واناکرای چگونه به جهان حمله‌ور شد؟

۱۲ مه ‌۲۰۱۷ یک تاریخ مهم در تقویم حمله‌های سایبری جهان بود. هکرهایی مرموز در یک نقطه کور توانستند به مدت ۱۰ روز به بیش از ۲۳۰ هزار رایانه حمله کنند. این هکرها سیستم‌های اطلاعاتی مراکز حساسی چون بیمارستان، شرکت‌ها و بانک‌های بیش از صد کشور را قفل کردند و پس از آن برای باز پس دادن اطلاعات از کاربران پول مطالبه کردند؛ پولی که در عرف رایج دنیای دیجیتال بیت کوین نام دارد.

این باج‌افزار که WannaCry نام دارد دسترسی به اطلاعات بیش از ۲۰۰ هزار کامپیوتر را که عمدتا در کشورهای روسیه، چین، انگلستان و ایالات متحده قرار داشتند را مسدود کرد. باج‌افزارها پس از قفل کردن اطلاعات اشخاص درخواست باج می‌کردند و در صورت نادیده گرفتن پیغامشان از سوی کاربران همه اطلاعات از بین می‌رفتند. در حمله اخیر باج‌افزار واناکرای گفته می‌شود بیش از ۲۰۰ هزار کامپیوتر در ۱۵۰ کشور اطلاعاتشان مسدود شد که اکثر این قربانیان شامل بیمارستان‌ها، بانک‌ها، شرکت‌های ارتباطی و انبارها بودند. کارشناسان نرم‌افزاری معتقدند این باج‌افزار از نادیده گرفتن نقطه‌ضعفی که اولین بار توسط آژانس امنیت ملی آمریکا کشف شد تغذیه کرده و شکل گرفته و سپس به‌عنوان یکی از نیرومندترین حملات سایبری جهان مورد استفاده قرار گرفت. برآوردها نشان داد که این حمله سایبری، شرکت تلفونیکا و همچنین چند شرکت دیگر اسپانیا را مانند سازمان خدمات بهداشت ملی بریتانیا، فدکس و دویچه بانک، دانشگاه میلانو-بیکوکا در ایتالیا، کتابخانه‌ای در عمان، ایستگاه راه‌آهن در شهر فرانکفورت آلمان، خودروسازی رنو و خودروسازی نیسان را تحت تاثیر قرار داد. بالغ بر یک هزار رایانه در وزارت کشور، وزارت بحران و شرکت مخابراتی مگافون روسیه نیز گزارشی مبنی بر آلودگی دادند.

درآمد ۴۲ هزار دلاری

اما قربانیان حمله این ویروس باجگیر برای بازگشت اطلاعات خود سعی کردند پول مورد درخواست باجگیران را پرداخت کنند. هکرها معمولا می‌خواهند با بیت کوین پول خود را دریافت کنند؛ یک ارز غیرقابل ردیابی دیجیتالی. این پولی است که نمی‌توان آن را ردیابی کرد. گزارش‌ها از چگونگی توسعه این ویروس نشان می‌دهد که باج گیران از قربانیان خود بین ۲۰۰ تا ۶۰۰ دلار برای بازگشت اطلاعات به سرقت رفته درخواست کردند. کارشناسان رایانه‌ای هشدارمی‌دهند که استفاده‌کنندگان از ویندوزهای قدیمی باید سیستم خود را به نسخه‌های جدید و قانونی این سیستم عامل ارتقا دهند تا از خطر هک شدن در امان باشند. همچنین سازمان اطلاعاتی انگلیس هشدار داده که بازگشت چنین ویروس‌هایی می‌تواند ۳/ ۱ میلیون رایانه آسیب‌پذیر را در سراسر این کشور تهدید کند که باید به‌روزرسانی شوند.

کار کره شمالی بود؟

پیش از وقوع این رویداد اما یک کارشناس نرم‌افزاری در انگلیس احتمال بروز این حمله سایبری را داده بود و پس از آن بود که یک حمله بزرگ سایبری در بیش از ۱۰۰ کشور جهان اتفاق افتاد. با این حال عده‌ای از کارشناسان فضای مجازی در آمریکا معتقدند که این حمله از سوی هکرهای کره شمالی ترتیب داده شده است. چراکه این حمله مدتی بعد از آن روی داد که آمریکا نسبت به فعالیت‌های موشکی این کشورواکنش تندی نشان داد. به گفته برخی کارشناسان از جمله «نیل مهتا» محقق امنیتی گوگل، کدهای به کار رفته در واناکرای شباهت زیادی با کدهای به کار رفته در حملات سایبری گروه هکری «لازاروس» دارند که ادعا می‌شود در چین مستقر هستند، حال آنکه دستورات خود را از پیونگ یانگ دریافت می‌کنند. لازاروس عامل حملات هکری به شرکت «سونی پیکچرز» و همچنین بانک بنگلادش شناخته می‌شود که به ترتیب در سال‌های ۲۰۱۴ و ۲۰۱۶ اتفاق افتادند. این در حالی است که طبق اظهارنظر کارشناسان امنیتی، این باج‌افزار از فاکتور آسیب پذیری که توسط آژانس اطلاعات ملی (NSA) کشف و توسعه داده شده، بهره گرفته است. اما نمونه‌هایی از این دست از حملات باج‌افزارها در سالهای اخیر کم نبوده و آمارها نشان می‌دهد که حملات باج‌افزاری با افزایشی سه برابری در سال ۲۰۱۶ به ۴۸۳ هزار مورد افزایش پیدا کرده است.

پول پرداخت نکنید

درحالی‌که پرداخت ۳۰۰ دلار برای حل‌وفصل مشکل می‌تواند وسوسه‌انگیز باشد، اف بی‌ای توصیه می‌کند این کار را نکنید. یک دلیل این است که شما اساسا به مجرمین پول می‌دهید و ممکن است آنها درخواست پول بیشتر کنند یا می‌توانند بالقوه شما را در آینده دوباره هدف قرار دهند چون‌که همان اول نشان داده‌اید حاضرید پول پرداخت کنید. از سوی دیگر مشخص نیست که لزوما پرداخت پول باعث درست شدن کامپیوتر قربانی شود چراکه بسیاری از کسانی که حتی پول پرداخت کرده‌اند گزارش کرده‌اند که قفل واناکرای از روی کامپیوتر آنها پاک نشده است. در واقع برنامه‌نویسان واناکرای عمدتا روی دریافت پول تمرکز کرده‌اند یا اینگونه نشان داده‌اند اما مشخص نیست واقعا هدف اصلی آنها از نگارش و توزیع این باج‌افزار کسب درآمد باشد و به همین دلیل اطمینانی هم نیست کسانی که پشت این باج‌افزار هستند لزوما در زمینه رفع مشکل این باج‌افزار خوب عمل کنند. به هر حال به نظر می‌رسد کسی که دچار مشکل وانا‌کرای شده کار چندانی نمی‌تواند انجام بدهد و اگر نسخه پشتیبان از اطلاعات خود نداشته باشد باید ریسک از بین رفتن کل اطلاعات خود را در نظر داشته باشد. در واقع وانا‌کرای مجازات‌کننده کسانی است که اهمیتی به به‌روزرسانی امنیتی کامپیوتر خود و استفاده از نرم‌افزارهای اصل نمی‌دهند.

چه کسانی در تیررس باج‌افزارها هستند؟

پی سی‌های ویندوزی که از نرم‌افزار به‌روزرسانی شده برای حفاظت خود استفاده نمی‌کنند در بیشترین خطر قرار دارند. به نظر می‌آید که وانا کرای در شبکه‌های شرکتی سفر می‌کند و از طریق سیستم‌های اشتراک‌گذاری فایل به‌سرعت گسترش پیدا می‌کند. بدی کامپیوترهای شرکتی این است که معمولا مسوول آی‌تی که شبکه را کنترل می‌کند تصمیم می‌گیرد چه زمانی به‌روزرسانی را بفرستد. بنابراین اگر یک کامپیوتر آسیب‌پذیر است، احتمال دارد تمام کامپیوترهایی که با آن در یک شبکه هستند هم در معرض خطر باشند و یک نفوذ بزرگ را برای وانا کرای آسان می‌کنند. واناکرای همچنین در کشورهایی که نرم‌افزارها و سیستم‌عامل قفل شکسته عمومیت دارد بیشتر قربانی گرفته است. در نخستین ساعت‌های انتشار این باج‌افزار کشور هند یکی از مهم‌ترین مراکز تحت حمله این باج‌افزار بود. کشوری که هرچند به مهد نرم‌افزار مشهور است اما تعداد نسخه‌های قفل شکسته در آن نیز بسیار زیاد است. همچنین آلودگی وسیع این باج‌افزار در ایران نشان‌دهنده این است که استفاده از سیستم‌های قفل شکسته نه‌تنها باعث کاهش هزینه‌ها نمی‌شود بلکه در مواقع خاص ضرر و زیانی به مراتب بالاتر را به سیستم‌های رایانه‌ای و اطلاعات شبکه‌ها وارد می‌کند.

چگونگی انتشار واناکرای

در حمله این دست از باج‌افزارها شبکه‌های کامپیوتری مثل مدرسه‌ها، شرکت‌ها، بیمارستان‌ها و تجارت‌ها بیشتر از همه آسیب‌پذیر هستند. این به این دلیل است که محققین امنیتی می‌گویند باج‌افزار از طریق فناوری اشتراک‌گذاری فایل استاندارد توسط پی سی منتشر می‌شود که به آن Microsoft Windows Server Message Block یا به‌طور مخفف SMB گفته می‌شود. با این حال گفته می‌شود که این باج‌افزار برای نفوذ به دیگر کامپیوترهایی که بیرون از شبکه‌های شرکتی هستند نیز توانا است چراکه محققین تا کنون انواع مختلفی از حملات را شناسایی کرده‌اند؛ پس می‌توان مطمئن بود که این باج‌افزار فقط با یک روش کار نمی‌کند.

رمزگشایی واناکرای

پس از مدتی اما محققان امنیتی در فرانسه به روشی برای قفل‌گشایی از فایل‌های رمزگذاری شده توسط باج‌افزار واناکرای دست‌یافتند. طراحان می‌گویند تنها در صورتی می‌توان از این روش به‌خوبی استفاده کرد که رایانه‌های آلوده‌شده مجددا راه‌اندازی نشده باشند و فایل‌های ذخیره‌شده توسط هکرها به‌طور دائم قفل نشده باشند. طراحان باج‌افزار واناکرای یک هفته بعد از قفل‌کردن فایل‌های رایانه‌ای، آنها را کاملا قفل و پاک‌سازی می‌کنند.

خطرناک‌تر از واناکرای

پس از فروکش کردن ضررهای ناشی از حمله ویروس واناکرای، کارشناسان از بروز یک خطر جدی دیگر در زمینه بروز یک آسیب نرم‌افزاری منتشر شده در فضای وب هشدار دادند. به گفته کارشناسان درحالی که باج‌افزار واناکرای «WannaCry» از دو ابزار NSA استفاده می‌کرد، اما بدافزاری جدید یافت شده که از هفت ابزار ان.اس.ای استفاده می‌کند و بسیار خطرناک است. یک محقق امنیت سایبری، بدافزار جدیدی را شناسایی کرده است که از طریق پروتکل انتقال داده ویندوز «SMP» به سیستم قربانیان نفوذ می‌کند. نام این بدافزار جدید اترنال راکس «EternalRocks» بوده و با قدرتی که در نفوذ و انتشار دارد، بسیار خطرناک‌تر از واناکرای ظاهر می‌شود. باج‌افزار واناکرای «WannaCry» فقط از دو روش ان.اس.ای که براساس پروتکل «SMP» بود، استفاده می‌کرد، اما بدافزار اترنال راکس از تمامی هفت روش استفاده می‌کند. پیش از این اما کارشناسان نسبت به اقدامات گروه‌های هکری که ابزارهای ان.اس.ای را هک کرده بودند، هشدار داده بودند.

تحقیقات جدید نشان می‌دهد که این بدافزار جدید از ابزارهای «EternalBlue» و «DoublePulsar» که متعلق به آژانس امنیت ملی آمریکا بوده، استفاده کرده است. میروسلاو استمپر «Miroslav Stampar» محقق امنیت سایبری، که ابزار معروف (sqlmap) را ساخته و در حال حاضر از اعضای کابینه دولت به شمار می‌رود، در تحقیقات خود به این نتیجه رسیده که این بدافزار جدید، بسیار خطرناک‌تر از واناکرای است و متاسفانه به نظر می‌رسد عملکرد بدافزار اترنال راکس، برخلاف واناکرای، به‌صورت مخفیانه بوده و اصلا امکان کشف آن در سیستم قربانی وجود ندارد.

رشد باج‌افزارها در 2016

رشد باج‌افزارها در سال ۲۰۱۶، بسیار چشمگیر بود، رشد بی‌سابقه حملات باج‌افزاری زیر سایه غفلت کاربران و وجود سیستم تراکنش مالی بیت‌کوین که به شکل‌گیری یک اکوسیستم تجاری باج‌افزاری کمک کرده است. با گسترش استفاده از تراکنش‌های مالی آنلاین کارشناسان پیش‌بینی کرده بودند که باج‌افزارها در سال ۲۰۱۷، افزایش می‌یابند. گسترش انتقال اطلاعات در فضای سایبری به هکرها این امکان را می‌دهد تا از باج‌افزارها برای رسیدن به مقاصد خود استفاده کنند. شرکت مک آفی گزارشی در زمینه چشم‌انداز تهدیدات سایبری در سال ۲۰۱۷ منتشر کرده که در آن درباره باج‌افزارها نوشته است رشد باج‌افزارها تا نیمه سال ۲۰۱۷ ادامه خواهد داشت و در پایان این سال، با وضع قوانین و رشد فناوری‌های ضد باج‌افزار، این میزان کاهش می‌یابد. استیفن گیتس (Stephen Gates)، تحلیل‌گر اطلاعات در شرکت آمریکایی امنیت اطلاعات «nsfocusglobal» پیش‌بینی کرد باج‌افزارها در سال ۲۰۱۷، به‌صورت کرم‌هایی مانند کرم کانفیکر، نیمدا و رد کد، عمل خواهند کرد و صدها دستگاه‌ را در مدت‌زمان کوتاهی آلوده می‌کنند.

باج‌افزارهایی نظیر کریپتولاکر، سالها قبل شرکت‌های بسیاری را در سراسر جهان، هدف قرار داد و توانست از این طریق، خسارت زیادی را به اقتصاد جهانی وارد کند. این باج‌افزار، با رمزگذاری بسیاری از اطلاعات با ارزش در سراسر جهان، سبب بروز خسارات مالی گسترده شد. حتی بیمارستان‌ها و مراکز درمانی نیز از دست باج گیران سایبری در امان نبودند و هکرها، برای آنها نیز برنامه‌ریزی کرده بودند. بر اساس پیش‌بینی‌ها، به نظر می‌رسد سال ۲۰۱۷، شاهد پیدایش نوع جدیدی از اخاذی در دنیای سایبری و در مقیاس‌های کوچک باشیم. تصور کنید که بعد از یک روز کاری خسته‌کننده، به سراغ تلویزیون هوشمند خود بروید و بخواهید یک سریال تماشا کنید. در آن لحظه، یک پیام روی صفحه‌نمایش شما پدیدار می‌شود که در آن، فرد مهاجم برای بازگشایی تلویزیون شما درخواست ۵۰ دلار کرده است. آیا شما حاضر به پرداخت این هزینه خواهید بود؟ حالت دیگری را در نظر بگیرید که در آن، برای حضور بر سر قراری، دیر کرده‌اید و برای یافتن آدرس موردنظر، به جی‌پی‌اس خودروی خود متکی هستید. بعد از روشن کردن سامانه جی‌پی‌اس، با پیغامی مشابه با آنچه روی تلویزیون خود دریافت کرده بودید، مواجه می‌شوید. در آن لحظه، حاضر به پرداخت چه مقدار هزینه برای باز کردن جی‌پی‌اس خود هستید؟