ۱۱ میلیون دلار باج به بیتکوین پرداخت کرد.
حمله Kaseya توجه ناخواسته ای را به این گروه جلب کرد زیرا مستقیماً بیش از 1500 تجارت در سراسر جهان را تحت تأثیر قرار داد. به دنبال برخی فشارهای دیپلماتیک، مقامات روسیه در ژانویه 2022 چندین عضو گروه را دستگیر و دارایی هایی به ارزش میلیون ها دلار را توقیف کردند. اما این اختلال کوتاه مدت بود زیرا باند باجافزار REvil از آوریل 2022 پشتیبانگیری و اجرا شده است.
2. ادامه
Conti یکی دیگر از باجافزارهای بدنام است که از اواخر سال 2018 خبرساز شد. از روش اخاذی مضاعف استفاده میکند، به این معنی که این گروه کلید رمزگشایی را نگه میدارد و تهدید میکند که در صورت عدم پرداخت باج، دادههای حساس را فاش میکند. حتی یک وبسایت درز به نام Conti News را برای انتشار دادههای دزدیده شده اجرا میکند.
چیزی که Conti را از سایر گروههای باجافزار متمایز میکند، فقدان محدودیتهای اخلاقی در اهداف آن است. چندین حمله در بخش های آموزشی و بهداشتی انجام داد و میلیون ها دلار باج خواست.
قربانیان عمده
گروه باج افزار Conti سابقه طولانی در هدف قرار دادن زیرساخت های عمومی مهم مانند مراقبت های بهداشتی، انرژی، فناوری اطلاعات و کشاورزی دارد. در دسامبر 2021، این گروه گزارش داد که بانک مرکزی اندونزی را به خطر انداخته و اطلاعات حساسی را به میزان 13.88 گیگابایت به سرقت برده است.
در فوریه 2022، کونتی به یک اپراتور پایانه بین المللی به نام SEA-invest حمله کرد. این شرکت دارای 24 بندر دریایی در سراسر اروپا و آفریقا است و در حمل و نقل فله خشک، میوه و مواد غذایی، فله مایع (نفت و گاز) و ظروف تخصص دارد. این حمله تمام 24 بندر را تحت تأثیر قرار داد و اختلالات قابل توجهی ایجاد کرد.
کونتی همچنین در ماه آوریل مدارس دولتی شهرستان بروارد را به خطر انداخته بود و 40 میلیون دلار باج خواسته بود. پس از اینکه منطقه از پرداخت باج امتناع کرد، این گروه اسناد سرقت شده را در وبلاگ خود فاش کرد.
اخیراً، رئیس جمهور کاستاریکا مجبور شد در پی حملات کونتی به چندین سازمان دولتی وضعیت اضطراری ملی اعلام کند.
3. دارک ساید
گروه باج افزار DarkSide از مدل RaaS پیروی می کند و کسب و کارهای بزرگ را برای اخاذی مقادیر زیادی پول هدف قرار می دهد. این کار را با دسترسی به شبکه یک شرکت، معمولاً از طریق فیشینگ یا brute force انجام می دهد و تمام فایل های موجود در شبکه را رمزگذاری می کند.
چندین نظریه در مورد منشاء گروه باج افزار DarkSide وجود دارد. برخی از تحلیلگران فکر می کنند که در اروپای شرقی، جایی در اوکراین یا روسیه مستقر است. برخی دیگر معتقدند این گروه در چندین کشور از جمله ایران و لهستان امتیاز دارد.
قربانیان عمده
گروه DarkSide تقاضای باج هنگفتی می کند، اما ادعا می کند که یک کد رفتاری دارد. این گروه ادعا میکند که هرگز مدارس، بیمارستانها، مؤسسات دولتی و هر زیرساختی که بر مردم تأثیر میگذارد را هدف قرار نمیدهد.
با این حال، در می 2021، DarkSide حمله Colonial Pipeline را انجام داد و 5 میلیون دلار باج خواست. این بزرگترین حمله سایبری به زیرساخت های نفتی در تاریخ ایالات متحده بود و عرضه بنزین و سوخت جت در 17 ایالت را مختل کرد.
این حادثه باعث ایجاد گفتگوهایی در مورد امنیت زیرساختهای حیاتی و چگونگی تلاش دولتها و شرکتها برای حفاظت از آنها شد.
پس از این حمله، گروه DarkSide سعی کرد با مقصر دانستن افراد وابسته به شخص ثالث، نام خود را پاک کند. با این حال، به گفته واشنگتن پست، این گروه پس از افزایش فشار ایالات متحده تصمیم به تعطیلی فعالیت خود گرفت.
4. DoppelPaymer
باج افزار DoppelPaymer جانشین باج افزار BitPaymer است که برای اولین بار در آوریل 2019 ظاهر شد. این باج افزار از روش غیرمعمول فراخوانی قربانیان و درخواست باج در بیت کوین استفاده می کند.
DoppelPaymer ادعا می کند که در کره شمالی مستقر است و از مدل باج افزار اخاذی مضاعف پیروی می کند. فعالیت این گروه چند هفته پس از حمله به خط لوله استعماری کاهش یافت، اما تحلیلگران بر این باورند که این گروه خود را به گروه Grief تغییر نام داد.
قربانیان عمده
DopplePaymer اغلب شرکتهای نفتی، خودروسازان و صنایع حیاتی مانند مراقبتهای بهداشتی، آموزش و خدمات اضطراری را هدف قرار میدهد. این اولین باج افزاری است که باعث مرگ یک بیمار در آلمان شد، زیرا پرسنل خدمات اورژانس نتوانستند با بیمارستان ارتباط برقرار کنند.
این گروه زمانی که اطلاعات رای دهندگان را از شهرستان هال، جورجیا منتشر کرد، خبرساز شد. سال گذشته، سیستم های مشتری کیا موتورز آمریکا را نیز به خطر انداخت و اطلاعات حساس را به سرقت برد. این گروه 404 بیت کوین را به عنوان باج طلب کرد که تقریباً معادل 20 میلیون دلار در آن زمان بود.
5. LockBit
LockBit اخیراً یکی از برجستهترین باجافزارهای باجافزاری بوده است، به لطف کاهش سایر گروهها. از زمان اولین حضور خود در سال 2019، LockBit رشد بیسابقهای داشته است و تاکتیکهای خود را به طور قابل توجهی تکامل داده است.
LockBit در ابتدا به عنوان یک باند کم حاشیه شروع به کار کرد اما با راه اندازی LockBit 2.0 در اواخر سال 2021 محبوبیت پیدا کرد. این گروه از مدل RaaS پیروی می کند و از تاکتیک اخاذی مضاعف برای باج گیری از قربانیان استفاده می کند.
قربانیان عمده
LockBit در حال حاضر یک گروه باج افزار تاثیرگذار است که بیش از 40 درصد از حملات باج افزار را در می 2022 به خود اختصاص داده است. این گروه به سازمان ها در ایالات متحده، چین، هند و اروپا حمله می کند.
در اوایل سال جاری، LockBit گروه Thales، یک شرکت چندملیتی الکترونیک فرانسوی را مورد هدف قرار داد و تهدید کرد که در صورت عدم پاسخگویی به درخواستهای باجگیری این شرکت، اطلاعات حساسی را افشا خواهد کرد.
همچنین وزارت دادگستری فرانسه را به خطر انداخت و پرونده های آنها را رمزگذاری کرد. این گروه اکنون ادعا می کند که سازمان مالیاتی ایتالیا (L’Agenzia delle Entrate) را نقض کرده و 100 گیگابایت داده را به سرقت برده است.
محافظت در برابر حملات باج افزار
باج افزار همچنان یک صنعت پر رونق بازار سیاه است و هر ساله میلیاردها دلار درآمد برای این باندهای بدنام ایجاد می کند. با توجه به مزایای مالی و در دسترس بودن فزاینده مدل RaaS، تهدیدها فقط افزایش خواهند یافت.
مانند هر بدافزار دیگری، هوشیاری و استفاده از نرمافزار امنیتی مناسب، گامهایی در مسیر درست برای مبارزه با باجافزار است. اگر هنوز آماده سرمایه گذاری بر روی یک ابزار امنیتی ممتاز نیستید، می توانید از ابزارهای حفاظت باج افزار داخلی ویندوز برای ایمن نگه داشتن رایانه شخصی خود استفاده کنید.