Malwarebytes در ماه جولای ۲۰۲۴، مجموعا 424 قربانی حملات باج افزار را به ثبت رساند. باج 75 میلیون دلاری، حمله به VMهای VMware ESXi و افزایش فعالیت گروه RansomHub از جمله مهمترین حملات این ماه بودند.
گزارشها حاکی از آن است که یکی از شرکتهای Fortune 500 ماه گذشته، باج 75 میلیون دلاری به گروه باج افزار Dark Angels پرداخت کرده است. این پرداخت که توسط Zscaler و شرکت اطلاعات ارز دیجیتال Chainalysis نیز تأیید شده است، از رکورد قبلی باج 40 میلیون دلاری پرداخت شده توسط CNA در حمله Evil Corp فراتر رفته و آن را به بالاترین باج علنی پرداخت شده به یک گروه باج افزاری تبدیل کرده است.
با این حال، جالبترین واقعیت در مورد این پرداخت تاریخی آن است که Dark Angels، یک گروه باج افزار کمتر شناخته شده میباشد. طبق دادههای Malwarebytes ، گروه Dark Angels از تابستان سال گذشته (۲۰۲۳)، نام هیچ قربانی را در سایت خود منتشر نکرده است.
از سوی دیگر در ماه جولای، حمله باج افزاری به VMware ESXi بسیار خبرساز شد. محققان امنیت سایبری ترند میکرو، یک نوع لینوکسی جدید از باج افزار Play (معروف به Balloonfly و PlayCrypt) را کشف کردند که برای نفوذ به محیطهای VMWare ESXi طراحی شده بود.
این اولین باری است که باج افزار Play را مشاهده میکنیم که محیطهای ESXi را هدف قرار میدهد. این پیشرفت نشان دهنده توانایی این گروه در گسترش حملات خود در سراسر پلتفرمهای لینوکسی است که منجر به افزایش قربانیان و اخاذی از آنها میشود.
باج افزار Play که در ژوئن 2022 وارد صحنه شد، بهخاطر تاکتیکهای اخاذی مضاعف، رمزگذاری سیستمها پس از استخراج دادههای حساس و درخواست پرداخت باج در ازای ارائه کلید رمزگشایی، مشهور است.
آمار به اشتراک گذاشته شده توسط ترند میکرو در هفت ماهه اول سال 2024 نشان میدهد که ایالات متحده بیشترین تعداد قربانیان را به خود اختصاص داده است و پس از آن کانادا، آلمان، بریتانیا و هلند قرار دارند.
ماشینهای مجازی ESXi که میزبان برنامهها و دادههای مهم تجاری هستند، اهداف اصلی حملات باج افزاری به شمار میآیند، زیرا دارای بازدهی بالایی هستند.
مهاجمان اغلب با سوء استفاده از آسیب پذیریهای پچ نشده یا استفاده از دادههای لاگین ربوده شده، ضعیف و یا پیش فرض، این VMها را هک میکنند. هکرها پس از ورود به شبکه میزبان، میتوانند به صورت جانبی برای نفوذ به سرورهای ESXi حرکت کنند.
سومین خبر مهم ماه جولای، فعالیت گروه باج افزاری RansomHub میباشد، که حملات آن هر ماه در حال افزایش است. همانطور که در نمودار زیر مشاهده میشود، این گروه در ماه جولای دارای 53 حمله بیسابقه بوده که RansomHub را به مهمترین و فعالترین گروه باج افزاری این ماه تبدیل کرده است.
شواهد حاکی از آن است که این گروه، ماشینهای مجازی ESXI را نیز مورد هدف قرار داده است.
کاهش حملات باج افزاری در محیطهای ESXi
محیطهای ESXi برای کاهش حملات باج افزاری میبایست:
- اصلاح و به روز رسانی منظم: سازمانها باید محیط ESXi و نرم افزار مدیریت مربوطه را بطور منظم به روزرسانی کنند تا در برابر آسیب پذیریهای شناخته شده محافظت شوند.
- پچهای مجازی: پچ مجازی یا Virtual patching، یک روش امنیتی است که از رفع آسیب پذیریها در یک سیستم نرمافزاری یا برنامه، بدون تغییر کد منبع یا ایجاد تغییرات دائمی استفاده میکند. بسیاری از سازمانها ممکن است به دلیل پیچیدگیهای موجود، نگرانیهایی در خصوص محدودیت منابع، اولویتهای عملیاتی یا مشکلات سازگاری در محیطهای ESXi داشته باشند و آنها را آنطور که باید پچ یا بهروزرسانی نکنند. پچهای مجازی در چنین شرایطی با اعمال اقدامات امنیتی در سطح شبکه برای محافظت از سیستمهای آسیب پذیر، کاهش خطرات بدون نیاز به تغییر فوری نرمافزار زیرساختی کمک میکنند.
- پرداختن به پیکربندیهای اشتباه: به فطور منظم تنظیمات پیکربندی محیطهای ESXi را بررسی و تصحیح کنید. پیکربندی اشتباه میتواند آسیب پذیریهایی ایجاد کند که باج افزار از آنها سوء استفاده نماید. پیادهسازی شیوههای مدیریت پیکربندی قوی میتواند به اطمینان از پایبندی تنظیمات به بهترین شیوههای امنیتی کمک کند و خطر سوء استفاده را کاهش دهد.
- کنترلهای دسترسی قوی: پیاده سازی مکانیزمهای احراز هویت و مجوزدهی قوی مانند احراز هویت چند عاملی (MFA) و محدود ساختن دسترسی کاربر admin بسیار ضروری است.
- تقسیمبندی شبکه: سیستمها و شبکههای حیاتی را برای جلوگیری از گسترش باج افزار جدا کنید.
- به حداقل رساندن سطح حمله: سرویسها و پروتکلهای غیرضروری و استفاده نشده را غیرفعال و دسترسی به اینترفیسهای مدیریت را محدود کنید و قوانین سختگیرانه فایروال را اجرا نمایید. VMWare دستورالعملها و بهترین روشها در خصوص نحوه ایمنسازی محیطهای ESXi را ارائه کرده است که میتوانید از آنها استفاده کنید.
- پشتیبان گیری آفلاین منظم: پشتیبان گیری مکرر و ایمن از تمام دادههای حیاتی، ضروری است. اطمینان حاصل کنید که نسخههای پشتیبان به صورت آفلاین ذخیره میشوند و به طور مرتب آزمایش میشوند تا یکپارچگی آنها تأیید گردد.
- نظارت بر امنیت و پاسخ به رخدادها: مکانیزمهای امنیتی را مستقر کرده و یک طرح پاسخ به رخداد را برای رسیدگی فوری و فعالانه به فعالیتهای مشکوک پیاده سازی کنید.
گروههای باج افزار جدید
Malwarebytes در ماه جولای ۲۰۲۴ در مجموع 9 گروه باج افزاری جدید را به ثبت رساند، از جمله:
- Dispossessor
- Blackout
- Fog
- Lynx
- MAD LIBERATOR
- Pryx
- Ransomcortex
- Space Bears
- Vanir Group
چگونه از حملات باج افزاری جلوگیری کنیم؟
بهترین راهکارها بطور خلاصه به شرح زیر میباشند:
- مسدود نمودن شکلهای رایج ورود، ایجاد طرحی برای وصله سریع و به موقع آسیب پذیریها در سیستمهای متصل به اینترنت و همچنین غیرفعال یا سخت کردن ایجاد دسترسی از راه دور توسط پروتکلهایی مانند RDP و VPN بسیار ضروری و حائز اهمیت میباشند.
- بهره گیری از نرم افزار امنیت endpoint میتواند در شناسایی بدافزارها کمک شایانی داشته باشد.
- تشخیص نفوذ با بخشبندی شبکهها و تخصیص حقوق دسترسی محتاطانه، کار مهاجمان وبدافزارها را در داخل سازمان دشوار خواهد کرد. از این رو بهتر است از EDR یا MDR به منظور تشخیص فعالیتهای غیرعادی پیش از وقوع حمله استفاده نمود.
- متوقف ساختن رمزگذاریهای مخرب، یکی دیگر از راهکارهای پیشنهادی است. نرمافزارهای MDR و EDR از چندین تکنیک تشخیص مختلف برای شناسایی باج افزار و بازگشت باج افزار به منظور بازیابی فایلهای سیستم آسیب دیده استفاده میکنند.
- پشتیبان گیری (BackUp) دورهای و منظم از جمله توصیههای امنیتی است. فایلهای پشتیبانگیری شده بایستی خارج از سایت و بصورت آفلاین، دور از دسترس مهاجمان نگهداری شوند.
- پس از شناسایی اولین نشانههای حمله میبایست نسبت به متوقف ساختن آن اقدام کرد و هر اثری از مهاجمان، بدافزارها، ابزارها و روشهای ورود آنها را حذف نمود تا حمله مجدد صورت نگیرد.
