شرکت CYFIRMA در گزارشی تحلیلی اعلام کرد اکوسیستم باجافزار در سال ۲۰۲۶ به یک شبکه تخصصی و چندلایه از توسعهدهندگان بدافزار، کارگزاران دسترسی اولیه (Initial Access Brokers)، اپراتورهای Ransomware-as-a-Service، ارائهدهندگان زیرساخت و گروههای وابسته تبدیل شده است. این گزارش نشان میدهد استفاده از بدافزارهای سفارشی، ابزارهای اختصاصی و تقسیم وظایف میان بازیگران مختلف، تابآوری و مقیاسپذیری عملیات باجافزاری را بهطور قابل توجهی افزایش داده است.
تحول اکوسیستم باجافزار
بر اساس تحلیل CYFIRMA، حملات باجافزاری دیگر توسط یک گروه واحد انجام نمیشوند، بلکه مجموعهای از بازیگران مستقل در قالب یک اکوسیستم همکاری میکنند. توسعهدهندگان بدافزار، کارگزاران دسترسی اولیه (IAB)، ارائهدهندگان خدمات Ransomware-as-a-Service (RaaS)، اپراتورهای زیرساخت، سرویسهای ناشناسسازی، پولشویان و گروههای وابسته هر کدام مسئول بخشی از زنجیره حمله هستند. این تقسیم وظایف موجب شده عملیات باجافزاری در برابر اختلال، شناسایی و حذف، مقاومت بیشتری پیدا کند.
نقش کارگزاران دسترسی اولیه
گزارش تأکید میکند که Initial Access Brokers یا IABها به یکی از مهمترین اجزای اکوسیستم باجافزار تبدیل شدهاند. این گروهها بهجای اجرای مستقیم حمله، شبکههای سازمانی را شناسایی کرده، اعتبارنامههای کاربران را سرقت میکنند، کیفیت دسترسی را ارزیابی کرده و سپس این دسترسی را به گروههای باجافزاری میفروشند. این مدل باعث شده اپراتورهای باجافزار بتوانند بدون صرف زمان برای نفوذ اولیه، مستقیماً عملیات اخاذی را آغاز کنند.
گسترش استفاده از بدافزارهای سفارشی
بر اساس این گزارش، بسیاری از گروههای فعال دیگر به ابزارهای عمومی متکی نیستند و از بدافزارهای اختصاصی برای مراحل مختلف عملیات استفاده میکنند. این ابزارها شامل بارگذارها (Loaders)، دانلودرها، RATها، ابزارهای حرکت جانبی، بدافزارهای سرقت اطلاعات، ابزارهای دور زدن سامانههای امنیتی و رمزکنندههای اختصاصی هستند. استفاده از ابزارهای سفارشی باعث کاهش احتمال شناسایی توسط محصولات امنیتی مبتنی بر امضا و افزایش انعطافپذیری عملیات شده است.
تکامل مدل Ransomware-as-a-Service
CYFIRMA اعلام میکند مدل RaaS از یک سرویس ساده اجاره باجافزار به یک پلتفرم کامل خدمات سایبری تبدیل شده است. اپراتورهای اصلی زیرساخت فنی، پنلهای مدیریتی، سامانههای پرداخت، درگاههای مذاکره، سایتهای افشای اطلاعات و بهروزرسانی بدافزار را فراهم میکنند، در حالی که گروههای وابسته تنها مسئول اجرای عملیات هستند. این مدل امکان ورود مهاجمان کمتجربهتر را نیز به بازار حملات باجافزاری فراهم کرده است.
تمرکز بر سرقت داده پیش از رمزگذاری
یکی از مهمترین روندهای شناساییشده، اولویت یافتن سرقت داده نسبت به رمزگذاری فایلها است. مهاجمان پیش از اجرای باجافزار، حجم زیادی از اطلاعات حساس شامل اسناد مالی، مالکیت فکری، دادههای مشتریان، کدهای منبع و اطلاعات عملیاتی را استخراج میکنند تا حتی در صورت شکست عملیات رمزگذاری نیز بتوانند از اخاذی مبتنی بر افشای اطلاعات استفاده کنند.
روشهای جدید نفوذ اولیه
این گزارش نشان میدهد مهاجمان بیش از گذشته از ضعفهای مدیریت هویت، پیکربندیهای اشتباه، حسابهای دارای مجوز بالا، توکنهای احراز هویت، زیرساختهای VPN، درگاههای RDWeb، سامانههای مدیریت از راه دور و سرویسهای اینترنتی آسیبپذیر برای ورود اولیه استفاده میکنند. همچنین سوءاستفاده از ضعفهای تازه منتشرشده با فاصله زمانی بسیار کوتاه پس از افشای عمومی به یکی از ویژگیهای اصلی حملات تبدیل شده است.
مهاجمان بهدنبال ماندگاری طولانیمدت
بر اساس یافتههای CYFIRMA، بسیاری از گروههای باجافزاری پیش از اجرای مرحله نهایی، هفتهها یا حتی ماهها در شبکه قربانی باقی میمانند. آنها طی این مدت اقدام به شناسایی داراییها، جمعآوری اعتبارنامهها، ارتقای سطح دسترسی، غیرفعالسازی سامانههای امنیتی، حذف نسخههای پشتیبان و آمادهسازی زیرساخت برای اجرای همزمان حمله میکنند.
حمله به زنجیره تأمین و زیرساختهای مشترک
گزارش تأکید میکند که مهاجمان بهطور فزاینده ارائهدهندگان خدمات مدیریتشده (MSP)، محیطهای CI/CD، مخازن نرمافزاری، سرویسهای SaaS، شرکتهای میزبانی، تولیدکنندگان نرمافزار و سایر زیرساختهای مشترک را هدف قرار میدهند تا از طریق یک نفوذ، چندین سازمان را بهطور همزمان تحت تأثیر قرار دهند.
چرا این اکوسیستم مقاومتر شده است؟
CYFIRMA معتقد است تخصصی شدن نقشها، استفاده از بدافزارهای اختصاصی، وجود بازارهای فروش دسترسی، ارائه خدمات زیرساختی، توزیع جغرافیایی اعضا و امکان جایگزینی سریع بازیگران موجب شده حذف یا شناسایی یک گروه، تأثیر محدودی بر کل اکوسیستم داشته باشد. حتی در صورت تعطیلی یک عملیات، گروههای وابسته معمولاً بهسرعت به سرویسدهنده دیگری مهاجرت میکنند یا با برند جدید فعالیت خود را از سر میگیرند.
توصیههای دفاعی
پژوهشگران توصیه میکنند سازمانها تمرکز خود را از مرحله رمزگذاری به مراحل اولیه حمله منتقل کنند. پایش مداوم هویت و دسترسی، استفاده از احراز هویت چندعاملی مقاوم در برابر فیشینگ، نظارت بر فعالیتهای مشکوک، مدیریت مستمر آسیبپذیریها، جداسازی شبکه، حفاظت از نسخههای پشتیبان، استقرار سامانههای EDR/XDR، پایش فعالیت IABها و اجرای برنامههای Threat Hunting از مهمترین اقدامات پیشنهادی برای کاهش ریسک حملات باجافزاری هستند.
جمعبندی
گزارش CYFIRMA نشان میدهد باجافزار دیگر یک بدافزار یا یک گروه مهاجم نیست، بلکه یک اقتصاد سازمانیافته و خدمتمحور است که از تخصص بازیگران مختلف برای افزایش مقیاس، سرعت و تابآوری حملات استفاده میکند. این تحول باعث شده مقابله با باجافزار نیازمند رویکردی جامع باشد که علاوه بر مقابله با بدافزار، زنجیره کامل تأمین حمله شامل کارگزاران دسترسی اولیه، زیرساختهای مجرمانه و بازارهای خدمات سایبری را نیز هدف قرار دهد.