نشت داده های مربوط به باج افزار در سال 2021 82 درصد افزایش یافت
نشت داده های مربوط به باج افزار در سال 2021 82 درصد افزایش یافت
بر اساس گزارش CrowdStrike Global Threat که در روز سهشنبه منتشر شد، با وجود بهترین تلاشهای مجری قانون، نشت دادههای مربوط به باجافزار در سال ۲۰۲۱ نسبت به سال قبل ۸۲ درصد افزایش یافت.
در سال 2021، این گزارش 2686 حمله را شناسایی کرد، در مقایسه با 1474 حمله در سال قبل.
این گزارش خاطرنشان کرد که عامل افزایش سرقت دادهها، افزایش «شکار بازیهای بزرگ» بوده است – حملاتی در مقیاس بزرگ و با کیفیت بالا که «صنایع را از هم می پاشند، ویران میکنند و هشدار را درباره شکنندگی زیرساختهای حیاتی ما به صدا در میآورند».
این گزارش تاکید می کند که “رشد و تاثیر BGH در سال 2021 نیروی قابل توجهی در همه بخش ها و تقریباً در هر منطقه از جهان بوده است.” اگرچه برخی از دشمنان و باج افزارها در سال 2021 فعالیت خود را متوقف کردند، تعداد کل خانواده های باج افزار عامل افزایش یافت.
بر اساس این گزارش، یکی از کاستی های عوامل جنایتکار درگیر در BGH توجهی است که این حملات به عاملان خود جلب می کند.
این گزارش نشان میدهد که پس از رویدادهای Colonial Pipeline و GPS Foods که منجر به کاهش درز اطلاعات و تبلیغات واسطهها شد، رسانهها و مجری قانون علاقه بیشتری نشان دادند.
با این حال، این گزارش می افزاید: «یکی از موضوعات کلیدی که در طول سال 2021 برجسته شده است این است که دشمنان به پاسخگویی و انتقال عملیات به رویکردها یا نرم افزارهای بدافزار جدید در صورت امکان ادامه خواهند داد، و نشان می دهد که یک دشمن همیشه سازگار تهدید اصلی در چشم انداز باقی می ماند. جنایت الکترونیکی.”
خارج از زمین زندگی کنید
در این گزارش همچنین اشاره شده است که بسیاری از عوامل تهدید برای دستیابی به اهداف مخرب خود، بدافزار را دور زده اند.
این گزارش خاطرنشان می کند که مهاجمان به طور فزاینده ای در تلاش برای رسیدن به اهداف خود بدون نوشتن بدافزار در نقطه پایانی هستند. در عوض، مشاهده شده است که آنها از اعتبار قانونی و ابزارهای داخلی استفاده می کنند – رویکردی که به عنوان “زندگی خارج از زمین” شناخته می شود – در تلاشی عمدی برای جلوگیری از شناسایی توسط محصولات آنتی ویروس قدیمی.
این موسسه اضافه کرد که از تمام اکتشافات فهرست شده توسط CrowdStrike Security Cloud در سه ماهه آخر سال 2021، 62 درصد آن عاری از بدافزار بوده است.
دیویس مک کارتی، محقق امنیتی اصلی در Valtix، ارائهدهنده خدمات امنیتی بومی ابری در سانتا کلارا، کالیفرنیا، موافقت کرد که دشمنان “به طور فزایندهای در خارج از زمین زندگی میکنند.”
او به TechNewsWorld گفت: «آنها دستورات رایج sysadmin را اجرا می کنند، سپس باج افزار را به صورت دستی نصب می کنند. بدافزار هنوز در کمپینهای آنها استفاده میشود، اما روش تحویل نوآورانهتر است – مانند حمله SolarWinds. در آن حمله، بدافزار به نرمافزارهایی که شرکت بین مشتریانش توزیع میکرد، تزریق شد.
از پرچم های قرمز اجتناب کنید
هنک شلز، مدیر ارشد راه حلهای امنیتی Lookout، یک ارائهدهنده امنیت نقطه پایانی در سانفرانسیسکو، گفت: اگرچه ممکن است این بدافزار بخشی از یک حمله باشد، عوامل تهدید دیگر مجبور نیستند برای دسترسی اولیه به آن اعتماد کنند.
او توضیح داد که مخالفان یا به چانه زدن بر سر اعتبار حسابها میپردازند یا برنامهها و سرورهای آسیبپذیر را به عنوان نقطه ورود خود پیدا میکنند.
او به TechNewsWorld گفت: «دسترسی با اعتبارنامههای قانونی به مهاجم اجازه میدهد تا تحت عنوان یک کاربر شناختهشده وارد زیرساختهای سازمان شود و احتمال برافراشتن هر گونه پرچم قرمز را کاهش دهد».
او ادامه داد: «معمولاً اعتبار از طریق کمپینهای فیشینگ که کاربران دستگاههای تلفن همراه را هدف قرار میدهند، به سرقت میروند.» در گوشیهای هوشمند و تبلتها، مهاجمان راههای بیشماری برای مهندسی اجتماعی افراد از طریق پیامک، پلتفرمهای چت شخص ثالث و برنامههای رسانههای اجتماعی دارند.
وی افزود که شروع دسترسی از طریق برنامهها و سرورهای آسیبپذیر راه دیگری برای مهاجمان است تا بتوانند بی سر و صدا از طریق یک در باز وارد زیرساختها شوند.
او گفت: «خطرات این اتفاق در زیرساختهای ابری، برنامههای کاربردی SaaS، برنامههای کاربردی خصوصی و سرورهای تحت وب برابر است. “با چنین اکوسیستم پیچیده ای از منابع ترکیبی، برای تیم های فناوری اطلاعات و امنیت بسیار دشوار است که ببینند آسیب پذیری ها در زیرساخت کجا وجود دارد.”
قفل و نشتی
کریس هوک، قهرمان حریم خصوصی مصرفکننده در Pixel Privacy، ناشر راهنمای امنیت و حریم خصوصی مصرفکننده، تأکید کرد: اگرچه ممکن است استفاده از بدافزار به طور کلی کاهش یابد، اما برخی مناطق وجود دارد که چنین استفادههایی در حال افزایش است.
او به TechNewsWorld گفت: «گزارشهای اخیر نشان میدهد که حملات بدافزار در برخی موارد، بهویژه علیه سرورهای لینوکس و زیرساختهای ابری، که مدیریت ضعیفی دارند و چندین بار پیکربندی نادرست دارند، از نظر اندازه و پیچیدگی در حال افزایش است.
این گزارش نشان داد که تقریباً نیمی از تمام فعالیتهای جاسوسی (49 درصد) در طول سال مربوط به جرایم سایبری با انگیزه مالی بوده است. او همچنین در میان مخالفان دولت-ملت چند موضوع را شناسایی کرد.
برای مثال، مهاجمان مستقر در ایران از باجافزار همراه با عملیات اطلاعات مخرب «قفل کردن و نشت» استفاده میکنند، که در آن مهاجم نه تنها دادههای هدف را برای جمعآوری باج رمزگذاری میکند، بلکه دادهها را نیز میدزدد تا آنها را بفروشد. وب تاریک یا هدف اصلی را مجبور به پرداخت برای بازیابی اطلاعات کنید.
مک کارتی توضیح داد که «قفل و نشت» در حال افزایش محبوبیت در جامعه باجافزار است. او گفت: «اپراتورهای باجافزار در پاسخ به اینکه سازمانها نسخههای پشتیبان کافی از دادههایشان را دارند، تاکتیکهای خود را تغییر میدهند. “نشت داده ها می تواند به اندازه از دست دادن آنها برای یک سازمان مضر باشد.”
هاک خاطرنشان کرد که به نظر می رسد چنین عملیاتی در میان احزاب بد محبوبیت پیدا می کند، زیرا آنها می توانند در هنگام دریافت باج از خودداری کنند. آنها میتوانند برای باز کردن قفل دادهها باج جمعآوری کنند، سپس برای جلوگیری از انتشار دادهها در اختیار افراد غریبه، مبلغ بیشتری درخواست کنند.
او گفت: “اگر شرکت قربانی از پرداخت باج دوم امتناع کند، افراد شرور همچنان می توانند با فروش اطلاعات دزدیده شده به سایر بازیگران بد حقوق خود را دریافت کنند.”
هدف قرار دادن ارائه دهندگان خدمات رایانش ابری
در همین حال، عوامل تهدید مرتبط با چین به رهبران سوء استفاده از آسیبپذیریها تبدیل شدهاند. این گزارش خاطرنشان کرد که تعداد بازیگران بین چین و بازیگرانی که بهرهبرداریهای جدید را گسترش میدهند در سال 2021 نسبت به سال 2020 به میزان قابل توجهی بالاتر بود.
CloudStrike همچنین متوجه تغییر تاکتیک های مخالفان چینی شده است. این گزارش توضیح میدهد: «سالها، بازیگران چینی به سوء استفادههایی که نیاز به تعامل کاربر دارند، اتکا کردهاند، چه با باز کردن اسناد مخرب یا سایر فایلهای پیوست شده به ایمیلها یا بازدید از وبسایتهایی که میزبان کدهای مخرب هستند.»
او ادامه داد: «در مقابل، آسیبپذیریهایی که توسط این بازیگران در سال 2021 به کار گرفته شد، عمدتاً بر آسیبپذیریها در دستگاهها یا سرویسهای اینترنتی متمرکز بود.
ارائه دهندگان ابر هدف مورد علاقه حریفی به نام Cozy Bear متصل به روسیه بوده اند. در طول سال، این گزارش نشان داد که این گروه هدف گذاری فناوری اطلاعات خود را به منظور بهره برداری از روابط قابل اعتماد و دستیابی به اهداف اضافی از طریق حرکت جانبی، گسترش داد تا ارائه دهندگان خدمات ابری را نیز شامل شود.
آدام گاویش، بنیانگذار و مدیر عامل DoControl، شرکتی که نظارت، هماهنگی و پردازش دسترسی به داده ها را در برنامه های SaaS در شهر نیویورک ارائه می دهد، تأیید کرد که برنامه های مبتنی بر ابر به زودی حملات باج افزار بیشتری را جذب خواهند کرد.
او به TechNewsWorld گفت: «با افزایش پذیرش ابر، مهاجمان برنامههای SaaS را در معرض دید عموم قرار دادهاند. “مسلح کردن بسیاری از آسیب پذیری های موجود در برنامه های SaaS مرحله بعدی حملات باج افزار پیشرفته است.”
این گزارش خاطرنشان کرد که در سال 2021، CrowdStrike Intelligence خاطرنشان کرد که دشمنان همچنان با محیطهای امنیتی تحت تأثیر همهگیری مداوم کووید سازگار هستند. این دشمنان احتمالاً به دنبال راههای جدیدی هستند که از طریق آنها میتوانند اقدامات امنیتی را برای انجام عفونتهای اولیه موفقیتآمیز دور بزنند، مانع از تجزیه و تحلیل توسط محققان و اجرای تکنیکهای آزمایششده و آزمایششده تا سال ۲۰۲۲ شوند.