باجافزارها، از خطرناکترین و البته قدیمیترین انواع بدافزارها هستند که در سالهای اخیر، با توسعه ارزهای دیجیتال و امکان انتقال ناشناس رمزارزها، بیش از هر زمان دیگری مورد استفاده مجرمین سایبری قرار میگیرند.
هر چه زندگی انسان، بیشتر به اینترنت و فضای دیجیتال وابستگی پیدا میکند، زمین بازی برای هکرها و مجرمین سایبری، بزرگتر میشود. به همین دلیل، سرعت رشد تهدیدات سایبری در سالهای اخیر بسیار زیاد شده است.
باجافزارها از مهمترین و رایجترین تهدیدات سایبری هستند که نوعی کسب و کار بزرگ برای مجرمین سایبری ایجاد کردهاند. امروزه، باجافزارها همانند محصولات تجاری قانونی، با همدیگر رقابت میکنند و تیمهای سازمانیافته آنها را به طور پیوسته، توسعه میدهند. یکی از جدیدترین پیشرفتها در توسعه باجافزارها، هدف قراردادن فضاهای ابری است.
مهاجرت به فضاهای ابری، پدیده جدیدی نیست اما همهگیری ویروس کویید-۱۹ و دوران قرنطینه، به این پدیده سرعت بیشتری بخشید. در دوران همهگیری بیماری کرونا، بسیاری از سازمانها در سرتاسر دنیا، کارکنان خود را دورکار کردند و برای پیشبرد کارهای خود، به فضاهای ابری مثل گوگل درایو، دراپ باکس، وان درایو و ... روی آورند. در نتیجه، استفاده از پایگاههای داده درون سازمانی (on-premise) بسیار کاهش پیدا کرد.
متأسفانه، مجرمین سایبری از این مهاجرت غافل نشدند و با علم به اینکه امروزه، دادههای ارزشمندی در فضاهای ابری ذخیره میشوند، تحقیق و توسعه برای ساخت بدافزارهای مخصوص فضاهای ابری را آغاز کردند.
حملات باجافزاری به فضاهای ابری به سه روش اصلی زیر انجام میشوند:
در ادامه این مقاله، هر یک از روشهای گفته شده را به صورت جداگانه، توضیح میدهیم. با مجله امنیت سایبری سایبرنو همراه باشید.
در این نوع از حمله باج افزاری به فضاهای ابری، از فیشینگ (Phishing) برای آلوده کردن کامپیوتر قربانی استفاده میشود. با این حال، برخلاف تصور عموم، لینک یا فایل پیوست شده به ایمیل، حاوی خود بدافزار نیست، بلکه تنها بخش کوچکی از بدافزار را به کامپیوتر قربانی منتقل میکند که در پسزمینه کامپیوتر اجرا میشود و بدافزار اصلی را دانلود و نصب میکند.
وقتی بدافزار اصلی روی سیستم نصب شد، خودش را به شکل یک درخواست مجوز پاپ-آپ از طرف یک نرمافزار مطمئن، مبدل میکند. وقتی کاربر فریب میخورد و این درخواست را تأیید میکند، بدافزار فعال میشود و در کل شبکه منتشر میشود و تمامی کامپیوترهای متصل به شبکه را آلوده میکند.
پس از انتشار بدافزار در شبکه، هکرها به جستجوی «سرویسهای همگامسازی فایل با سرویسهای ابری» میپردازند. پس از شناسایی این سرویسها، بدافزار با سوار شدن به فرایند همگامسازی فایل، امکان دسترسی به فضاهای ابری، آلوده کردن آنها و رمزنگاری دادههای موجود در این فضاهای ابری را برای هکرها فراهم میآورد.
در صورتی که سازمان دارای سیستمهای امنیتی مثل سیستمهای ایرگپ (air-gap) در شبکه درون-سازمانی خودش باشد، ممکن است بتواند مسیر دسترسی بدافزار به فضاهای ابری را ببندد. بنابراین، هکرها رفته رفته به جای استفاده از این روش، از خود سرویسهای ابری مثل گوگل درایو، اسلک، مایکروسافت تیمز و ... برای انتشار بدافزار استفاده میکنند. این اپلیکیشنها بین فضاهای ابری و کامپیوترهای درون-سازمانی قرار میگیرند و در صورت آلوده کردن سیستمهای هدف، مبارزه با آنها بسیار دشوار است.
در چنین شرایطی، ابزارهای واسطه امنیت دسترسی ابری پیشرفته (CASBها) مفید هستند. این ابزارها با قرار گرفتن بین کامپیوترهای درون-سازمانی و زیرساختهای ابری، ترافیک بین آنها را رصد و فیلتر میکنند.
در این روش، هکرها اتصالات شبکه را رصد میکنند تا فرصتهای احراز هویت جعلی را شناسایی کنند. سپس، با روشهایی مثل نمایش صفحه لاگین جعلی به کاربر که مشابه صفحه لاگین اصلی پلتفرم ابری است، دسترسیهای کاربران به فضاهای ابری را سرقت میکنند. این صفحات جعلی، با کی لاگینگ (ثبت اطلاعات وارد شده با صفحه کلید و ارسال آنها برای هکر) در کامپیوترهای آلوده، جزئیات اتصال را بر بستر اینترنت برای کامپیوتر هکر ارسال میکنند تا به صورت خودکار، وارد فضای ابری شود.
مجرمین سایبری میتوانند با این روش شبیهسازی صفحه لاگین، به فضای ابری قربانی دسترسی پیدا کنند و با رمزنگاری فایلها، از قربانی باج بگیرند. با این روش، به راحتی میتوان احراز هویت دو عاملی را دور زد.
آخرین روش حمله باجافزاری به فضاهای ابری که در این مقاله به آن میپردازیم، روش حمله کردن به تأمینکننده سرویس ابری است. این روش، مخربترین حمله باجافزاری به فضاهای ابری است که بیشترین سود را برای مجرمین سایبری دارد زیرا اگر با موفقیت انجام شود، کل پلتفرم ابری را آلوده میکند. خلاصه اینکه حمله موفق به تأمینکننده سرویس ابری به این معنی است که مجرمین سایبری میتوانند از تمامی مشتریان آن سرویس ابری باج بگیرند.
به عنوان مثال میتوان به آسیبپذیری فضای ابری مایکروسافت آژور که در آگوست ۲۰۲۱ شناسایی شد، اشاره کرد. هکرها میتوانستند با آن آسیبپذیری، دسترسیهای خودشان را بالا ببرند و به کل فضای ابری مایکروسافت دسترسی پیدا کنند. با اینکه آن آسیبپذیری به سرعت برطرف شد و هیچ حملهای رخ نداد اما مثال خوبی برای درک ریسک بالای فضاهای ابری بود.
سازمانها میتوانند با روشهایی که در زیر به آنها میپردازیم، ریسک حملات باج افزاری به فضاهای ابری مورد استفاده خود را تا حد زیادی کاهش دهند و از فایلهای ارزشمند خود در این فضاهای ابری، محافظت کنند.
همانطور که دیدید، دو روش از سه روش اصلی حمله باج افزاری به فضای ابری، بدون فریب دادن کارکنان امکانپذیری نیستند. بنابراین، خیلی مهم است که سازمانها به صورت منظم، دورههای آموزش امنیت سایبری، امنیت شبکه و حفاظت اطلاعات برای کارکنان خودشان برگزار کنند.
هر داده با اهمیتی باید فایل پشتیبان داشته باشد. این فایلهای پشتیبان نیز باید در فضایی امن نگهداری شوند. هر سازمان باید پشتیبانگیری از دادههای موجود در فضاهای ابری را به صورت دورهای انجام دهد و هر چه سرعت آپلود اطلاعات جدید در فضاهای ابری بیشتر باشد، این دورهها باید با فاصله کوتاهتری انجام شوند.
ابزارهای ضد فیشینگ مخصوص فضاهای ابری موجود هستند که با استفاده از هوش مصنوعی، از فضاهای ابری شما در مقابل حملات فیشینگ پیشرفته، دفاع میکنند.
رصد کردن پیوسته و لحظه به لحظه محیط ابری با استفاده از ابزارهای بومی پلتفرم مورد استفاده یا ابزارهای بازرسی لحظه به لحظه جانبی، به شما کمک میکند تا تهدیدات را به موقع شناسایی و دفع کنید یا حداقل اینکه آسیب را کم کنید.
این ابزارها از تکنیکهای یادگیری ماشین برای شناسایی فایلها و فعالیتهای بدافزاری در محیطهای ابری استفاده میکنند. به عنوان مثال، میتوان از تکنیکی به عنوان «هشدار آستانه» (threshold alerting) برای شناسایی و واکنش سریع به رویدادهایی که از یک حد آستانه تجاوز میکنند (مثل رمزنگاری تعداد مشخصی فایل در یک زمان کوتاه) استفاده کرد. در این تکنیک میتوان کدی را اجرا کرد که حسابهای کاربری انجامدهنده فعالیتهای رد کننده آستانه را مسدود کند یا جلوی فرایند خاصی را بگیرد.
سازمانها باید به هر نرمافزار جانبی که روی سیستمهایشان نصب میشود نظارت داشته باشند. حتی اپلیکیشنهای موبایل کارکنان نیز باید رصد شوند. در هر جایی که امکانش باشد با از فیلترهای وب و فیلترهای لیست سفید/لیست سیاه استفاده شود تا کارکنان به طور اشتباهی صفحات بدافزاری را باز نکنند و از نصب بدافزارها روی سیستمها جلوگیری شود.
سازمانها باید نسبت به بروزرسانی سیستمهای عامل و نرمافزارهای مورد استفاده در کامپیوترهای سازمان، اقدام کنند. همچنین، پچهای امنیتی باید به موقع نصب شوند.
ضرب المثل «همه تخم مرغهای خود را دی یک سبد نگذار» در اینجا نیز کاربرد دارد. سازمانها هرگز نباید تمامی اطلاعات خود را در تنها یک سرویس ابری ذخیره کنند زیرا اگر آن سرویس ابری هک شود، کل اطلاعات سازمان به دست هکرها میافتد. بنابراین، باید اطلاعات به صورت منظم در چندین سرویس ابری ذخیره شوند تا در صورت حملات باج افزاری موفق به یکی از این سرویسهای ابری، آسیب به حداقل برسد.
منبع: