روش های مقابله و جلوگیری از حملات باج‌ افزار ها

در حال حاضر شاهد حملات باج‌ افزاری (Ransomware) بسیاری هستیم که می تواند هر کسی را به دام اندازد و همواره این حملات رو به افزایش می باشند. اما برای جلوگیری از باج افزار و مقابله با آن چه راه هایی وجود دارد؟

از آنجایی که باج‌ افزارهای مخرب و پرهزینه همه روزه در حال افزایش هستند، در این مقاله قصد داریم به معرفی راه هایی برای پیشگیری یا به حداقل رساندن آنها بپردازیم.

باج افزار یا Ransomware چیست؟

به نوعی از بدافزار ها گفته می شود که باعث محدود کردن دسترسی به سیستم می‌ شود و فردی که این محدودیت را ایجاد کرده است برای برداشتن محدودیت از فرد قربانی درخواست باج می‌ کند. یک نوع از بدافزار ها بدین صورت است که روی فایل‌ های هارددیسک رمزگذاری انجام می‌ دهند و در برخی دیگر از موارد، فرد مهاجم سیستم را قفل می کند و برای کاربر پیام‌ هایی را روی نمایشگر نشان می دهد که از او درخواست واریز وجه در ازای رفع محدودیت می شود.

افزایش باج‌ افزارها

آمار این نوع از حملات همه روزه در حال افزایش است. Bitdefender در گزارش نیم‌ ساله‌ ی سال 2020 نشان می دهد که در سراسر جهان تعداد گزارش‌ های باج‌ افزاری 715 درصد بیشتر شده است. اگر بخواهیم تعداد این حملات را در کشور ها بررسی کنیم باید بگوییم که ایالات متحده‌ ی آمریکا در رتبه‌ ی اول و بریتانیا در رتبه‌ ی دوم قرار دارند.

در حملات باج افزاری، به علت اینکه فرد مهاجم فایل‌ ها و داده‌ ها را رمزنگاری می کند شما دیگر نمی توانید با آن‌ ها کار کنید. اگر بخواهید سیستم خود را به حالت عادی دربیاورید باید کامپیوتر و سیستم تان را به صورت کامل پاک‌ سازی کنید و آن را با بکاپ بازیابی نمایید یا اینکه برای بازکردن قفل فایل‌ ها و داده‌ هایتان از کلید رمزگشایی استفاده کنید. اما باید بدانید که باید برای دریافت کلید رمزگشایی باج بدهید. از جمله مشکلات باج افزار این است که بر عملکرد کسب‌ و‌ کار آثار مخربی می‌ تواند بگذارد و یا اینکه داده ها را به طور کلی و برای همیشه از بین‌ ببرد. از جمله سایر مشکلات باج‌ افزارها به این صورت است:

• متوقف کردن کسب‌ و‌ کار
• از بین‌ بردن بهره‌ وری
• از بین‌ رفتن درآمد
• از دست دادن اعتبار
• نابودی و یا منتشر شدن اطلاعات حساس تجاری به صورت عمومی.

چنان چه نتوانید به جلوگیری از باج افزار ها بپردازید، باید به آنها باج دهید که در این حالت هزینه‌ های شما زیاد خواهد شد و حتی این امکان وجود دارد که بدافزار ها همچنان باقی بمانند. خیلی از افراد فکر می کنند که این اتفاق برایشان نخواهد افتاد و با خود می گویند هکر ها صرفا گزینه‌ های بهتر و بزرگ‌ تری را هدف قرار می‌ دهند. همچنین ممکن است گمان گنید که چرا هکر ها باید خودشان را به‌ خاطر شرکتی مثل شما آزار دهند. اما در حقیقت باید بگوییم که اینگونه تصورات درست نیست و هر فردی می تواند قربانی این حملات شود.

همه می توانند به عنوان هدف هکر ها برای حمله باج افزاری قرار بگیرند. در انتقال باج افزار، روش‌ های گوناگونی وجود دارد که یکی روش های انتقال باج افزار، ایمیل می باشد. حملات فیشینگ از فهرست ایمیل‌ هایی با میلیون‌ ها ورودی استفاده می‌ کنند. در دارک وب، تمامی ایمیل های قربانیان در 10 سال گذشته موجود است و روزانه با حملات و نفوذ هایی که صورت می گیرد، آدرس‌ های جدیدی از ایمیل‌ قربانیان به این فهرست‌ اضافه می‌ شوند. در واقع هکر ها و مهاجمان برای انجام حملات باج افزاری، به همه ی این آدرس‌ های مذکور، ایمیل های فیشینگ ارسال می کنند و به اینکه ایمیل ها متعلق به چه افرادی هستند اهمیتی نمی‌ دهند.

از میان تمام حملات باج افزاری تنها تعداد بسیار اندکی به‌ صورت هدفمند اتفاق می افتند و در حدود 99 درصد از این حملات بدون ردیابی یا شناسایی قربانی صورت می گیرند. در حقیقت می توان گفت که مهاجمان این قبیل از حملات، بدون هدف قربانی می گیرند و ایمیل هایشان را پخش کرده و منتظر فرصتی برای حمله می مانند.

آیا باج بدهیم یا بازیابی کنیم؟

همنطور که گفتیم، مهاجمان کلید رمزگشایی را در ازای دریافت باج، به کاربر می‌ دهند. غالبا این باج گیری به‌ صورت رمز ارز بیت‌ کوین و همچنین برخی دیگر از رمز ارز ها پرداخت می‌ شود.

هرچند که باید بگوییم معامله کردن با بیت‌ کوین کاری بسیار ساده است ولی برای دریافت کیف‌ پول آن باید مراحلی را طی کرد که ممکن است چندین روز طول بکشد. بنابراین طی این مدت دیگر نمی توان به کسب‌ و‌ کار خود ادامه داد و یا بازدهی مناسب را به دست آورد. مهم تر از همه اینکه ممکن است حتی پس از پرداخت باج، بازهم به داده های خود دسترسی نداشته باشید و هیچ تضمینی برای بازگشت آنها نباشد. بنابراین در این شرایط همیشه توصیه می شود که سیستم خود را از پشتیبان بازیابی کنید و هیچ باجی در این جهت نپردازید. در نتیجه می توان گفت که بکاپ گرفتن می تواند به عنوان بهترین راه ممکن شناخته شود.

جلوگیری و پیشگیری از باج افزار ها به چه صورت امکان پذیر است؟

چیزی که باید همیشه در نظر داشته باشید این است که در هر زمینه ای پیشگیری بهتر از درمان است. این کار را باید در زمینه امنیت سایبری نیز انجام داد. برای اینکه با این قبیل از حملات رو به رو نشویم و برای جلوگیری از باج افزار باید اقدامات پیشگیرانه‌ ی لازم را در این جهت انجام دهیم و باید برای انجام واکنش مناسب در برابر حوادث احتمالی برنامه ریزی کنیم. از آنجایی که همه ی افراد و سازمان‌ های بزرگ‌ و‌ کوچک هدف حملات باج افزاری هستند، باید خود را در برابر آنها آماده کنیم و جلوگیری از باج افزار را جزو برنامه های خود قرار دهیم.

داشتن برنامه‌ ی مناسب در مواقع ضروری و برای واکنش به حادثه امری ضروری است که ممکن است هرگز نیاز به پیاده‌ سازی آن هم نداشته باشید و در چنین موقعیتی نیز قرار نگیرید. در اینجا می خواهیم روش های جلوگیری از باج افزار را برای شما یک به یک توضیح دهیم تا در شرایط احتمالی بتوانید از داده هایتان و یا کسب و کار خود محافظت نمایید.

آموزش دادن به کارکنان برای جلوگیری از حمله باج افزار ها

همانطور که پیشتر گفتیم، حملات باج‌ افزاری بیشتر از طریق حملات فیشینگ صورت می گیرند و در این مورد هم کارمندان خط‌ مقدم ایمیل‌ ها می باشند. کارمندان شما به طور روزانه ممکن است ایمیل‌ ها و پیوست‌ های بسیاری را دریافت کنند که در برخی مواقع تعداد این ایمیل ها به صدها ایمیل می‌ رسد. بنابراین باید در نظر داشته باشید که تنها کافیست یکی از این ایمیل ها فیشینگ باشد و سیستم‌ های شما را آلوده کند و مورد هک شدن و نفوذ مهاجمان قرار بگیرید. چیزی که در این شرایط حائز اهمیت می باشد این است که شما باید آموزش های لازم را در جهت امنیت سایبری به کارمندان خود بدهید تا دانش لازم را برای شناسایی کردن ایمیل‌ های فیشینگ و سایر تهدیدات ایمیلی داشته باشند.

برای کاهش حجم ایمیل‌ ها می توانید از سیستم ایمیل داخلی استفاده نمایید. از آنجایی که تعداد ایمیل‌ های داخلی کمتر می باشند می توانید تمرکز بیشتری بر ایمیل‌ های خارجی داشته باشید. لازم به ذکر است که اغلب ایمیل‌ های خارجی حامل ریسک می باشند.

آسیب‌ پذیر بودن کارکنان را برای جلوگیری از باج افزار آزمایش کنید

اگر می خواهید آموزش هایی که به کارمندان خود می دهید ثمر بخش باشند باید در کنار آن آزمایش هم انجام دهید. با انجام دادن یک تست می توانید کارمندانی که در تشخیص ایمیل‌ های فیشینگ عملکرد ضعیفی دارند را شناسایی کنید و آنها را ملزم به گذراندن جلسه‌ های آموزشی در این خصوص کنید.

محدود کردن دسترسی به حساب های ادمین

برای کاهش و جلوگیری از آسیب های باج افزار ها و بدافزار باید از اینکه کاربر ها از حداقل حقوق دسترسی برای اجرای عملیات تعریف‌ شده برخوردار هستند اطمینان حاصل کنید. بنابراین باید دسترسی به حساب‌ های ادمین را محدود نمایید و نسبت به اینکه این حساب‌ ها به‌ جز عملیات ادمین کاربرد دیگری ندارند مطمعن شوید. به علاوه، بهتر است که به افرادی که نقش و مسئولیت خاصی ندارند امکان دسترسی به اشتراک‌ گذاری‌ ها و سرور ها و بخش های حساس را ندهید.

استفاده از فیلترهای اسپم جهت جلوگیری از حمله باج افزار

با اینکه فیلتر های اسپم نمی توانند تمام ایمیل‌ های فیشینگ را تشخیص دهند ولی حداقل می‌ توانند بخشی از آن‌ ها را به‌ دام اندازند. بسیاری از اسپم‌ های ایمن، اما آزار دهنده و تکراری را می توان از همین طریق کشف و قرنطینه کرد. بنابراین پس از کاهش حجم ایمیل‌ ها می توان ایمیل های فیشینگ و حامل بدافزار را راحت تر تشخیص داد.

استفاده از آنتی ویروس و انجام به روز رسانی ها منظم

برای جلوگیری از حملات باج افزار ها باید نسبت به نصب آنتی‌ ویروس‌‌ ها و استفاده از برنامه های ضد هک و یا بسته‌ های محافظتی توجه داشته باشید و آن ها را به طور مرتب تنظیم و به‌ روز رسانی کنید. دقت داشته باشید که در انجام منظم به روز رسانی ها سهل انگاری نشود.

استفاده از بسته‌ ی به‌ روز رسانی برای برنامه ها

سیستم‌‌‌ عامل‌ ها و اپلیکیشن‌ ها باید حتما از طریق بسته‌ های به‌ روز رسانی رفع باگ و امنیتی، آپدیت شوند. بنابراین در صورتی که هر‌ یک از این برنامه‌ ها فاقد بسته‌ ی به‌ روز رسانی باشند، نباید دیگر از آنها استفاده کرد.

پشتیبان گیری یا بکاپ

پشتیبان گیری یکی از کار هایی است که می توانید برای امنیت خود انجام دهید و با هر بودجه ای نیز قابل انجام است. اگر می خواهید پشتیبان‌ گیری کنید باید از طرحی استفاده کنید تطبیق داشته باشد با بحران‌ های پیش‌ بینی‌ شدنی حملات سایبری. برای بکاپ گرفتن سه قانون وجود دارد که به ترتیب زیر می باشند:

• سه کپی از داده‌ ها تهیه کنید (سیستم و دو پشتیبان)
• باید دو پشتیبان روی واسطه‌ های مختلف قرار داشته باشند
• یکی از پشتیبان‌ ها بیرون از سازمان نگهداری شود

در صورتی که این اصول سه گانه ی بکاپ را رعایت کنید، می توانید بعد از هر گونه حمله ی احتمالی باج افزاری، داده های خود را بازگردانید. در واقع باید گفت که تنها یک کپی از داده‌ ها برای پشتیبان‌ گیری کافی نمی باشد اما باز هم از انجام ندادن آن بهتر خواهد بود. برای بکاپ گرفتن باید از نرم‌ افزار پشتیبان‌ گیری استفاده کنید که امکان نسخه‌ بندی را برای شما فراهم می کند و می توانید بر‌اساس نقطه‌ ی مشخصی از زمان فایل خود را بازیابی نمایید.

پشتیبان یا همان بکاپ همچون یک سیستم لایو اجرا می‌ شود و شرکت می‌ تواند به فعالیت‌ هایش ادامه دهد. همچنین پشتیبان‌گیری خارج از محل هم امکان پذیر است و شما می‌ توانید در یک شرایط و موقعیت مکانی امن تری بکاپ خود را نگهداری نمایید. بهتر است همیشه چند بکاپ در موقعیت‌ های مختلف و روی دستگاه‌ های سخت‌ افزاری گوناگون داشته باشید تا خیالتان از این بابت همیشه آسوده باشد.

اما نکته ای که باید به آن توجه داشته باشید این است که اگر مهاجمان می توانند کاری کنند که بکاپ شما نیز آلوده شود. برای توضیح این امر باید گفت در صورتی که یک حمله ی باج‌ افزاری تأخیری چند روزه داشته باشد و در این مدت شما از داده‌ هایتان بکاپ بگیرید، این باج‌ افزار ها در تمام داده‌ های شما توزیع خواهند شد. اما نگران نباشید زیرا می توانید جلوی این اتفاق را با استفاده از بکاپ‌ های تغییر ناپذیر بگیرید. از آنجایی که این نوع از بکاپ‌ ها نوشتنی نیستند هیچ باج‌ افزار یا بدافزاری نمی‌ تواند آن‌ ها را آلوده کند.

📌 بهتر است که به بکاپ به عنوان یک هزینه نگاه نکنید و در عوض آن را به عنوان یک سرمایه گذاری به حساب بیاورید که به کسب و کار شما اعتبار و تداوم می بخشد. هزینه ی بکاپ شما هم بستگی به اندازه و پیچیدگی شبکه شما دارد و با این امر نسبتی مستقیم دارد.

استفاده از برنامه‌ ی واکنش به حادثه برای جلوگیری از حملات باج افزار

از جمله یکی از روش های مهم برای جلوگیری از حملات باج افزار استفاده از برنامه‌ ی واکنش به حادثه می باشد. معمولا این قبیل از برنامه های واکنش به حادثه شامل بخش هایی هستند که هر یک می بایست دقیق و کامل باشند. در اینجا به این بخش ها اشاره خواهیم کرد:

•  آماده‌ کردن تیم: با برنامه ریزی می توانید تیم خود را نسبت به نواقص و مشکلات آشنا کنید آمادگی خود را در این زمینه ها افزایش دهید. در نهایت باید بدانید که هر چه در این راستا آمادگی بیشتری کسب کنید، عملکرد بهتری هم خواهید کرد.
• شناسایی کردن: این مرحله مربوط به فرایند تشخیص حادثه و شناسایی کردن نوع حادثه می‌ شود. بنابراین در این مرحله باید به این قبیل از پرسش‌ ها پاسخ دهید: چه اتفاقی دارد می افتد؟ در طی این اتفاق چه کسی و چه چیزی تحت‌ تأثیر قرار می گیرد؟ مشکل در چه بخش هایی قرار دارد؟
• از بین بردن راه نفوذ: در این بخش باید به شناسایی عامل نفوذ پرداخت و سپس مانع از گسترش آن شد. بنابراین از این طریق می توان سیستم‌ های آلوده را قرنطینه کرد.
• از بین بردن مشکل: اکنون باید به پاکسازی سیستم های‌ آلوده پرداخت. برای اطمینان حاصل کردن از اینکه سیستم ها از بدافزار های آسیب‌ پذیر پاک شده‌ باشند باید از بسته‌ های به‌ روز رسانی و مراحل امنیتی لازم استفاده کنید.
• بازیابی: در بخش بازیابی، باید بازیابی از بکاپ انجام دهید که این کار در کنار تغییر مشخصات احراز‌ هویت برای همه ی حساب‌ ها امری ضروری محسوب می شود. بهتر است که عمل بازیابی با بکاپ‌ های تغییر ناپذیر صورت گیرد و حتما پیش از انجام بازیابی دقت داشته باشید که بکاپ‌ ها حامل بدافزار نباشند.
• نتیجه گیری: در مرحله ی پایانی بهتر است برای جلوگیری از حملات باج افزار بعدی به این سوال ها پاسخ دهید: این مشکل چگونه ایجاد شد و چگونه توانستید از آن جلوگیری کنید؟ آیا این حمله و یا آسیب پذیری به صورت عمدی بوده است و یا اینکه نتیجه ی یک خطای انسانی بوده است؟ چه کاری را در این شرایط برای محافظت از خود و امنیت خود انجام دادید؟

گزارش دادن حمله ی باج افزاری

همواره این را در نظر داشته باشید که باید حتما این قبیل از حملات را گزارش کنید زیرا حمله‌ ی باج‌ افزاری جرم به حساب می آید. به عنوان نمونه، حمله ی باج افزاری در اروپا و بر‌ اساس قوانین عمومی محافظت از داده‌ ها، به عنوان یکی از حملات نفوذ داده‌ ای محسوب می شود که اگر حتی منجر به دزدیده شدن یا نابودی هیچ داده‌ ای هم نشود، باز هم جرم به‌ حساب می‌ آیند.