حملات باج افزاری به فضاهای ابری و مقابله با آن‌ها

حملات باج افزاری به فضاهای ابری و مقابله با آن‌ها

گسترش باج‌افزارها به فضاهای ابری

باج‌افزارها، از خطرناک‌ترین و البته قدیمی‌ترین انواع بدافزارها هستند که در سال‌های اخیر، با توسعه ارزهای دیجیتال و امکان انتقال ناشناس رمزارزها، بیش از هر زمان دیگری مورد استفاده مجرمین سایبری قرار می‌گیرند.

هر چه زندگی انسان، بیشتر به اینترنت و فضای دیجیتال وابستگی پیدا می‌کند، زمین بازی برای هکرها و مجرمین سایبری، بزرگ‌تر می‌شود. به همین دلیل، سرعت رشد تهدیدات سایبری در سال‌های اخیر بسیار زیاد شده است.

باج‌افزارها از مهم‌ترین و رایج‌ترین تهدیدات سایبری هستند که نوعی کسب و کار بزرگ برای مجرمین سایبری ایجاد کرده‌اند. امروزه، باج‌افزارها همانند محصولات تجاری قانونی، با همدیگر رقابت می‌کنند و تیم‌های سازمان‌یافته آن‌ها را به طور پیوسته، توسعه می‌دهند. یکی از جدیدترین پیشرفت‌ها در توسعه باج‌افزارها، هدف قراردادن فضاهای ابری است.

مهاجرت به فضاهای ابری، پدیده جدیدی نیست اما همه‌گیری ویروس کویید-۱۹ و دوران قرنطینه، به این پدیده سرعت بیشتری بخشید. در دوران همه‌گیری بیماری کرونا، بسیاری از سازمان‌ها در سرتاسر دنیا، کارکنان خود را دورکار کردند و برای پیشبرد کارهای خود، به فضاهای ابری مثل گوگل درایو، دراپ باکس، وان درایو و ... روی آورند. در نتیجه، استفاده از پایگاه‌های داده درون سازمانی (on-premise) بسیار کاهش پیدا کرد.

حمله به فضاهای ابری

 

متأسفانه، مجرمین سایبری از این مهاجرت غافل نشدند و با علم به اینکه امروزه، داده‌های ارزشمندی در فضاهای ابری ذخیره می‌شوند، تحقیق و توسعه برای ساخت بدافزارهای مخصوص فضاهای ابری را آغاز کردند.

حملات باج‌افزاری به فضاهای ابری به سه روش اصلی زیر انجام می‌شوند:

  • سوار شدن بر فرایند همگام‌سازی فایل (file sync piggybacking)
  • ارتباط از راه دور با دسترسی‌های سرقت شده (remote connection with stolen credentials)
  • حمله به تأمین‌کننده سرویس ابری‌ (attacking the cloud provider)

در ادامه این مقاله، هر یک از روش‌های گفته شده را به صورت جداگانه، توضیح می‌دهیم. با مجله امنیت سایبری سایبرنو همراه باشید.

 

۱- سوار شدن بر فرایند همگام‌سازی فایل

در این نوع از حمله باج افزاری به فضاهای ابری، از فیشینگ (Phishing) برای آلوده کردن کامپیوتر قربانی استفاده می‌شود. با این حال، برخلاف تصور عموم، لینک یا فایل پیوست شده به ایمیل، حاوی خود بدافزار نیست، بلکه تنها بخش کوچکی از بدافزار را به کامپیوتر قربانی منتقل می‌کند که در پس‌زمینه کامپیوتر اجرا می‌شود و بدافزار اصلی را دانلود و نصب می‌کند.

وقتی بدافزار اصلی روی سیستم نصب شد، خودش را به شکل یک درخواست مجوز پاپ-آپ از طرف یک نرم‌افزار مطمئن، مبدل می‌کند. وقتی کاربر فریب می‌خورد و این درخواست را تأیید می‌کند، بدافزار فعال می‌شود و در کل شبکه منتشر می‌شود و تمامی کامپیوترهای متصل به شبکه را آلوده می‌کند.

پس از انتشار بدافزار در شبکه، هکرها به جستجوی «سرویس‌های همگام‌سازی فایل با سرویس‌های ابری» می‌پردازند. پس از شناسایی این سرویس‌ها، بدافزار با سوار شدن به فرایند همگام‌سازی فایل، امکان دسترسی به فضاهای ابری، آلوده کردن آن‌ها و رمزنگاری داده‌های موجود در این فضاهای ابری را برای هکرها فراهم می‌آورد.

در صورتی که سازمان دارای سیستم‌های امنیتی مثل سیستم‌های ایرگپ (air-gap) در شبکه درون-سازمانی خودش باشد، ممکن است بتواند مسیر دسترسی بدافزار به فضاهای ابری را ببندد. بنابراین، هکرها رفته رفته به جای استفاده از این روش، از خود سرویس‌های ابری مثل گوگل درایو، اسلک، مایکروسافت تیمز و ... برای انتشار بدافزار استفاده می‌کنند. این اپلیکیشن‌ها بین فضاهای ابری و کامپیوترهای درون-سازمانی قرار می‌گیرند و در صورت آلوده کردن سیستم‌های هدف، مبارزه با آن‌ها بسیار دشوار است.

در چنین شرایطی، ابزارهای واسطه امنیت دسترسی ابری پیشرفته (CASBها) مفید هستند. این ابزارها با قرار گرفتن بین کامپیوترهای درون-سازمانی و زیرساخت‌های ابری، ترافیک بین آن‌ها را رصد و فیلتر می‌کنند.

 

۲- ارتباط از راه دور با دسترسی‌های سرقت شده

هک دسترسی به فضاهای ابری

 

در این روش، هکرها اتصالات شبکه را رصد می‌کنند تا فرصت‌های احراز هویت جعلی را شناسایی کنند. سپس، با روش‌هایی مثل نمایش صفحه لاگین جعلی به کاربر که مشابه صفحه لاگین اصلی پلتفرم ابری است، دسترسی‌های کاربران به فضاهای ابری را سرقت می‌کنند. این صفحات جعلی، با کی لاگینگ (ثبت اطلاعات وارد شده با صفحه کلید و ارسال آن‌ها برای هکر) در کامپیوترهای آلوده، جزئیات اتصال را بر بستر اینترنت برای کامپیوتر هکر ارسال می‌کنند تا به صورت خودکار، وارد فضای ابری شود.

مجرمین سایبری می‌توانند با این روش شبیه‌سازی صفحه لاگین، به فضای ابری قربانی دسترسی پیدا کنند و با رمزنگاری فایل‌ها، از قربانی باج بگیرند. با این روش، به راحتی می‌توان احراز هویت دو عاملی را دور زد.

 

۳- حمله به تأمین‌کننده سرویس ابری

آخرین روش حمله باج‌افزاری به فضاهای ابری که در این مقاله به آن می‌پردازیم، روش حمله کردن به تأمین‌کننده سرویس ابری است. این روش، مخرب‌ترین حمله باج‌افزاری به فضاهای ابری است که بیشترین سود را برای مجرمین سایبری دارد زیرا اگر با موفقیت انجام شود، کل پلتفرم ابری را آلوده می‌کند. خلاصه اینکه حمله موفق به تأمین‌کننده سرویس ابری به این معنی است که مجرمین سایبری می‌توانند از تمامی مشتریان آن سرویس ابری باج بگیرند.

به عنوان مثال می‌توان به آسیب‌پذیری فضای ابری مایکروسافت آژور که در آگوست ۲۰۲۱ شناسایی شد، اشاره کرد. هکرها می‌توانستند با آن آسیب‌پذیری، دسترسی‌های خودشان را بالا ببرند و به کل فضای ابری مایکروسافت دسترسی پیدا کنند. با اینکه آن آسیب‌پذیری به سرعت برطرف شد و هیچ حمله‌ای رخ نداد اما مثال خوبی برای درک ریسک بالای فضاهای ابری بود.

 

مقابله با حملات باج افزاری به فضای ابری

مقابله با حملات باج افزاری به فضای ابری

 

سازمان‌ها می‌توانند با روش‌هایی که در زیر به آن‌ها می‌پردازیم، ریسک حملات باج افزاری به فضاهای ابری مورد استفاده خود را تا حد زیادی کاهش دهند و از فایل‌های ارزشمند خود در این فضاهای ابری، محافظت کنند.

 

۱- آموزش دادن به کارکنان

همانطور که دیدید، دو روش از سه روش اصلی حمله باج افزاری به فضای ابری، بدون فریب دادن کارکنان امکان‌پذیری نیستند. بنابراین، خیلی مهم است که سازمان‌ها به صورت منظم، دوره‌های آموزش امنیت سایبری، امنیت شبکه و حفاظت اطلاعات برای کارکنان خودشان برگزار کنند.

 

۲- پشتیبان‌گیری اصولی از داده‌های مهم

تهیه فایل پشتیبان

 

هر داده با اهمیتی باید فایل پشتیبان داشته باشد. این فایل‌های پشتیبان نیز باید در فضایی امن نگهداری شوند. هر سازمان باید پشتیبان‌گیری از داده‌های موجود در فضاهای ابری را به صورت دوره‌ای انجام دهد و هر چه سرعت آپلود اطلاعات جدید در فضاهای ابری بیشتر باشد، این دوره‌ها باید با فاصله کوتاه‌تری انجام شوند.

 

۳- استفاده از ابزارهای ضد فیشینگ

ابزارهای ضد فیشینگ مخصوص فضاهای ابری موجود هستند که با استفاده از هوش مصنوعی، از فضاهای ابری شما در مقابل حملات فیشینگ پیشرفته، دفاع می‌کنند.

 

۴- استفاده از ابزارهای بازرسی لحظه به لحظه

رصد کردن پیوسته و لحظه به لحظه محیط ابری با استفاده از ابزارهای بومی پلتفرم مورد استفاده یا ابزارهای بازرسی لحظه به لحظه جانبی، به شما کمک می‌کند تا تهدیدات را به موقع شناسایی و دفع کنید یا حداقل اینکه آسیب را کم کنید.

این ابزارها از تکنیک‌های یادگیری ماشین برای شناسایی فایل‌ها و فعالیت‌های بدافزاری در محیط‌های ابری استفاده می‌کنند. به عنوان مثال، می‌توان از تکنیکی به عنوان «هشدار آستانه» (threshold alerting) برای شناسایی و واکنش سریع به رویدادهایی که از یک حد آستانه تجاوز می‌کنند (مثل رمزنگاری تعداد مشخصی فایل در یک زمان کوتاه) استفاده کرد. در این تکنیک می‌توان کدی را اجرا کرد که حساب‌های کاربری انجام‌دهنده فعالیت‌های رد کننده آستانه را مسدود کند یا جلوی فرایند خاصی را بگیرد.

 

۵- بلاک کردن وبسایت‌ها و نرم‌افزارهای بدافزاری

سازمان‌ها باید به هر نرم‌افزار جانبی که روی سیستم‌هایشان نصب می‌شود نظارت داشته باشند. حتی اپلیکیشن‌های موبایل کارکنان نیز باید رصد شوند. در هر جایی که امکانش باشد با از فیلترهای وب و فیلترهای لیست سفید/لیست سیاه استفاده شود تا کارکنان به طور اشتباهی صفحات بدافزاری را باز نکنند و از نصب بدافزارها روی سیستم‌ها جلوگیری شود.

 

۶- بروزرسانی به موقع سیستم‌های سازمان و نصب پچ‌ها

سازمان‌ها باید نسبت به بروزرسانی سیستم‌های عامل و نرم‌افزارهای مورد استفاده در کامپیوترهای سازمان، اقدام کنند. همچنین، پچ‌های امنیتی باید به موقع نصب شوند.

 

۷- استفاده از چندین سرویس ابری

ضرب المثل «همه تخم مرغ‌های خود را دی یک سبد نگذار» در اینجا نیز کاربرد دارد. سازمان‌ها هرگز نباید تمامی اطلاعات خود را در تنها یک سرویس ابری ذخیره کنند زیرا اگر آن سرویس ابری هک شود، کل اطلاعات سازمان به دست هکرها می‌افتد. بنابراین، باید اطلاعات به صورت منظم در چندین سرویس ابری ذخیره شوند تا در صورت حملات باج افزاری موفق به یکی از این سرویس‌های ابری، آسیب به حداقل برسد.

 

منبع:

Infosecurity magazine

 

تاریخ انتشار: 1401/03/01
تاریخ بروزرسانی: 1402/11/11
user avatar
نویسنده: امیر ظاهری مدیر تولید محتوا سایبرنو
امیر ظاهری در سال ۱۳۹۴ از دانشگاه «تربیت مدرس» در مقطع کارشناسی ارشد رشته «بیوفیزیک» فارغ‌التحصیل شد. او که به فناوری، امنیت سایبری، رمزنگاری و بلاک‌چین علاقه داشت، نویسندگی در این حوزه‌ها را شروع کرد و در سال ۱۳۹۸ به عضویت هیئت تحریریه «زومیت»، پربازدیدترین مجله تخصصی فناوری ایران، درآمد. او سابقه همکاری به عنوان کارشناس تولید محتوا با استارت‌آپ «جاب ویژن» نیز دارد. در سال ۱۴۰۰ همکاری خودش را با سایبرنو شروع کرد و از آن زمان تاکنون به صورت تخصصی در حوزه امنیت سایبری فعالیت دارد.
برچسب‌های مرتبط
این مطلب را با دوستان خود به اشتراک بگذارید
نظرات کاربران

برای دریافت خبرنامه و اخبار

آدرس پست الکترونیکی خود را وارد کنید

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا (سایبرنو) می‌باشد.