یک بار باج دادی، دو بار هک شدی: افزایش حملات دوباره باج‌افزار

Re-Victimization in Cyber Extortion

در تحقیقی بر روی ۱۱ هزار سازمان که مورد حمله باج‌افزار یا اخاذی اینترنتی قرار گرفته بودند، متوجه شدیم که بعضی از این سازمان‌ها دوباره مورد حمله قرار گرفتند. حالا سوال اینه که چرا این اتفاق افتاده؟ آیا حمله‌ی دومیه، کار گروه باج‌افزار دیگه ایه (یعنی همون گروه با یه اسم دیگه به همون سازمان حمله کرده)، یا اطلاعات دزدیده شده دوباره فروخته شده و استفاده شده؟ در هر صورت، برای قربانی‌ها هیچکدوم خبر خوبی نیست.

اما اول باید بریم سراغ وضعیت کلی این جور حملات. بعدش، نگاهی به یکی از تازه‌ترین تحقیقاتمون در مورد این اکوسیستم میندازیم و بعد هم سراغ اطلاعاتی که در مورد فعالیت‌های قانونی برای مقابله با این جور حملات جمع‌آوری شده می‌ریم.

شاید این دوباره حمله کردن تقلب مجرم‌های سایبری باشه تا اعتماد همکارهاشون رو بعد از دخالت‌های قانونی به دست بیارن؟ یا شاید چون از قربانی پولی نگرفته‌ن، دارن کار زشت انجام می‌دن؟

اخاذی سایبری یا باج‌افزار، موضوعی هست که طی سه چهار سال اخیر خیلی مورد توجه قرار گرفته. از سال ۲۰۲۰، ما (Orange Cyberdefense) به طور گسترده روی این تهدید کار کرده‌ایم.

در تازه‌ترین گزارش سالانه‌ی امنیت (SN24)، تحقیقات نشون میده که بین سال‌های ۲۰۲۲ و ۲۰۲۳ (از سه‌ماهه‌ی آخر ۲۰۲۲ تا سه‌ماهه‌ی سوم ۲۰۲۳) حملات ۴۶ درصد افزایش پیدا کرده. اما با به روز کردن اطلاعاتمون، می‌بینیم که این افزایش حتی بیشتره و به ۵۱ درصد می‌رسه. دلیل این اختلاف اینه که این اطلاعات دائماً در حال تغییر هستن و ما بعد از اتمام دوره‌ی تحقیق از بعضی از سایت‌های درز اطلاعات و قربانی‌هاشون باخبر شدیم.

متاسفانه، این موضوع فقط شرایط رو بدتر می‌کنه. پیش‌بینی اینکه آیا این سطح از افزایش ادامه پیدا می‌کنه سخته. شاید به نقطه‌ی اشباعی برسیم که دیگه شاهد افزایش نباشیم. اما از طرف دیگه، شاید هم تعداد قربانی‌ها مثل سال‌های قبل باشه (کمتر در ابتدای سال و بیشتر در طول سال) که باعث میشه تعداد کل قربانی‌ها دائماً در حال افزایش باشه. با این حال، به نظر ما فعلاً تعداد قربانی‌ها ثابت میمونه و شاید حتی در بهترین حالت، شاهد کاهش قربانی‌ها باشیم. ولی هنوز تا پیروزی کامل راه زیادی مونده.

شش ماه از آخرین باری که درباره آمار حملات سایبری در گزارش SN24 صحبت شد گذشته. در این مدت اتفاقات زیادی افتاده است. تعداد قربانیان این حملات در سه ماهه چهارم ۲۰۲۳ و سه ماهه اول ۲۰۲۴ به ۲,۱۴۱ نفر رسیده که تقریبا به اندازه کل قربانیان سال ۲۰۲۲ (حدود ۲,۲۲ نفر) است. این تعداد با توجه به اینکه دو گروه از فعال‌ترین گروه‌های حمله سایبری در این مدت هدف قرار گرفته‌اند، قابل توجه است.

نیروهای امنیتی در دسامبر ۲۰۲۳ سعی کردند گروه ALPHV را متوقف کنند، اما آن‌ها توانستند فعالیت خود را به سرعت دوباره آغاز کنند. در فوریه ۲۰۲۴ زیرساخت‌های گروه LockBit هم توسط نیروهای امنیتی از کار افتاد، ولی آن‌ها هم بعد از چند روز دوباره فعال شدند. با اینکه به نظر می‌رسید این دو گروه سایبری به راحتی متوقف نمی‌شوند، گروه ALPHV (BlackCat) در ابتدای مارس ۲۰۲۴ به کلی از صحنه خارج شد. دلیل این خروج احتمالا کلاهبرداری و سوءاستفاده از قربانیان بوده است.

با وجود این اتفاقات، فعالیت‌های نیروهای امنیتی اطلاعات مهمی درباره حملات سایبری به دست داده است. یکی از این موارد، تعداد واقعی قربانیان است که ما از آن‌ها بی‌خبر هستیم چون اطلاعاتشان در سایت‌هایی که ردیابی می‌کنیم، منتشر نشده است. دانستن این تعداد به ما کمک می‌کند تا تصویر کامل‌تری از وضعیت فعلی حملات سایبری داشته باشیم. این تصویر شامل تعداد قربانیانی می‌شود که اطلاعاتشان در دست ماست (قربانیان شناخته‌شده) و تعداد قربانیانی که هرگز از آن‌ها مطلع نخواهیم شد.

برای مثال، در سال ۲۰۲۳ زمانی که گروه Hive متوقف شد، مشخص شد تعداد واقعی قربانیان آن‌ها ۵ تا ۶ برابر بیشتر از آن چیزی بود که در سایتشان منتشر شده بود. اگر همین نسبت را برای کل قربانیان از ابتدای ۲۰۲۰ تا پایان مارس ۲۰۲۴ (حدود ۱۱,۲۴۴ نفر) در نظر بگیریم، تعداد واقعی قربانیان حملات سایبری می‌تواند تا ۶۷,۰۰۰ نفر برسد.

گروه Cl0p که فعال‌ترین گروه در مجموعه اطلاعات ماست، در سال ۲۰۲۳ بسیار فعال بود و ۱۱ درصد از کل قربانیان را به خود اختصاص داد. با این حال، در شش ماه گذشته فقط ۷ قربانی جدید در سایت آن‌ها شناسایی شده است. Cl0p سابقه این را دارد که مدتی با شدت حملات خود را انجام دهد و سپس برای مدتی ناپدید شود. پس این احتمال وجود دارد که این رفتار همیشگی آن‌ها باشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *