پایگاه دانش آلما / سیمانتک روند رو به رشد باج افزارها و راهکارهای نوین سیمانتک

روند رو به رشد باج افزارها و راهکارهای نوین سیمانتک

روند رو به رشد باج افزارها و راهکارهای نوین سیمانتک

روند رو به رشد باج افزارها و راهکارهای نوین سیمانتک

با وجود تلاشهای بین المللی برای مقابله با باج افزار، این تهدید سایبری همچنان به عنوان یکی از مخرب ترین چالش های امنیتی جهان مطرح است. بر اساس گزارش تیم Threat Hunter شرکت سیمانتک (Symantec)، حملات باج افزاری در سال ۲۰۲۴ نسبت به سال قبل ۳٪ افزایش یافته و نشاندهنده انعطاف پذیری بالای این تهدید است.

۱. سال ۲۰۲۴: سال تلاش های قانونی و ظهور گروه های جدید

 اگرچه عملیات های پلیس بین المللی در اواخر ۲۰۲۳ و اوایل ۲۰۲۴ منجر به اختلال در فعالیت گروه های بزرگی مانند LockBit و Noberus شد، اما این موفقیت ها موقتی بود. مهاجمان به سرعت با ایجاد گروه های جدید مانند RansomHub و Qilin جای خالی را پر کردند.

LockBit: افولی نسبی با ظهور رقیبان

     LockBit که توسط گروه Syrphid اداره می شد، سال ها پیشتاز حملات باج افزاری بود. اما پس از عملیات های پلیس در فوریه و مه ۲۰۲۴ (شامل افشای هویت رهبران آن)، اعتماد افیلیتها به این گروه کاهش یافت.

     با این حال، در دسامبر ۲۰۲۴، نسخه جدیدی به نام LockBit 4.0 معرفی شد که از تکنیک هایی مانند سرقت اعتبارنامه های نرم افزار Veeam و غیرفعال سازی سرویس ها از طریق WMI استفاده می‌کند.

 RansomHub: جایگزینی سریع و مرموز

     RansomHub که در فوریه ۲۰۲۴ ظهور کرد، تا پایان سال به یکی از فعالترین گروه ها تبدیل شد. تحلیل سیمانتک نشان میدهد این باج افزار نسخه ارتقایافته Knight است که کد منبع آن در دارکوب فروخته شد.

     مهاجمان RansomHub با سوءاستفاده از آسیب پذیریهایی مانند Zerologon (CVE-2020-1472)، CitrixBleed (CVE-2023-3519)، و ابزارهایی مانند Atera و Splashtop به شبکه ها نفوذ می کنند.

     جذابیت RansomHub برای افیلیت ها، مدل پرداخت غیرمتعارف آن است: افیلیت ها پیش از تقسیم سود، کل مبلغ را از قربانی دریافت می کنند!

 Qilin: تهدیدی چند پلت فرمی با اهداف کلان

     گروه Stinkbug، عامل باج افزار Qilin، در سال ۲۰۲۴ با جذب افیلیت ها به چهارمین گروه بزرگ تبدیل شد. این باج افزار که ابتدا با زبان Go و بعداً با Rust نوشته شد، توانایی هدفگیری ویندوز، لینوکس و ESXi را دارد.

     در ژوئن ۲۰۲۴، حمله Qilin به بیمارستان های لندن باعث اختلال گسترده در خدمات بهداشتی شد. نسخه جدید Qilin.B با قابلیت های رمزگذاری پیشرفته (AES-256-CTR) و حذف فایل‌های ریکاوری، تهدیدی جدیتر برای ۲۰۲۵ پیشبینی می شود.

 ۲. تغییر استراتژی مهاجمان: قدرت گیری افیلیت ها

 امروزه رقابت بین گروه های باج افزاری برای جذب افیلیت ها (همکاران سایبری) شدید است. بهعنوان مثال، RansomHub و Qilin با پیشنهاد سهم ۸۰-۸۵٪ از باج به افیلیت ها، توجه بسیاری را جلب کرده اند. این تغییر نشان دهنده تحولی در اقتصاد زیرزمینی باج افزار است:

 

    کاهش وفاداری افیلیت ها: با شناسایی افیلیت ها توسط پلیس در عملیات LockBit، بسیاری به گروه های جدیدتر پیوستند.

     تخصصی شدن حملات: افیلیت ها با تمرکز بر روشهای خاص نفوذ (مثل سوءاستفاده از آسیبپذیریها)، موفقیت عملیاتها را افزایش می دهند.

 ۳. تاکتیک های نوین: استفاده از ابزارهای قانونی برای اهداف مخرب

 بر اساس گزارش سیمانتک، مهاجمان بیش از پیش از تکنیک Living-off-the-Land (LOTL) استفاده می کنند. در این روش، ابزارهای قانونی موجود در سیستم قربانی برای پیش برد حملات به کار می روند.

الف. اخاذی دوگانه و ابزارهای انتقال داده

     اخاذی دوگانه (Double Extortion): ۹۰٪ حملات امروزی شامل سرقت داده‌ها پیش از رمزگذاری است. برای این کار، مهاجمان از ابزارهایی مانند Rclone (مدیریت ابری)، WinRAR (فشردهسازی)، و PowerShell استفاده می‌کنند.

     نرم افزارهای دسترسی از راه دور: ابزارهایی مانند AnyDesk، TeamViewer، و ScreenConnect بهطور گسترده برای انتقال دادهها و کنترل سیستم ها استفاده می شوند. به عنوان مثال، مهاجمان Royal و AvosLocker با تغییر نام فایل AnyDesk، تشخیص آن را سخت تر می کنند.

 ب. غیرفعالسازی آنتی ویروسها با تکنیک BYOVD

 تکنیک Bring Your Own Vulnerable Driver (BYOVD) محبوبیت بالایی در میان مهاجمان دارد. در این روش، از درایورهای معتبر اما آسیب پذیر (مثل درایورهای آنتی روتکیت) برای غیرفعالسازی محصولات امنیتی استفاده میشود. نمونه های شاخص شامل:

     TrueSightKiller: با سوءاستفاده از درایور truesight.sys مربوط به نرمافزار RogueKiller.

     Poortry (BurntCigar): درایور مخربی که توسط سوفوس شناسایی شد و برای حذف فرآیندهای امنیتی استفاده می شود.

     AuKill: با استفاده از درایور قدیمی Process Explorer متعلق به مایکروسافت.

 ۴. سیمانتک: رصد تهدیدات و ارائه راهکارها

 گروه Threat Hunter Team سیمانتک با رصد مداوم حملات، نقش کلیدی در شناسایی روندهای باج افزاری دارد. برخی از اقدامات این شرکت عبارتند از:

     تحلیل خانواده های باج افزار: مانند شناسایی ارتباط RansomHub با کد منبع Knight و ردیابی تغییرات Qilin از Go به Rust.

     کشف تکنیک های نوین: مانند استفاده از ابزار NetScan برای کشف دستگاه های شبکه یا سوءاستفاده از پروتکل OpenWire جاوا (CVE-2023-46604).

     همکاری با نهادهای قانونی: افشای اطلاعاتی که منجر به تعقیب رهبران LockBit و اختلال در فعالیت آنها شد.

 

سیمانتک در گزارش اخیر خود با عنوان Ransomware 2025: A Resilient and Persistent Threat هشدار میدهد که افزایش استفاده از رمزگذارهای سخت افزارمحور (مثل AES-NI) و حملات چند پلت فرمی، چالش های سال آینده را پیچیده تر خواهد کرد.

۵. پیش بینی ها برای سال ۲۰۲۵: چه انتظاری داریم؟

     ادامه رقابت بین گروه ها: ظهور نسخه جدید مانند LockBit 4.0 و Qilin.B نشاندهنده رقابتی نفسگیر است.

     هدف گیری بخش های حیاتی: حملات به زیرساخت های بهداشتی، انرژی، و دولتی افزایش می یابد.

     پیشرفت تکنیکهای فرار: ادغام هوش مصنوعی برای تولید کدهای مخرب و بهبود پنهان سازی.

 

ضرورت هوشیاری و همکاری جهانی

 با وجود تلاش های شرکت های امنیتی مانند سیمانتک، مبارزه با باجافزار نیازمند همکاری بین المللی، آموزش کاربران، و به روزرسانی مستند سیستم ها است. سازمان ها باید با اجرای راهکارهایی مانند مدیریت آسیب پذیری‌ها، استفاده از ابزارهای ردیابی رفتار (EDR)، و پشتیبان‌گیری منظم، تاب‌آوری خود را افزایش دهند. گزارش‌های سیمانتک به طور مداوم تاکید می‌کنند: «مهاجمان همیشه در حال نوآوری هستند؛ پاسخ ما باید سریعتر باشد.» آلما شبکه با مدیریت جناب آقای وحید فوائدی آماده ارائه انواع راهکارهای امنیت بر پایه محصولات کمپانی سیمانتک می‌باشد.

بازخوردها
    ارسال نظر
    (بعد از تائید مدیر منتشر خواهد شد)

    اگر کد خوانا نیست اینجا را کلیک کنید
    مطالب مرتبط