ITanalyze

علیرضا ثانی (کارشناس ارشد امنیت فناوری اطلاعات) - مدارس، بیمارستان‌ها، سازمان‌های دولتی، از کسب‌وکارهای کوچک گرفته تا کسب‌وکارهای بزرگ؛ هیچ‌یک از این انواع سازمان‌ها از گزند باج‌افزارها در امان نبوده‌اند. بدافزارهای موذی، که با شناسایی دارایی‌های دیجیتالی قربانی و رمز یا قفل کردن آنها، برای آزادسازی دارایی‌های رمزشده باج‌خواهی می‌کنند.

دسترسی نداشتن هر یک از قربانیان فوق به اطلاعات خود، پیامدهای فاجعه‌باری به‌دنبال دارد که به‌وجود آمدن اختلال در انجام عملیات روزانه سازمان، بروز خسارت مالی ناشی از ازدست‌دادن اطلاعات و لطمه‌ای که به اعتبار یک سازمان وارد می‌شود، می‌تواند از جمله این پیامدها باشند.

البته این تهدید فقط متوجه سازمان‌ها و مراکز بزرگ نبوده و میزان آسیب‌پذیری رایانه‌های خانگی نسبت به این باج‌افزارها اگر بیشتر نباشد کمتر نیست؛ از ‌دست‌دادن دسترسی به دارایی‌های شخصی و غیر‌قابل جایگزینی مانند عکس‌های خانوادگی، فیلم‌ها و دیگر اطلاعاتی که برای افراد می‌تواند هزینه‌ای بسیار سنگین و جبران‌ناپذیر به‌دنبال داشته باشد.

با اینکه سال‌ها از پیدایش باج‌افزارها می‌گذرد، اما بر اساس آمار مشخص شده که میزان حملات مبتنی بر این نوع بدافزار در سال 2015 میلادی افزایش چشمگیری داشته است. همچنین سازمان‌ها به‌دلیل توانایی مالی بیشتر برای پرداخت مبالغ گزاف به‌عنوان باج، اهداف جذاب‌تری برای مجرمان این حوزه بوده‌اند. با مطالعه آمار سه ماه ابتدایی سال 2016، روند افزایشی نرخ وقوع این نوع حملات (نسبت به مدت زمان مشابه در سال گذشته) مبین این مطلب است که در سال جدید، این نوع حملات قربانیان بیشتری را به کام خود خواهند کشید و متاسفانه همچنان سازمان‌ها در مقابل این‌گونه حوادث امنیتی بسیار آسیب‌پذیر بوده و از توانایی پاسخ‌دهی بسیار پایینی برخوردارند.

در حملات باج‌افزارها قربانی یک ایمیل دریافت می‌کند که به ظاهر معمولی به‌نظر می‌آید که دارای پیوستی عادی مانند یک صورت‌حساب یا یک سند الکترونیکی است، ولی پشت این ظاهر معمولی و بی‌خطر، کدهای مربوط به باج‌افزار نهفته است که با باز کردن این پیوست اجرا می‌شوند. حتی ممکن است یک ایمیل که حاوی آدرس یک تارنمای اینترنتی باشد که به‌ظاهر معمولی و بی‌خطر به‌نظر برسد، با کلیک کردن روی آن قربانیان به یک سایت دیگر هدایت شوند و بلافاصله رایانه ایشان توسط نرم‌افزار مخرب آلوده ‌شود.

پس از آلوده شدن، بدافزار شروع به پویش و رمز کردن فایل‌ها و پوشه‌ها و هر گونه درایو متصل به رایانه می‌کند. باج‌افزارها به این حد بسنده نکرده و نه‌تنها درایوها و فایل‌های پشتیبان را رمز می‌کنند، بلکه نسبت به تکثیر و انتشار خود روی شبکه‌ای که رایانه آلوده به آن متصل است اقدام می‌کنند.

معمولا قربانیان تا زمانی که قصد بازکردن فایل‌های خود را نداشته باشند متوجه آلوده‌شدن سیستم خود نمی‌شوند، ولی پس از اولین تلاش برای دسترسی به اطلاعات، متوجه ممکن نبودن دسترسی به اطلاعات مذکور شده و پیامی دریافت می‌کنند که علاوه بر اطلاع‌رسانی در خصوص رمز شدن اطلاعات شخصی آنها، درخواست پرداخت مبلغی را در ازای دریافت کلید رمزگشایی اطلاعات می‌کنند. عموما این پیام‌ها حاوی دستورالعمل و شیوه پرداخت باج به‌وسیله بیت‌کوین (‌به‌دلیل توانایی که در خصوص گمنامی دریافت‌کننده به‌وسیله این پول مجازی فراهم می‌شود) است.

حملات مبتنی بر باج‌افزارها نه‌تنها رو به افزایش بوده، بلکه هر روز به میزان پیچیدگی آنها نیز افزوده می‌شود. چندی پیشتر، باج‌افزارها فقط از طریق هرزنامه‌ها ارسال می‌شدند، اما به‌دلیل بهبود خدمات‌دهندگان ایمیل در خصوص فیلتر کردن هرزنامه‌ها، مجرمان فضای سایبری به حملات اسپیر فیشینگ روی آورده بودند. به‌تازگی بر اساس نمونه‌های شناسایی‌شده از باج‌افزارها، برخی از مجرمان فضای سایبری (برای انجام این حمله) از ایمیل استفاده نمی‌کنند؛ بر اساس گزارش یکی از کارشناسان دایره سایبری پلیس فدرال آمریکا، امروزه با پیشرفت روش حملات، نیاز به کلیک کردن کاربر روی یک آدرس اینترنتی نیز از بین رفته است. در واقع مجرمان با سوءاستفاده از پایگاه‌های اینترنتی مشروع و قانونی که توجهی به امنیت سیستم‌های خود ندارند، به انتشار باج‌افزارها اقدام می‌کنند. به بیان دیگر لزوما دریافت یک ایمیل می‌تواند علت آلوده شدن سیستم شما نباشد، بلکه یکی از پایگاه‌های اینترنتی که معمولا از آن بازدید می‌کنید می‌تواند موجب آلوده شدن سیستم شما به باج‌افزار شود. آنچه موجب به‌وجود آمدن این فرصت برای این مجرمان می‌شود، بی‌توجهی کاربران برای به‌روزرسانی سیستم‌ها و نصب نکردن به‌موقع وصله‌های امنیتی است.

به‌صورت کلی پرداخت مبلغ مورد تقاضای باج‌افزارها توصیه نمی‌شود، زیرا حتی با پرداخت باج خواسته‌شده هیچ تضمینی برای دسترسی شما به اطلاعات رمزشده وجود ندارد. بر اساس برخی از موارد مشاهده‌شده، مجرمان حتی پس از دریافت مبلغ مورد تقاضا کلید رمزگشایی اطلاعات را به سازمان تحویل نداده‌اند. پرداخت باج نه‌تنها موجب جسور‌تر شدن مجرمان کنونی این حوزه می‌شود، بلکه می‌تواند با ایجاد انگیزه برای دیگر مجرمان سایبری آنها را نیز به انجام این نوع حملات ترغیب کند و نهایتا با پرداخت باج، قربانی می‌تواند به‌صورت غیرعمدی نقش سرمایه‌گذار برای دیگر عملیات‌های خلاف قانون مجرمان را بازی کند.

اگر آنچه را تاکنون مورد اشاره قرار گرفت به‌عنوان مقدمه و طرح مساله در خصوص باج‌افزارها در نظر بگیریم، اکنون نوبت به ارایه راه‌حل در این خصوص خواهد بود. با توجه به اینکه تکنیک‌های باج‌افزارها و نرم‌افزارهای مخرب دایما در حال تغییر هستند، شناسایی این حملات پیش از آلوده شدن امری دشوار است، اما سازمان‌ها به ‌شکل خاص می‌توانند دو رویکرد کلی زیر را اتخاذ نکنند:

- برنامه‌ریزی پیشگیرانه شامل افزایش سطح آگاهی کارکنان و پیاده‌سازی کنترل‌های فنی قدرتمند.

- وجود برنامه استمرار کسب‌و‌کار مستحکم و کار به‌منظور استفاده پس از حمله باج‌افزار.

همواره باید این مطلب را در نظر داشت که در این خصوص هیچ راه‌‌حلی به‌تنهایی راهگشا نخواهد بود، بلکه انجام مجموعه‌ای از برنامه‌های پیشگیرانه و همچنین برنامه‌های جبرانی برای حفظ استمرار کسب‌و‌کار ضروری و حیاتی است که این برنامه‌ها باید به‌صورت مداوم مورد آزمون قرار گرفته تا میزان کارایی آنها مشخص و در صورت نیاز به اصلاح مورد بازنگری قرار گیرند.

از جمله اقداماتی که در ارتباط با رویکرد پیشگیرانه می‌تواند در فهرست انجام قرار گیرند، می‌توان به موارد ذیل اشاره کرد:

- پیاده‌سازی برنامه آموزش و ارتقای سطح آگاهی کاربران شبکه. از آنجایی که این نوع حمله با هدف قرار دادن کاربران نهایی صورت می‌گیرد، آموزش کاربران به‌خصوص باج‌افزارها و چگونگی عملکرد آنها‌ امری ضروری است.

- اطمینان از به‌روز بودن و نصب بودن آخرین وصله‌های امنیتی روی سیستم‌های عامل، نرم‌افزار، فریم‌ویرهای دستگاه‌ها. انجام این مهم را با استفاده از سیستم‌های متمرکز مدیریت وصله‌های امنیتی، می‌توان تسهیل کرد.

- مدیریت سطوح دسترسی کاربران، با استفاده از پیاده‌سازی اصل حداقل دسترسی لازم. با این روش می‌توان اطمینان حاصل کرد که سطح دسترسی مدیر سیستم فقط محدود به کاربرانی است که برای انجام وظایف محوله خود به آن نیاز دارند و این کاربران نیز فقط در مواقع لزوم از این سطح دسترسی استفاده خواهند کرد. (معمولا باج‌افزارها برای اجرا روی سیستم‌ها نیاز به سطح دسترسی مدیر دارند.)

- پیکربندی کنترل دسترسی، شامل کنترل اجازه به‌اشتراک‌گذاری شبکه‌ها، فایل‌ها و پوشه‌ها با درنظر داشتن اصل حداقل دسترسی لازم. به این معنی که اگر کاربری برای انجام وظایف محوله خود فقط نیاز به خواندن فایل به‌خصوصی دارد، امکان نوشتن روی آن فایل یا منبع نباید برای آن کاربر وجود داشته باشد.

- ماکروها اسکریپت‌ها را در مجموعه مایکروسافت آفیس غیرفعال کنید. در نظر بگیرید برای باز کردن فایل‌هایی که از طریق ایمیل دریافت شده‌اند از نسخه نمایشگر مایکروسافت آفیس به جای نسخه کامل آن استفاده شود.

- پیاده‌سازی خط مشی محدودسازی نرم‌افزارها یا دیگر راهکارهای کنترلی برای پیشگیری از اجرای برنامه‌ها از مکان‌هایی که به‌طور معمول مورد استفاده باج‌افزارها هستند مانند پوشه‌های فایل‌های موقت مرورگرهای اینترنتی یا نرم‌افزارهای فشرده‌سازی و مسیر AppData/LocalAppData.

به همین صورت در ارتباط با رویکرد دوم، یعنی وجود برنامه استمرار کسب‌و‌کار نیز می‌توان به موارد ذیل اشاره کرد:

- به‌صورت منظم از داده‌های خود نسخه پشتیبان تهیه کرده و از صحت و یکپارچگی این نسخ پشتیبان اطمینان حاصل کنید. به این منظور توصیه می‌شود برخی از نسخ پشتیبان را بازیابی کنید تا صحت آنها را مورد آزمون قرار دهید.

- نسخ پشتیبان خود را امن کنید. از اینکه نسخ پشتیبان به رایانه‌ها و شبکه‌های اصلی متصل نیستند اطمینان حاصل کنید. برای مثال می‌توان به ذخیره‌سازی نسخ پشتیبان روی سرویس‌های ذخیره‌سازی ابری یا ذخیره آنها روی دیسک‌های آفلاین اشاره کرد. برخی از نمونه‌های باج‌افزارها توانایی قفل کردن پشتیبان‌گیری ابری به‌صورت همزمان را دارند. در نظر داشته باشید که نسخ پشتیبان پس از زمان آلوده شدن سیستم به باج‌افزار، نقش بسیار حیاتی در بازیابی اطلاعات شما ایفا می‌کنند.

هرچند هیچ‌گاه امنیت را به‌صورت مطلق و صددرصد نمی‌توان درنظر گرفت، اما با رعایت کردن اصول اشاره‌شده فوق (هرچند ابتدایی و ساده) می‌توان میزان آسیب‌پذیری سازمان را در مقابل این نوع حملات کاهش داد. البته اقداماتی که در این راستا می‌‌توان انجام داد، به موارد گفته‌شده محدود نبوده و همواره می‌توان به این فهرست افزود. در پایان به برخی اقدامات دیگر که می‌توان به این فهرست اضافه کرد اشاره می‌کنیم.

- اجرای خط‌مشی فهرست سفید برای برنامه‌های مجاز به اجرا روی شبکه. شما می‌توانید با استفاده از این خط‌مشی اطمینان حاصل کنید که فقط نرم‌افزارهای شناخته‌شده توانایی اجرا روی اجزای شبکه شما را دارند.

- اجرای برنامه‌های عملیاتی یا برنامه‌های خاص در محیط‌های مجازی.

- طبقه‌بندی اطلاعات بر اساس میزان اهمیت آنها برای سازمان و جداسازی منطقی و فیزیکی شبکه و اطلاعات بر اساس واحدهای مختلف سازمانی. (منبع:عصرارتباط)