وضعیت باج افزار در ژانویه 2024

این مقاله بر اساس تحقیقات Marcelo Rivero، متخصص باج‌افزار شرکت Malwarebytes تهیه شده است که اطلاعات منتشر شده باج‌افزارها را در سایت‌های دارک وب رصد می‌کند. «حملات شناخته شده» در این گزارش، به مواردی اطلاق می‌گردد که قربانی هیچگونه باجی را پرداخته نکرده است. گزارش پیش رو، وضعیت باج افزار در ژانویه ۲۰۲۴ را مورد بررسی قرار داده است.

Malwarebytes گزارش کرده است که در ماه ژانویه، مجموعاً 261 قربانی باج‌افزار را به ثبت رسانده است که کمترین تعداد حملات از فوریه 2023 می‌باشد. این یک رخداد طبیعی است، چرا که داده‌های گذشته حاکی از آن هستند که ماه ژانویه، یکی از آرام‌ترین دوره‌های فعالیت باج‌افزارها است.

ژانویه 2024، شاهد رویداد جالبی بود؛ این که یک سری “محققان امنیتی کلاهبردار” سعی داشتند قربانیان باج افزار را فریب دهند تا گمان کنند می‌توانند داده های ربوده شده خود را بازیابی کنند. هدف از این کلاهبرداری‌ها که به عنوان حملات «اخاذی» توصیف می‌شوند، وادار ساختن قربانیان به پرداخت بیت کوین برای ارائه کمک فرضی است.

دو نمونه از این حملات، قربانیان باج‌افزارهای Royal  و Akira را هدف قرار بودند، اما مشخص نیست که آیا محققان امنیتی جعلی بخشی از این گروه‌ها هستند یا خیر. احتمال می‌رود که آنها یک گروه حاشیه‌ای هستند که به سادگی از این فرصت استفاده کرده‌اند تا از قربانیانی که قبلاً توسط این گروه‌ها مورد هدف قرار گرفته‌اند، سوء استفاده کنند.

بیایید با استفاده از دو سناریو و با فرض اینکه اخاذی‌ها واقعا کار Royal یا Akira بوده است، این رویداد را تحلیل کنیم.

در سناریوی اول، Royal  یا Akira  داده‌ها را می‌ربایند که باعث می‌شود قربانی برای بازپس‌گیری داده‌ها باج پرداخت کند.Royal  یا Akira  سپس، یک گروه دیگر را به سراغ همان قربانی می‌فرستد که مدعی است می‌تواند داده‌های ربوده شده را حذف کند. این سناریو بسیار بعید است، زیرا اعتبار Royal  را از منظر قربانی تضعیف می‌کند و به آن لطمه می‌زند.

در سناریوی دوم، Royal  یا Akira   داده‌ها را می‌ربایند، اما قربانی هنوز هزینه حذف را پرداخت نکرده است. این گروه سپس پیشنهاد می‌دهد که داده‌ها را با دریافت هزینه، بازیابی خواهد کرد. این مخمصه، قربانی را وادار می‌کند که انتخاب کند به چه کسی اعتماد کند و احتمالاً تصمیم می‌گیرد که منطقی‌تر عمل کرده و به Royal  اطمینان کند چرا که آنها انگیزه بیشتری برای حفظ ظاهر و جلب اطمینان دارند. از این رو، ماجرا به یک پرونده اخاذی دوگانه معمولی تبدیل می‌شود، اما با یک مرحله اضافی غیر ضروری.

“گروه باج افزار اولیه” در مورد اول، هیچ اهرمی برای دور دوم اخاذی بدون مخالفت با ادعاهای خود و آسیب رساندن به شهرت خود ندارد و در سناریوی دوم، گروه باج‌افزار اولیه فقط کار بیشتری را برای به دست آوردن همان نتیجه انجام می‌دهد، یعنی پرداخت برای حذف داده‌ها.

هیچ یک از گزینه ها ارتباط تضمین شده‌ای را با مهاجمان اصلی ارائه نمی‌دهند.