در تحقیقی بر روی ۱۱ هزار سازمان که مورد حمله باجافزار یا اخاذی اینترنتی قرار گرفته بودند، متوجه شدیم که بعضی از این سازمانها دوباره مورد حمله قرار گرفتند. حالا سوال اینه که چرا این اتفاق افتاده؟ آیا حملهی دومیه، کار گروه باجافزار دیگه ایه (یعنی همون گروه با یه اسم دیگه به همون سازمان حمله کرده)، یا اطلاعات دزدیده شده دوباره فروخته شده و استفاده شده؟ در هر صورت، برای قربانیها هیچکدوم خبر خوبی نیست.
اما اول باید بریم سراغ وضعیت کلی این جور حملات. بعدش، نگاهی به یکی از تازهترین تحقیقاتمون در مورد این اکوسیستم میندازیم و بعد هم سراغ اطلاعاتی که در مورد فعالیتهای قانونی برای مقابله با این جور حملات جمعآوری شده میریم.
شاید این دوباره حمله کردن تقلب مجرمهای سایبری باشه تا اعتماد همکارهاشون رو بعد از دخالتهای قانونی به دست بیارن؟ یا شاید چون از قربانی پولی نگرفتهن، دارن کار زشت انجام میدن؟
اخاذی سایبری یا باجافزار، موضوعی هست که طی سه چهار سال اخیر خیلی مورد توجه قرار گرفته. از سال ۲۰۲۰، ما (Orange Cyberdefense) به طور گسترده روی این تهدید کار کردهایم.
در تازهترین گزارش سالانهی امنیت (SN24)، تحقیقات نشون میده که بین سالهای ۲۰۲۲ و ۲۰۲۳ (از سهماههی آخر ۲۰۲۲ تا سهماههی سوم ۲۰۲۳) حملات ۴۶ درصد افزایش پیدا کرده. اما با به روز کردن اطلاعاتمون، میبینیم که این افزایش حتی بیشتره و به ۵۱ درصد میرسه. دلیل این اختلاف اینه که این اطلاعات دائماً در حال تغییر هستن و ما بعد از اتمام دورهی تحقیق از بعضی از سایتهای درز اطلاعات و قربانیهاشون باخبر شدیم.
متاسفانه، این موضوع فقط شرایط رو بدتر میکنه. پیشبینی اینکه آیا این سطح از افزایش ادامه پیدا میکنه سخته. شاید به نقطهی اشباعی برسیم که دیگه شاهد افزایش نباشیم. اما از طرف دیگه، شاید هم تعداد قربانیها مثل سالهای قبل باشه (کمتر در ابتدای سال و بیشتر در طول سال) که باعث میشه تعداد کل قربانیها دائماً در حال افزایش باشه. با این حال، به نظر ما فعلاً تعداد قربانیها ثابت میمونه و شاید حتی در بهترین حالت، شاهد کاهش قربانیها باشیم. ولی هنوز تا پیروزی کامل راه زیادی مونده.
شش ماه از آخرین باری که درباره آمار حملات سایبری در گزارش SN24 صحبت شد گذشته. در این مدت اتفاقات زیادی افتاده است. تعداد قربانیان این حملات در سه ماهه چهارم ۲۰۲۳ و سه ماهه اول ۲۰۲۴ به ۲,۱۴۱ نفر رسیده که تقریبا به اندازه کل قربانیان سال ۲۰۲۲ (حدود ۲,۲۲ نفر) است. این تعداد با توجه به اینکه دو گروه از فعالترین گروههای حمله سایبری در این مدت هدف قرار گرفتهاند، قابل توجه است.
نیروهای امنیتی در دسامبر ۲۰۲۳ سعی کردند گروه ALPHV را متوقف کنند، اما آنها توانستند فعالیت خود را به سرعت دوباره آغاز کنند. در فوریه ۲۰۲۴ زیرساختهای گروه LockBit هم توسط نیروهای امنیتی از کار افتاد، ولی آنها هم بعد از چند روز دوباره فعال شدند. با اینکه به نظر میرسید این دو گروه سایبری به راحتی متوقف نمیشوند، گروه ALPHV (BlackCat) در ابتدای مارس ۲۰۲۴ به کلی از صحنه خارج شد. دلیل این خروج احتمالا کلاهبرداری و سوءاستفاده از قربانیان بوده است.
با وجود این اتفاقات، فعالیتهای نیروهای امنیتی اطلاعات مهمی درباره حملات سایبری به دست داده است. یکی از این موارد، تعداد واقعی قربانیان است که ما از آنها بیخبر هستیم چون اطلاعاتشان در سایتهایی که ردیابی میکنیم، منتشر نشده است. دانستن این تعداد به ما کمک میکند تا تصویر کاملتری از وضعیت فعلی حملات سایبری داشته باشیم. این تصویر شامل تعداد قربانیانی میشود که اطلاعاتشان در دست ماست (قربانیان شناختهشده) و تعداد قربانیانی که هرگز از آنها مطلع نخواهیم شد.
برای مثال، در سال ۲۰۲۳ زمانی که گروه Hive متوقف شد، مشخص شد تعداد واقعی قربانیان آنها ۵ تا ۶ برابر بیشتر از آن چیزی بود که در سایتشان منتشر شده بود. اگر همین نسبت را برای کل قربانیان از ابتدای ۲۰۲۰ تا پایان مارس ۲۰۲۴ (حدود ۱۱,۲۴۴ نفر) در نظر بگیریم، تعداد واقعی قربانیان حملات سایبری میتواند تا ۶۷,۰۰۰ نفر برسد.
گروه Cl0p که فعالترین گروه در مجموعه اطلاعات ماست، در سال ۲۰۲۳ بسیار فعال بود و ۱۱ درصد از کل قربانیان را به خود اختصاص داد. با این حال، در شش ماه گذشته فقط ۷ قربانی جدید در سایت آنها شناسایی شده است. Cl0p سابقه این را دارد که مدتی با شدت حملات خود را انجام دهد و سپس برای مدتی ناپدید شود. پس این احتمال وجود دارد که این رفتار همیشگی آنها باشد.