چرا حملات باج‌افزارها رو به افزایش است؟

باج‌افزار مساله‌ی جدیدی نیست. بدافزارهایی که داده‌ها را رمزگذاری و سپس از قربانی برای رمزگشایی آن‌ها درخواست پول می‌کنند، تقریبا ۳۰ سال قدمت دارند. پس چرا احساس می‌کنیم وضعیت رو به وخامت گذاشته؟ خب، به این دلیل که وضعیت واقعا رو به وخامت گذشته است. در مدت‌زمان کمی، باج افزار از تهدیدی ناشناخته که فقط معدودی از نفرات با آن برخورد داشتند، به طاعونی تبدیل شده است که بیمارستان‌ها، بانک‌ها، سیستم حمل‌ونقل عمومی و حتی بازی‌های ویدیویی را فلج می‌کند. رشد ناگهانی باج‌افزارها به شکل ناامیدکننده‌ای ادامه دارد و اثری از کاهش در آن دیده نمی‌شود. در این شرایط قربانیان سردرگم از خود می‌پرسند چرا آن‌ها و چرا حالا؟ پاسخ هر دو سوال قبلی با «ارز رمزپایه» (cryptocurrency) و «آژانس امنیت ملی آمریکا» (NSA) پیوند خورده است.

‌

قصه‌ی باج افزار از کجا شروع شد

اولین حمله‌­ی شناخته­‌شده‌­ی باج افزار در سال ۱۹۸۹ صورت گرفت. هدف این حمله صنعت بهداشت و درمان بود. بر اساس وبلاگ امنیت سایبری Practically Unhackable، زییست‌شناسی به نام «جوزف پاپ» (Joseph Popp)، چیزی در حدود ۲۰ هزار فلاپی دیسک را برای پژوهشگران ارسال کرد. او ادعا می‌کرد که این فلاپی‌دیسک‌ها حاوی یک نظرسنجی هستند که با کمک آن دانشمندان می‌توانند میزان ریسک بیمار را برای ابتلا به HIV مشخص کنند. البته او به این موضوع اشاره نکرده بود که این فلاپی‌دیسک‌ها، فایل‌ها را در کامپیوترهایی که آلوده شوند رمزگذاری می‌کنند و عملا امکان استفاده از کامپیوتر را از کاربر سلب خواهند کرد. کاربران کامپیوترهای آلوده به‌جای صفحه‌ی بوت معمول، با پیامی شبیه به تصویر زیر روبرو می‌شدند که از آن‌ها برای باز شدن قفل سیستم مبلغ ۱۸۹ دلار درخواست می‌کرد.

جوزف پاپ مدرک دکترایش را از دانشگاه هاروارد گرفته بود، در شاخه‌ی زیست‌شناسی تکاملی فعالیت می‌کرد و با تصوری که ما امروز از هکرها داریم تفاوت داشت. بر اساس گزارش سایت Atlantic، بعد از این‌که او دستگیر و با اتهام باج‌خواهی روبرو شد، ادعا کرد که می‌خواسته پول حاصل از این کار را به تحقیقات مربوط به بیماری HIV ببخشد. فارغ از انگیزه‌های حقیقی پاپ، دو عامل کلیدی مانع از موفقیت حمله‌ی او شد. اول این که فلاپی‌دیسک‌ها از طریق پست ارسال شدند و دوم این که پاپ از نوعی شیوه‌ی رمزگذاری استفاده کرده بود که امکان رمزگشایی آن بدون کمک او وجود داشت. این شیوه‌ی رمزگذاری بعدها به نام PC Cyborg معروف شد. حال پس از گذشت حدود ۲۸ سال، وضعیت در دنیای باج‌افزار تا حد زیادی بدتر شده است.

‌

ارز رمزپایه و آژانس امنیت ملی آمریکا

وقتی‌که در مورد وسعت حملات باج‌افزارهای مدرن حرف می‌زنیم، باید دو معیار را در نظر بگیریم: «تعداد دفعات» (frequency) و «میزان پراکندگی» (reach). وزارت دادگستری آمریکا در یک گزارش مربوط به سال ۲۰۱۶ به دریافت ۷۶۹۴ شکایت از باج‌افزارها از سال ۲۰۰۵ اشاره کرده است. البته در گزارش قید شده که احتمالا این عدد از آمار حملاتی که به وقوع پیوسته پایین‌تر است. فقط در یک مورد، باج افزار معروف WannaCry، به بیش از ۱۵۰ کشور حمله کرد. در این آمار عجیب دو عامل نقش خیلی مهمی ایفا کرده‌اند: ظهور ارزهای رمزپایه و دسترسی به ابزارهای هکی که آژانس امنیت ملی آمریکا طی سال‌ها انباشه بوده است.

ارزهای رمزپایه‌ای مانند «بیت‌کوین» (Bitcoin) به حمله‌کنندگان اجازه می‌دهند فرصتی واقعی برای دریافت باج داشته باشند. حالا دیگر لازم نیست هکرها مانند جوزف پاپ یک صندوق پستی درست کنند و منتظر دریافت چک‌های کاغذی از طرف قربانیان باشند. به‌جای آن می‌توانند به راحتی قربانی را برای پرداخت باج به آدرس‌های ویژه‌ی انتقال بیت‌کوین هدایت کنند.

بر اساس گزارش شرکت امنیت سایبری Palo Alto Networks، اولین باج‌افزاری که از «بیت‌کوین» برای دریافت باج استفاده کرد، باج‌افزار Cryptowall در سال ۲۰۱۳ بود. اما ماجرا در همین‌جا خاتمه نیافت. بر طبق گزارش سال ۲۰۱۶ شرکت IBM، حملات باج‌افزارها در طول یک سال قبل از آن، ۳۰۰ درصد افزایش پیدا کرده. راحتی استفاده از پول‌های دیجیتالی در ترکیب با محبوبیت رو به رشد بیت‌کوین، یقینا در این افزایش مؤثر بوده است.

در مورد افزایش دامنه‌ی این حملات، هر چند عوامل زیادی نقش دارند، ولی یکی از نقاط عطف آشکار را می‌توان در اقدامات گروه Shadow Brokers پیدا کرد. این گروه از هکرها، تعدادی از نرم‌افزارهای مخرب (اکسپلویت‌) آژانس امنیت ملی آمریکا را در اینترنت منتشر کردند. در میان این اکسپلویت‌ها یک حفره‌ی امنیتی به نام EternalBlue به چشم می‌خورد که در ترکیب با باج‌افزار، امکان تکثیر کرم‌گونه‌ی حمله‌ی WannaCry را فراهم کرد. همین اکسپلویت در گسترش باج افزار NotPetya نقشی مهم (ولی نه انحصاری) داشت. این باج‌افزار حداقل به ۶۵ کشور حمله کرد و احتمالا هدف اصلی آن ایجاد تخریب بود.

با وجود این‌که مایکروسافت پیش از این که حفره‌ی امنیتی EternalBlue دنیا را تسخیر کند یک وصله‌ی امنیتی برای آن منتشر کرده بود، حملات گسترده‌ی WannaCry و NotPetya به ما یادآوری می‌کنند که همه‌ی کاربران سیستم‌هایشان را با آخرین وصله‌های امنیتی به‌روزرسانی نمی‌کنند.

‌

چه کاری از ما برمی‌آید؟

وسعت بی‌سابقه‌ی این دو حمله که بر پایه‌ی اکسپلویت‌های دزدیده شده از آژانس امنیت ملی آمریکا و راحتی استفاده از پول‌های دیجیتال شکل گرفتند، نشان می‌دهد که به عصر تازه‌ی باج‌افزارهای بدخیم وارد شده‌ایم. متاسفانه، حملاتی نظیر WannaCry نه‌تنها کاهش نمی‌یابند بلکه احتمالا افزایش هم پیدا خواهند کرد. این موضوع در گزارش سال ۲۰۱۷ شرکت امنیت سایبری Symantec کاملا مشهود است که بر اساس آن «حملات باج‌افزارها در سطح جهان، ۳۶ درصد افزایش پیدا کرده».

نکته‌ی جالب این است که امکان دارد باج‌افزارها در نهایت قربانی موفقیت خودشان بشوند. به دلیل آمار بالای کامپیوترهای آلوده شده و مکانیزم پرداخت عملا غیرفعال در هر دو حمله‌ی WannaCry و NotPetya، حتی اگر قربانی‌ها تصمیم می‌گرفتند باج را پرداخت کنند هم، کدهای رمزگشایی را دریافت نمی‌کردند. پس چرا کسی پولی خرج کند وقتی‌که در هر حال قرار نیست فایل‌های ازدست‌رفته را پس بگیرد؟ این مطلب کم‌وبیش به گوش همه رسیده است. به همین خاطر تا زمان نوشته شدن این مطلب، آدرس‌های «بیت‌کوین» مرتبط با باج‌افزار NotPetya، فقط ۴۶ پرداخت به ارزش تقریبی ۱۰۳۱۷ دلار دریافت کرده‌اند.

تمام این موارد نشان می‌دهد که گرچه این نوع از باج‌گیری دیجیتالی که اولین‌بار توسط جوزف پاپ ابداع شد به این زودی‌ها کاهش نمی‌یابد، ولی احتمالا دیگر درآمدی هم در آن نخواهد بود. در نهایت شاید این تنها امید برای به پایان رسیدن عذاب رو به رشد باج‌افزارها باشد.

‌

منبع: Mashable