نشت داده های مربوط به باج افزار در سال 2021 82 درصد افزایش یافت

بر اساس گزارش CrowdStrike Global Threat که در روز سه‌شنبه منتشر شد، با وجود بهترین تلاش‌های مجری قانون، نشت داده‌های مربوط به باج‌افزار در سال ۲۰۲۱ نسبت به سال قبل ۸۲ درصد افزایش یافت.

در سال 2021، این گزارش 2686 حمله را شناسایی کرد، در مقایسه با 1474 حمله در سال قبل.

این گزارش خاطرنشان کرد که عامل افزایش سرقت داده‌ها، افزایش «شکار بازی‌های بزرگ» بوده است – حملاتی در مقیاس بزرگ و با کیفیت بالا که «صنایع را از هم می پاشند، ویران می‌کنند و هشدار را درباره شکنندگی زیرساخت‌های حیاتی ما به صدا در می‌آورند».

این گزارش تاکید می کند که “رشد و تاثیر BGH در سال 2021 نیروی قابل توجهی در همه بخش ها و تقریباً در هر منطقه از جهان بوده است.” اگرچه برخی از دشمنان و باج افزارها در سال 2021 فعالیت خود را متوقف کردند، تعداد کل خانواده های باج افزار عامل افزایش یافت.

بر اساس این گزارش، یکی از کاستی های عوامل جنایتکار درگیر در BGH توجهی است که این حملات به عاملان خود جلب می کند.

این گزارش نشان می‌دهد که پس از رویدادهای Colonial Pipeline و GPS Foods که منجر به کاهش درز اطلاعات و تبلیغات واسطه‌ها شد، رسانه‌ها و مجری قانون علاقه بیشتری نشان دادند.

با این حال، این گزارش می افزاید: «یکی از موضوعات کلیدی که در طول سال 2021 برجسته شده است این است که دشمنان به پاسخگویی و انتقال عملیات به رویکردها یا نرم افزارهای بدافزار جدید در صورت امکان ادامه خواهند داد، و نشان می دهد که یک دشمن همیشه سازگار تهدید اصلی در چشم انداز باقی می ماند. جنایت الکترونیکی.”

خارج از زمین زندگی کنید

در این گزارش همچنین اشاره شده است که بسیاری از عوامل تهدید برای دستیابی به اهداف مخرب خود، بدافزار را دور زده اند.

این گزارش خاطرنشان می کند که مهاجمان به طور فزاینده ای در تلاش برای رسیدن به اهداف خود بدون نوشتن بدافزار در نقطه پایانی هستند. در عوض، مشاهده شده است که آنها از اعتبار قانونی و ابزارهای داخلی استفاده می کنند – رویکردی که به عنوان “زندگی خارج از زمین” شناخته می شود – در تلاشی عمدی برای جلوگیری از شناسایی توسط محصولات آنتی ویروس قدیمی.

این موسسه اضافه کرد که از تمام اکتشافات فهرست شده توسط CrowdStrike Security Cloud در سه ماهه آخر سال 2021، 62 درصد آن عاری از بدافزار بوده است.

دیویس مک کارتی، محقق امنیتی اصلی در Valtix، ارائه‌دهنده خدمات امنیتی بومی ابری در سانتا کلارا، کالیفرنیا، موافقت کرد که دشمنان “به طور فزاینده‌ای در خارج از زمین زندگی می‌کنند.”

او به TechNewsWorld گفت: «آنها دستورات رایج sysadmin را اجرا می کنند، سپس باج افزار را به صورت دستی نصب می کنند. بدافزار هنوز در کمپین‌های آن‌ها استفاده می‌شود، اما روش تحویل نوآورانه‌تر است – مانند حمله SolarWinds. در آن حمله، بدافزار به نرم‌افزارهایی که شرکت بین مشتریانش توزیع می‌کرد، تزریق شد.

از پرچم های قرمز اجتناب کنید

هنک شلز، مدیر ارشد راه حل‌های امنیتی Lookout، یک ارائه‌دهنده امنیت نقطه پایانی در سانفرانسیسکو، گفت: اگرچه ممکن است این بدافزار بخشی از یک حمله باشد، عوامل تهدید دیگر مجبور نیستند برای دسترسی اولیه به آن اعتماد کنند.

او توضیح داد که مخالفان یا به چانه زدن بر سر اعتبار حساب‌ها می‌پردازند یا برنامه‌ها و سرورهای آسیب‌پذیر را به عنوان نقطه ورود خود پیدا می‌کنند.

او به TechNewsWorld گفت: «دسترسی با اعتبارنامه‌های قانونی به مهاجم اجازه می‌دهد تا تحت عنوان یک کاربر شناخته‌شده وارد زیرساخت‌های سازمان شود و احتمال برافراشتن هر گونه پرچم قرمز را کاهش دهد».

او ادامه داد: «معمولاً اعتبار از طریق کمپین‌های فیشینگ که کاربران دستگاه‌های تلفن همراه را هدف قرار می‌دهند، به سرقت می‌روند.» در گوشی‌های هوشمند و تبلت‌ها، مهاجمان راه‌های بی‌شماری برای مهندسی اجتماعی افراد از طریق پیامک، پلتفرم‌های چت شخص ثالث و برنامه‌های رسانه‌های اجتماعی دارند.

وی افزود که شروع دسترسی از طریق برنامه‌ها و سرورهای آسیب‌پذیر راه دیگری برای مهاجمان است تا بتوانند بی سر و صدا از طریق یک در باز وارد زیرساخت‌ها شوند.

او گفت: «خطرات این اتفاق در زیرساخت‌های ابری، برنامه‌های کاربردی SaaS، برنامه‌های کاربردی خصوصی و سرورهای تحت وب برابر است. “با چنین اکوسیستم پیچیده ای از منابع ترکیبی، برای تیم های فناوری اطلاعات و امنیت بسیار دشوار است که ببینند آسیب پذیری ها در زیرساخت کجا وجود دارد.”

قفل و نشتی

کریس هوک، قهرمان حریم خصوصی مصرف‌کننده در Pixel Privacy، ناشر راهنمای امنیت و حریم خصوصی مصرف‌کننده، تأکید کرد: اگرچه ممکن است استفاده از بدافزار به طور کلی کاهش یابد، اما برخی مناطق وجود دارد که چنین استفاده‌هایی در حال افزایش است.

او به TechNewsWorld گفت: «گزارش‌های اخیر نشان می‌دهد که حملات بدافزار در برخی موارد، به‌ویژه علیه سرورهای لینوکس و زیرساخت‌های ابری، که مدیریت ضعیفی دارند و چندین بار پیکربندی نادرست دارند، از نظر اندازه و پیچیدگی در حال افزایش است.

این گزارش نشان داد که تقریباً نیمی از تمام فعالیت‌های جاسوسی (49 درصد) در طول سال مربوط به جرایم سایبری با انگیزه مالی بوده است. او همچنین در میان مخالفان دولت-ملت چند موضوع را شناسایی کرد.

برای مثال، مهاجمان مستقر در ایران از باج‌افزار همراه با عملیات اطلاعات مخرب «قفل کردن و نشت» استفاده می‌کنند، که در آن مهاجم نه تنها داده‌های هدف را برای جمع‌آوری باج رمزگذاری می‌کند، بلکه داده‌ها را نیز می‌دزدد تا آن‌ها را بفروشد. وب تاریک یا هدف اصلی را مجبور به پرداخت برای بازیابی اطلاعات کنید.

مک کارتی توضیح داد که «قفل و نشت» در حال افزایش محبوبیت در جامعه باج‌افزار است. او گفت: «اپراتورهای باج‌افزار در پاسخ به اینکه سازمان‌ها نسخه‌های پشتیبان کافی از داده‌هایشان را دارند، تاکتیک‌های خود را تغییر می‌دهند. “نشت داده ها می تواند به اندازه از دست دادن آنها برای یک سازمان مضر باشد.”

هاک خاطرنشان کرد که به نظر می رسد چنین عملیاتی در میان احزاب بد محبوبیت پیدا می کند، زیرا آنها می توانند در هنگام دریافت باج از خودداری کنند. آن‌ها می‌توانند برای باز کردن قفل داده‌ها باج جمع‌آوری کنند، سپس برای جلوگیری از انتشار داده‌ها در اختیار افراد غریبه، مبلغ بیشتری درخواست کنند.

او گفت: “اگر شرکت قربانی از پرداخت باج دوم امتناع کند، افراد شرور همچنان می توانند با فروش اطلاعات دزدیده شده به سایر بازیگران بد حقوق خود را دریافت کنند.”

هدف قرار دادن ارائه دهندگان خدمات رایانش ابری

در همین حال، عوامل تهدید مرتبط با چین به رهبران سوء استفاده از آسیب‌پذیری‌ها تبدیل شده‌اند. این گزارش خاطرنشان کرد که تعداد بازیگران بین چین و بازیگرانی که بهره‌برداری‌های جدید را گسترش می‌دهند در سال 2021 نسبت به سال 2020 به میزان قابل توجهی بالاتر بود.

CloudStrike همچنین متوجه تغییر تاکتیک های مخالفان چینی شده است. این گزارش توضیح می‌دهد: «سال‌ها، بازیگران چینی به سوء استفاده‌هایی که نیاز به تعامل کاربر دارند، اتکا کرده‌اند، چه با باز کردن اسناد مخرب یا سایر فایل‌های پیوست شده به ایمیل‌ها یا بازدید از وب‌سایت‌هایی که میزبان کدهای مخرب هستند.»

او ادامه داد: «در مقابل، آسیب‌پذیری‌هایی که توسط این بازیگران در سال 2021 به کار گرفته شد، عمدتاً بر آسیب‌پذیری‌ها در دستگاه‌ها یا سرویس‌های اینترنتی متمرکز بود.

ارائه دهندگان ابر هدف مورد علاقه حریفی به نام Cozy Bear متصل به روسیه بوده اند. در طول سال، این گزارش نشان داد که این گروه هدف گذاری فناوری اطلاعات خود را به منظور بهره برداری از روابط قابل اعتماد و دستیابی به اهداف اضافی از طریق حرکت جانبی، گسترش داد تا ارائه دهندگان خدمات ابری را نیز شامل شود.

آدام گاویش، بنیانگذار و مدیر عامل DoControl، شرکتی که نظارت، هماهنگی و پردازش دسترسی به داده ها را در برنامه های SaaS در شهر نیویورک ارائه می دهد، تأیید کرد که برنامه های مبتنی بر ابر به زودی حملات باج افزار بیشتری را جذب خواهند کرد.

او به TechNewsWorld گفت: «با افزایش پذیرش ابر، مهاجمان برنامه‌های SaaS را در معرض دید عموم قرار داده‌اند. “مسلح کردن بسیاری از آسیب پذیری های موجود در برنامه های SaaS مرحله بعدی حملات باج افزار پیشرفته است.”

این گزارش خاطرنشان کرد که در سال 2021، CrowdStrike Intelligence خاطرنشان کرد که دشمنان همچنان با محیط‌های امنیتی تحت تأثیر همه‌گیری مداوم کووید سازگار هستند. این دشمنان احتمالاً به دنبال راه‌های جدیدی هستند که از طریق آنها می‌توانند اقدامات امنیتی را برای انجام عفونت‌های اولیه موفقیت‌آمیز دور بزنند، مانع از تجزیه و تحلیل توسط محققان و اجرای تکنیک‌های آزمایش‌شده و آزمایش‌شده تا سال ۲۰۲۲ شوند.