باج افزار BARADAI

عملیات باج‌افزارهای مدرن همچنان در حال پیشرفت و پیچیده‌تر شدن هستند و همین امر، اقدامات پیشگیرانه امنیت سایبری را بیش از پیش مهم می‌کند. سازمان‌ها و کاربران شخصی به طور یکسان با خطرات مداوم از سوی عوامل مخربی که به دنبال رمزگذاری داده‌های حساس، اختلال در عملیات و اخاذی مالی از قربانیان هستند، مواجه هستند. یکی از نمونه‌های خطرناک، باج‌افزار BARADAI است، گونه‌ای از بدافزار که با خانواده باج‌افزار بدنام MedusaLocker مرتبط است. این تهدید، رمزگذاری پیشرفته را با تاکتیک‌های سرقت داده‌ها ترکیب می‌کند و عواقب عملیاتی، مالی و اعتباری شدیدی را برای سازمان‌های آسیب‌دیده ایجاد می‌کند.

درون عملیات باج‌افزار BARADAI

BARADAI برای نفوذ به سیستم‌ها، رمزگذاری فایل‌های ارزشمند و تحت فشار قرار دادن قربانیان برای پرداخت باج طراحی شده است. این باج‌افزار پس از اجرا در دستگاه آلوده، شروع به رمزگذاری فایل‌ها و افزودن پسوند «.BARADAI» به نام فایل‌های آسیب‌دیده می‌کند. به عنوان مثال، فایلی با نام «document.pdf» به «document.pdf.BARADAI» تبدیل می‌شود و آن را برای کاربرانی که کلید رمزگشایی مناسب را ندارند، غیرقابل دسترس می‌کند.

پس از اتمام فرآیند رمزگذاری، بدافزار یک یادداشت باج‌خواهی HTML با نام 'read_to_decrypt_files.html' ایجاد می‌کند. این پیام به قربانیان اطلاع می‌دهد که شبکه شرکتی آنها ظاهراً با استفاده از الگوریتم‌های رمزنگاری RSA-4096 و AES-256 'به خطر افتاده و رمزگذاری شده است'. این استانداردهای رمزگذاری بسیار ایمن تلقی می‌شوند و شکستن آنها از طریق روش‌های جستجوی فراگیر عملاً غیرممکن است.

این یادداشت باج‌خواهی همچنین به قربانیان در مورد استفاده از نرم‌افزارهای بازیابی شخص ثالث یا تغییر فایل‌های رمزگذاری شده هشدار می‌دهد و ادعا می‌کند که چنین اقداماتی می‌تواند به طور دائمی به داده‌ها آسیب برساند. در حالی که این هشدارها در درجه اول برای ارعاب قربانیان در نظر گرفته شده است، تلاش‌های نامناسب برای بازیابی در واقع می‌تواند تلاش‌های بازیابی را در برخی از حوادث باج‌افزاری پیچیده کند.

تاکتیک‌های اخاذی مضاعف، فشار را افزایش می‌دهد

BARADAI از استراتژی «اخاذی مضاعف» که به طور فزاینده‌ای توسط بسیاری از گروه‌های باج‌افزاری مدرن به کار گرفته می‌شود، پیروی می‌کند. مهاجمان فراتر از رمزگذاری فایل‌ها، ادعا می‌کنند که قبل از استقرار بار داده باج‌افزار، اطلاعات حساس را از شبکه‌های آسیب‌دیده سرقت می‌کنند. طبق یادداشت باج‌افزار، داده‌های سرقت شده ممکن است شامل اسناد تجاری محرمانه، سوابق مالی و اطلاعات شخصی باشد.

قربانیان در صورت نادیده گرفتن درخواست‌های پرداخت، تهدید به افشای عمومی این اطلاعات از طریق رسانه‌ها یا دلالان داده می‌شوند. این تاکتیک فشار بر سازمان‌ها، به ویژه سازمان‌هایی که با اطلاعات حساس مشتریان، داده‌های تنظیم‌شده یا مالکیت معنوی اختصاصی سروکار دارند، را به میزان قابل توجهی افزایش می‌دهد.

مهاجمان برای تقویت اعتبار خود، پیشنهاد رمزگشایی رایگان چندین فایل غیرضروری را می‌دهند. این نمایش به منظور اثبات این است که در صورت پرداخت باج، رمزگشایی از نظر فنی امکان‌پذیر است. کانال‌های ارتباطی ارائه شده در این یادداشت شامل آدرس‌های ایمیل، پورتال‌های مبتنی بر Tor و یک شناسه پیام‌رسان qTox است. قربانیان علاوه بر این تشویق می‌شوند که از ProtonMail برای ارتباط «ایمن» استفاده کنند، در حالی که یک مهلت ۷۲ ساعته با هشدار مبنی بر افزایش درخواست‌های باج پس از مدت زمان مشخص، تلاش می‌کند تا فوریت ایجاد کند.

چرا BARADAI به طور خاص خطرناک است؟

BARADAI یک تهدید قابل توجه است زیرا به خانواده باج‌افزارهای MedusaLocker تعلق دارد، گروهی که به دلیل هدف قرار دادن کسب‌وکارها و محیط‌های سازمانی به جای کاربران خانگی معمولی شناخته می‌شود. این عملیات اغلب پس از دسترسی عمیق مهاجمان به شبکه شرکت‌ها، با دقت برنامه‌ریزی و اجرا می‌شوند.

این باج‌افزار معمولاً از طریق سرویس‌های پروتکل دسکتاپ از راه دور (RDP) آسیب‌پذیر منتشر می‌شود. مهاجمان به دنبال نقاط پایانی RDP متصل به اینترنت هستند که توسط اعتبارنامه‌های ضعیف یا استفاده مجدد محافظت می‌شوند، سپس از حملات جستجوی فراگیر برای دسترسی غیرمجاز استفاده می‌کنند. پس از ورود، آنها به صورت جانبی در شبکه حرکت می‌کنند، سیستم‌های اضافی را به خطر می‌اندازند، دفاع‌ها را غیرفعال می‌کنند و باج‌افزار را به طور همزمان در چندین دستگاه مستقر می‌کنند.

کمپین‌های فیشینگ همچنان یکی از عوامل اصلی آلودگی هستند. کارمندان ممکن است ناخواسته پیوست‌های مخرب را که به عنوان فاکتور، گزارش یا ارتباطات تجاری پنهان شده‌اند، باز کنند. این فایل‌ها اغلب حاوی ماکروهای مخرب، اسکریپت‌های جاسازی‌شده یا لینک‌هایی هستند که منجر به دانلود بدافزار می‌شوند. بایگانی‌های فشرده مانند فایل‌های ZIP یا RAR اغلب برای دور زدن محافظت‌های اولیه فیلتر ایمیل استفاده می‌شوند.

روش‌های دیگر آلودگی شامل بدافزار تروجان، نرم‌افزارهای غیرقانونی، ابزارهای فعال‌سازی غیرقانونی، به‌روزرسانی‌های جعلی نرم‌افزار و پلتفرم‌های دانلود نامعتبر است. در شبکه‌هایی که به خوبی تقسیم‌بندی نشده‌اند، یک نقطه پایانی آلوده می‌تواند به سرعت منجر به آلودگی گسترده در سراسر سازمان شود.

چالش‌های رمزگذاری و بازیابی

بازیابی فایل‌های رمزگذاری شده توسط BARADAI بدون همکاری مهاجم عموماً غیرواقعی است. این باج‌افزار از مکانیسم‌های رمزنگاری قوی استفاده می‌کند که بدون دسترسی به کلید رمزگشایی خصوصی که توسط مهاجمان کنترل می‌شود، نمی‌توان از آنها عبور کرد. مگر اینکه نقص پیاده‌سازی جدی در خود بدافزار وجود داشته باشد، گزینه‌های رمزگشایی رایگان بعید است.

متخصصان امنیت سایبری به شدت پرداخت باج را توصیه نمی‌کنند. عاملان تهدید اغلب حتی پس از دریافت وجه، از ارائه ابزارهای رمزگشایی کاربردی خودداری می‌کنند. در برخی موارد، قربانیان به اهداف تکراری تبدیل می‌شوند زیرا مهاجمان آنها را به عنوان سازمان‌هایی که مایل به رعایت درخواست‌های اخاذی هستند، شناسایی می‌کنند.

اگرچه حذف باج‌افزار از سیستم‌های آلوده برای جلوگیری از فعالیت‌های رمزگذاری اضافی ضروری است، اما حذف بدافزار به تنهایی فایل‌های قفل‌شده را بازیابی نمی‌کند. قابل اعتمادترین استراتژی بازیابی، استفاده از پشتیبان‌های پاک است که به صورت آفلاین یا در زیرساخت‌های راه دور ایمن و جدا از شبکه اصلی ذخیره شده‌اند.

تقویت دفاع در برابر BARADAI و تهدیدات مشابه

سازمان‌ها می‌توانند با پیاده‌سازی کنترل‌های امنیتی لایه‌ای و حفظ رویه‌های منظم امنیت سایبری، میزان مواجهه خود با باج‌افزارها را به میزان قابل توجهی کاهش دهند. دفاع مؤثر مستلزم حفاظت‌های فنی و آگاهی کارکنان است.

اقدامات حفاظتی کلیدی عبارتند از:

• اعمال سیاست‌های قوی برای رمز عبور و احراز هویت چند عاملی، به ویژه برای RDP و سایر سرویس‌های دسترسی از راه دور.
• محدود کردن یا غیرفعال کردن دسترسی RDP در صورت امکان.
• نگهداری منظم پشتیبان‌گیری‌های آفلاین و مبتنی بر ابر که از سیستم‌های عملیاتی جدا شده‌اند.
• اعمال سریع وصله‌های امنیتی به سیستم‌عامل‌ها، برنامه‌ها و دستگاه‌های شبکه.
• استفاده از راهکارهای معتبر محافظت از نقاط پایانی و نظارت بر شبکه که قادر به تشخیص رفتارهای مشکوک هستند.
• بخش‌بندی شبکه‌ها برای محدود کردن حرکت جانبی در طول یک سازش.
• آموزش کارمندان برای تشخیص ایمیل‌های فیشینگ، پیوست‌های مخرب و تاکتیک‌های مهندسی اجتماعی.

فراتر از این اقدامات، سازمان‌ها باید یک استراتژی واکنش پیشگیرانه به حوادث اتخاذ کنند. نظارت مداوم، شکار تهدید، ارزیابی آسیب‌پذیری و آزمایش نفوذ می‌تواند به شناسایی نقاط ضعف قبل از سوءاستفاده مهاجمان کمک کند. ایجاد و تمرین یک برنامه واکنش به حوادث همچنین تیم‌های امنیتی را قادر می‌سازد تا در طول حمله باج‌افزار واکنش مؤثرتری نشان دهند و اختلال عملیاتی و از دست دادن داده‌ها را به حداقل برسانند.

چشم‌انداز تهدید رو به رشد

BARADAI نشان می‌دهد که چگونه عملیات باج‌افزاری به سازمان‌های مجرمان سایبری سازمان‌یافته و بسیار مخرب تبدیل شده است. مهاجمان با ترکیب رمزگذاری قوی، سرقت داده‌ها، فشار روانی و بردارهای آلودگی متعدد، احتمال سود مالی را به حداکثر می‌رسانند و در عین حال خسارات شدیدی به قربانیان وارد می‌کنند.

همزمان با اینکه گروه‌های باج‌افزاری به اصلاح تاکتیک‌های خود ادامه می‌دهند، حفظ بهداشت قوی امنیت سایبری برای سازمان‌ها در هر اندازه‌ای ضروری می‌شود. اقدامات امنیتی پیشگیرانه، آموزش کارکنان، پشتیبان‌گیری‌های قابل اعتماد و قابلیت‌های واکنش سریع به حوادث، همچنان قوی‌ترین دفاع در برابر تهدیداتی مانند BARADAI و اکوسیستم گسترده‌تر باج‌افزار MedusaLocker هستند.