در طول سالها، نرمافزار بهعنوان سرویس (SaaS) – یک روش تجاری که در آن ارائهدهندگان راهحلهای نرمافزاری راهحلهای پیچیده مبتنی بر ابر را به مشتریان خود ارائه میدهند – صنعت را متحول کرده است. با این حال، یک روند مشابه و سریع در حال ظهور اکنون به آرامی ردپای خود را در دنیای تاریک جرایم سایبری سازمان یافته باقی می گذارد.
Ransomware-as-a-service (RaaS) چیزی را که زمانی در اختیار هکرهای ماهر بود به بازاری تبدیل کرده است که هر کسی می تواند ابزارهای باج افزار قدرتمند را اجاره کند.
روندهای اخیر نشان میدهد که مجرمان سایبری از همین مدل استفاده میکنند، جایی که هر کسی با قصد مخرب میتواند ابزارهای باجافزاری را خریداری کند و نیاز به تخصص فنی یا منابع برای توسعه بدافزار را از بین ببرد.
باج افزار را می توان رباینده دیجیتال منابع دیجیتال نامید. به عبارت دیگر، اساساً نوعی نرمافزار مخرب است که برای مسدود کردن دسترسی به یک سیستم رایانهای یا دادهها تا زمان پرداخت باج طراحی شده است. با رمزگذاری فایلها بر روی سیستم قربانی کار میکند و آنها را غیرقابل استفاده میکند مگر اینکه کلید رمزگشایی ارائه شود. مهاجم معمولاً در ازای دریافت کلید برای بازگرداندن دسترسی، یک پرداخت پولی، اغلب به ارز رمزنگاری شده، درخواست می کند. اگر قربانیان نتوانند در مدت زمان معینی پرداخت کنند، مهاجمان ممکن است تهدید به حذف داده ها یا افشای عمومی آن کنند.
بر اساس گزارشی که توسط شرکت اطلاعاتی تهدیدات مستقر در بریتانیا Searchlight Cyber منتشر شده است، تعداد گروههای باجافزار در نیمه اول سال 2024 نسبت به سال قبل بیش از 50 درصد افزایش یافته است.
ارائه بدافزار سفارشی بهعنوان یک سرویس بیشتر در وب تاریک عمل میکند، جایی که توسعهدهندگان خبره ابزارها و خدمات باجافزاری را به عوامل تهدید با توان کمتر معروف به شرکتهای وابسته ارائه میکنند. آنها معمولاً تبلیغات و پست های تبلیغاتی را در انجمن های وب دارک قرار می دهند تا افراد وابسته را استخدام کنند و کد را بفروشند.
هنگامی که شرکت وابسته به برنامه ای خرید یا به آن ملحق شد، باج افزارهای اجرایی سفارشی و زیرساخت های لازم مانند سرورهای فرمان و کنترل، درگاه های پرداخت و سایت های نشت داده در اختیار آنها قرار می گیرد. این شرکتهای وابسته با مسئولیت استقرار بدافزار در سیستمهای قربانیان تجاری یا دولتی، پس از پرداخت باج، از اپراتور RaaS در قالب کمیسیون درآمد کسب میکنند.
در اوایل سال جاری، یک گروه معروف RaaS به نام BlackCat (همچنین با نام ALPHV شناخته می شود) به یک شرکت بزرگ فناوری اطلاعات مراقبت های بهداشتی ایالات متحده Change Healthcare حمله کرد که از هر 3 بیمار آمریکایی به 1 بیمار خدمات می دهد.
در 1 مارس 2024، طبق گزارش ها، این شرکت باج 22 میلیون دلاری را در قالب بیت کوین پرداخت کرد تا از نشت 6 ترابایت اطلاعات دزدیده شده که بیش از 110 میلیون آمریکایی را تحت تأثیر قرار داد جلوگیری کند. با این حال، با وجود پرداخت، هکرها ظاهراً یک کلاهبرداری خروجی انجام دادند و پول را بدون به اشتراک گذاشتن آن با وابسته ای که حمله را انجام داد، به جیب زدند. سپس یک گروه باج افزار جدید به نام RansomHub ظاهر شد که ادعا می کند داده های دزدیده شده را به دست آورده است و برای جلوگیری از افشای اطلاعات بیشتر از Change Healthcare درخواست پرداخت پرداخت می کند.
بر اساس گزارش Group-IB، یک شرکت اطلاعاتی مستقر در ایالات متحده، اکوسیستم RaaS عمدتاً شامل کارگزارانی است که با بهرهبرداری از اعتبارنامههای ضعیف و سیستمهای اصلاح نشده، دسترسی به خطر افتاده به شبکههای شرکتی را میفروشند. سپس این دسترسی به شرکتهای وابسته به RaaS فروخته میشود که نقش مهمی در استقرار باجافزار دارند.
شرکتهای وابسته با دسترسی سازمانی، حذف نسخههای پشتیبان برای جلوگیری از بازیابی، و استخراج دادهها برای استفاده در تاکتیکهای اخاذی مضاعف شروع میکنند. اپراتورها جنبههای فنی عملیات را مدیریت میکنند، از جمله ساخت باجافزارهای اجرایی منحصربهفرد، نظارت بر زیرساخت، و مدیریت سایتهای نشت داده که در حملات اخاذی مضاعف استفاده میشوند – که در آن دادههای قربانیان نه تنها رمزگذاری میشوند، بلکه به سرقت میروند.
این روند در RaaS اولین بار در گروه های باج افزار مانند Maze و Snatch مشاهده شد. تاکتیکهایی مانند این فشار مضاعفی بر قربانیان وارد میکند، زیرا در حال حاضر 83 درصد از موارد باجافزار شامل استخراج دادهها میشود.
RansomHub، یک گروه در حال ظهور RaaS از اواسط فوریه 2024، در حال حاضر در حدود 320 حمله در سراسر جهان شرکت داشته است. این گروه همچنین اخیرا ادعا کرده است که به 140 گیگابایت داده IIIT-Delhi دسترسی دارد.
همچنین، فعال ترین گروه RaaS، LockBit تنها در سال 2023 1079 حمله موفقیت آمیز انجام داد که اکثر حملات شرکت های آمریکایی را هدف قرار می دادند. در گزارش گروه-IB، یک شرکت اطلاعاتی مستقر در ایالات متحده، آمده است که این گروه ها به جذب افراد وابسته در انجمن های وب تاریک روسیه مانند RAMP که در حال حاضر میزبان 60 درصد از برنامه های جدید RaaS است، ادامه می دهند.
منتشر شده در:
11 سپتامبر 2024