پایگاه دانش آلما / سیمانتک افزایش حملات باج‌افزار: سیمانتک نقش مهاجمان در انطباق‌پذیری با اختلالات را بررسی می‌کند

افزایش حملات باج‌افزار: سیمانتک نقش مهاجمان در انطباق‌پذیری با اختلالات را بررسی می‌کند

افزایش حملات باج‌افزار: سیمانتک نقش مهاجمان در انطباق‌پذیری با اختلالات را بررسی می‌کند

باج‌افزارها یکی از بزرگترین تهدیدهای امنیت سایبری در دهه گذشته بوده‌اند و همچنان به رشد و تحول خود ادامه می‌دهند. حملات باج‌افزار نه تنها کاهش نیافته، بلکه در سال‌های اخیر به طور پیوسته در حال افزایش بوده است. شرکت سیمانتک، یکی از پیشروان امنیت سایبری، طی تحقیقات اخیر خود به بررسی این موضوع پرداخته و اعلام کرده است که باج‌افزارها از تکنیک‌های جدید و پیشرفته‌تری برای نفوذ و حمله به سیستم‌ها استفاده می‌کنند. به‌ویژه با استفاده از بهره‌برداری از آسیب‌پذیری‌ها، مهاجمان به جای استفاده از بات‌نت‌ها به شیوه‌های جدیدی برای آلوده کردن قربانیان خود روی آورده‌اند.

 

افزایش تعداد حملات با وجود کاهش ادعاهای مهاجمان

اگرچه در سه ماهه چهارم سال ۲۰۲۳ ادعاهای ثبت‌شده توسط گروه‌های باج‌افزار مبنی بر حمله به قربانیان با کاهش بیش از ۲۰ درصدی مواجه بوده است، شواهد نشان می‌دهد که فعالیت باج‌افزارها همچنان در حال افزایش است. داده‌های منتشر شده از سایت‌های نشت اطلاعات باج‌افزار نشان می‌دهد که مهاجمان در سال ۲۰۲۳ به ۴۷۰۰ قربانی حمله کرده‌اند، در حالی که این رقم در سال ۲۰۲۲ حدود ۲۸۰۰ بود. یکی از دلایل اصلی افزایش تعداد قربانیان، استفاده از شیوه‌های جدید نفوذ است. به‌ویژه، پس از تعطیلی بات‌نت Qakbot در ژوئن ۲۰۲۳، مهاجمان به سرعت خود را با این شرایط جدید وفق داده و به بهره‌برداری از آسیب‌پذیری‌های شناخته شده در نرم‌افزارها و سیستم‌های عمومی روی آورده‌اند.

 

نقش کلیدی LockBit در حملات باج‌افزاری

طبق گزارش سیمانتک، LockBit که توسط گروه جرایم سایبری Syrphid (معروف به Bitwise Spider) اداره می‌شود، در سال ۲۰۲۳ همچنان به عنوان بزرگترین تهدید باج‌افزارها شناخته شده است. این گروه مسئول ۲۱ درصد از تمامی حملات ادعا شده در سایت‌های نشت اطلاعات بوده است. پس از LockBit، باج‌افزار Noberus (که با نام‌های BlackCat و ALPHV نیز شناخته می‌شود) با ۹ درصد از تمامی حملات ادعا شده و Clop با ۸ درصد از حملات در رده‌های بعدی قرار دارند. هر دو گروه LockBit و Noberus هدف عملیات‌های اجرایی پلیس قرار گرفته‌اند، اما هنوز مشخص نیست که آیا این عملیات‌ها تأثیر طولانی‌مدتی بر کاهش فعالیت‌های آن‌ها خواهد داشت یا خیر.

 

تفاوت میان ادعاها و یافته‌های سیمانتک

یکی از نکات جالب در گزارش سیمانتک، وجود تفاوت‌های قابل توجه میان حملات ادعا شده توسط گروه‌های باج‌افزار و آنچه سیمانتک در تحقیقات خود شناسایی کرده است. برای مثال، در حالی که LockBit مسئول بیش از ۲۱ درصد از ۴۷۰۰ حمله ادعا شده در سال ۲۰۲۳ بوده، سیمانتک تنها در ۱۷ درصد از حملات بررسی شده خود، LockBit را شناسایی کرده است. از سوی دیگر، Noberus که تنها ۹ درصد از حملات ادعا شده را به خود اختصاص داده بود، در بیش از ۲۰ درصد از حملات مورد بررسی توسط سیمانتک دخالت داشته است. این تفاوت‌ها نشان می‌دهد که ممکن است برخی از گروه‌های باج‌افزار در مراحل پیشرفته‌تری از حملات خود موفق‌تر عمل کرده و به مرحله اجرای بارگیری (payload) دست یابند.

 

بهره‌برداری از آسیب‌پذیری‌ها به عنوان بردار اصلی حملات

بررسی‌های انجام شده توسط سیمانتک نشان می‌دهد که در حال حاضر بهره‌برداری از آسیب‌پذیری‌های شناخته شده در نرم‌افزارها و برنامه‌های عمومی، اصلی‌ترین روش نفوذ برای حملات باج‌افزارها محسوب می‌شود. برخی از آسیب‌پذیری‌هایی که به طور خاص در حملات اخیر مورد استفاده قرار گرفته‌اند عبارتند از:

 

CVE-2022-47966 در برنامه ZOHO ManageEngine

آسیب‌پذیری‌های مختلف در سرورهای Microsoft Exchange که اولین شواهد از فعالیت‌های مخرب در تعدادی از حملات اخیر روی این سرورها مشاهده شده است.

آسیب‌پذیری Citrix Bleed (CVE-2023-4966) در Citrix NetScaler ADC و NetScaler Gateway

CVE-2023-20269 در Cisco Adaptive Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) VPN

این آسیب‌پذیری‌ها نشان می‌دهند که مهاجمان با استفاده از ضعف‌های امنیتی در نرم‌افزارهای حیاتی و پرکاربرد، سیستم‌های هدف خود را به راحتی آلوده می‌کنند.

 

ابزارهای جدید در حملات باج‌افزار

گزارش سیمانتک همچنین حاکی از آن است که مهاجمان از ابزارهای جدید و متنوعی برای نفوذ به سیستم‌ها استفاده می‌کنند. به‌ویژه، استفاده از ابزارهای دو منظوره (ابزارهایی که در شرایط عادی برای استفاده‌های قانونی طراحی شده‌اند، اما مهاجمان از آن‌ها برای اهداف مخرب استفاده می‌کنند) به طور قابل توجهی افزایش یافته است. برخی از ابزارهایی که به تازگی در حملات باج‌افزارها دیده شده‌اند عبارتند از:

 

HopToDesk: یک ابزار دسترسی از راه دور که به طور عمومی در دسترس است و توسط مهاجمان برای حمله با نسخه‌های جدید باج‌افزار Conti استفاده شده است.

TrueSightKiller: یک ابزار که از تکنیک BYOVD (استفاده از درایور آسیب‌پذیر خودکار) بهره می‌برد تا نرم‌افزارهای امنیتی را غیرفعال کند.

GhostDriver: یکی دیگر از ابزارهایی که با استفاده از تکنیک BYOVD به غیرفعال کردن آنتی‌ویروس‌ها می‌پردازد.

StealBit: یک ابزار اختصاصی برای استخراج داده‌ها که به گروه LockBit تعلق دارد. اگرچه این ابزار مدتی از استفاده خارج شده بود، اما در اوایل سال ۲۰۲۴ دوباره در دو حمله جداگانه از سوی LockBit استفاده شد.

تکنیک‌های جدید در حملات باج‌افزار

علاوه بر استفاده از ابزارهای جدید، مهاجمان باج‌افزاری از تکنیک‌های پیشرفته‌ای نیز برای دسترسی به اطلاعات حساس و اجرای حملات خود استفاده می‌کنند. برخی از تکنیک‌های قابل توجه عبارتند از:

 

Esentutl: مهاجمان از این ابزار خط فرمان ویندوز برای تخلیه اعتبارنامه‌ها استفاده می‌کنند. این ابزار که برای مدیریت پایگاه‌های داده طراحی شده است، اخیراً توسط مهاجمان برای تخلیه اعتبارنامه‌های مرورگرها مورد استفاده قرار گرفته است.

DPAPI: مهاجمان از ابزارهای مخرب برای استخراج و رمزگشایی اعتبارنامه‌های حساس ذخیره شده با استفاده از API محافظت از داده‌های مایکروسافت (DPAPI) استفاده می‌کنند.

تهدید مداوم باج‌افزارها

باج‌افزارها همچنان یکی از بزرگترین تهدیدهای امنیتی برای سازمان‌ها در سال ۲۰۲۴ و پس از آن خواهند بود. انگیزه‌های مالی بالا باعث شده است که مهاجمان به طور مستمر به دنبال راه‌های جدید و پیشرفته برای نفوذ به سیستم‌ها و انجام حملات خود باشند. بررسی‌های سیمانتک نشان می‌دهد که باج‌افزارها با تغییر تاکتیک‌های خود به سرعت با اختلالات سازگار می‌شوند و این موضوع تهدیدات آن‌ها را به مراتب پیچیده‌تر و مخرب‌تر می‌کند.

 

سازمان‌ها باید با بهره‌گیری از اقدامات امنیتی پیشرفته، نظارت مداوم بر آسیب‌پذیری‌ها و استفاده از راه‌حل‌های محافظتی مناسب مانند راهکارهای سیمانتک، تلاش کنند تا از نفوذ و حملات باج‌افزارها جلوگیری کنند. آلما شبکه نماینده سیمانتک در ایران، آماده ارائه انواع نرم افزارهای امنیتی سیمانتک با قیمت مناسب می باشد.

بازخوردها
    مطالب مرتبط