گزارش CYFIRMA: بدافزارهای سفارشی، کارگزاران دسترسی اولیه و مدل RaaS اکوسیستم باج‌افزار را به ساختاری غیرمتمرکز و مقاوم تبدیل کرده‌اند

امیر شادمان 21 تیر 1405

شرکت CYFIRMA در گزارشی تحلیلی اعلام کرد اکوسیستم باج‌افزار در سال ۲۰۲۶ به یک شبکه تخصصی و چندلایه از توسعه‌دهندگان بدافزار، کارگزاران دسترسی اولیه (Initial Access Brokers)، اپراتورهای Ransomware-as-a-Service، ارائه‌دهندگان زیرساخت و گروه‌های وابسته تبدیل شده است. این گزارش نشان می‌دهد استفاده از بدافزارهای سفارشی، ابزارهای اختصاصی و تقسیم وظایف میان بازیگران مختلف، تاب‌آوری و مقیاس‌پذیری عملیات باج‌افزاری را به‌طور قابل توجهی افزایش داده است.

تحول اکوسیستم باج‌افزار

بر اساس تحلیل CYFIRMA، حملات باج‌افزاری دیگر توسط یک گروه واحد انجام نمی‌شوند، بلکه مجموعه‌ای از بازیگران مستقل در قالب یک اکوسیستم همکاری می‌کنند. توسعه‌دهندگان بدافزار، کارگزاران دسترسی اولیه (IAB)، ارائه‌دهندگان خدمات Ransomware-as-a-Service (RaaS)، اپراتورهای زیرساخت، سرویس‌های ناشناس‌سازی، پول‌شویان و گروه‌های وابسته هر کدام مسئول بخشی از زنجیره حمله هستند. این تقسیم وظایف موجب شده عملیات باج‌افزاری در برابر اختلال، شناسایی و حذف، مقاومت بیشتری پیدا کند.

نقش کارگزاران دسترسی اولیه

گزارش تأکید می‌کند که Initial Access Brokers یا IABها به یکی از مهم‌ترین اجزای اکوسیستم باج‌افزار تبدیل شده‌اند. این گروه‌ها به‌جای اجرای مستقیم حمله، شبکه‌های سازمانی را شناسایی کرده، اعتبارنامه‌های کاربران را سرقت می‌کنند، کیفیت دسترسی را ارزیابی کرده و سپس این دسترسی را به گروه‌های باج‌افزاری می‌فروشند. این مدل باعث شده اپراتورهای باج‌افزار بتوانند بدون صرف زمان برای نفوذ اولیه، مستقیماً عملیات اخاذی را آغاز کنند.

گسترش استفاده از بدافزارهای سفارشی

بر اساس این گزارش، بسیاری از گروه‌های فعال دیگر به ابزارهای عمومی متکی نیستند و از بدافزارهای اختصاصی برای مراحل مختلف عملیات استفاده می‌کنند. این ابزارها شامل بارگذارها (Loaders)، دانلودرها، RATها، ابزارهای حرکت جانبی، بدافزارهای سرقت اطلاعات، ابزارهای دور زدن سامانه‌های امنیتی و رمزکننده‌های اختصاصی هستند. استفاده از ابزارهای سفارشی باعث کاهش احتمال شناسایی توسط محصولات امنیتی مبتنی بر امضا و افزایش انعطاف‌پذیری عملیات شده است.

تکامل مدل Ransomware-as-a-Service

CYFIRMA اعلام می‌کند مدل RaaS از یک سرویس ساده اجاره باج‌افزار به یک پلتفرم کامل خدمات سایبری تبدیل شده است. اپراتورهای اصلی زیرساخت فنی، پنل‌های مدیریتی، سامانه‌های پرداخت، درگاه‌های مذاکره، سایت‌های افشای اطلاعات و به‌روزرسانی بدافزار را فراهم می‌کنند، در حالی که گروه‌های وابسته تنها مسئول اجرای عملیات هستند. این مدل امکان ورود مهاجمان کم‌تجربه‌تر را نیز به بازار حملات باج‌افزاری فراهم کرده است.

تمرکز بر سرقت داده پیش از رمزگذاری

یکی از مهم‌ترین روندهای شناسایی‌شده، اولویت یافتن سرقت داده نسبت به رمزگذاری فایل‌ها است. مهاجمان پیش از اجرای باج‌افزار، حجم زیادی از اطلاعات حساس شامل اسناد مالی، مالکیت فکری، داده‌های مشتریان، کدهای منبع و اطلاعات عملیاتی را استخراج می‌کنند تا حتی در صورت شکست عملیات رمزگذاری نیز بتوانند از اخاذی مبتنی بر افشای اطلاعات استفاده کنند.

روش‌های جدید نفوذ اولیه

این گزارش نشان می‌دهد مهاجمان بیش از گذشته از ضعف‌های مدیریت هویت، پیکربندی‌های اشتباه، حساب‌های دارای مجوز بالا، توکن‌های احراز هویت، زیرساخت‌های VPN، درگاه‌های RDWeb، سامانه‌های مدیریت از راه دور و سرویس‌های اینترنتی آسیب‌پذیر برای ورود اولیه استفاده می‌کنند. همچنین سوءاستفاده از ضعف‌های تازه منتشرشده با فاصله زمانی بسیار کوتاه پس از افشای عمومی به یکی از ویژگی‌های اصلی حملات تبدیل شده است.

مهاجمان به‌دنبال ماندگاری طولانی‌مدت

بر اساس یافته‌های CYFIRMA، بسیاری از گروه‌های باج‌افزاری پیش از اجرای مرحله نهایی، هفته‌ها یا حتی ماه‌ها در شبکه قربانی باقی می‌مانند. آن‌ها طی این مدت اقدام به شناسایی دارایی‌ها، جمع‌آوری اعتبارنامه‌ها، ارتقای سطح دسترسی، غیرفعال‌سازی سامانه‌های امنیتی، حذف نسخه‌های پشتیبان و آماده‌سازی زیرساخت برای اجرای همزمان حمله می‌کنند.

حمله به زنجیره تأمین و زیرساخت‌های مشترک

گزارش تأکید می‌کند که مهاجمان به‌طور فزاینده ارائه‌دهندگان خدمات مدیریت‌شده (MSP)، محیط‌های CI/CD، مخازن نرم‌افزاری، سرویس‌های SaaS، شرکت‌های میزبانی، تولیدکنندگان نرم‌افزار و سایر زیرساخت‌های مشترک را هدف قرار می‌دهند تا از طریق یک نفوذ، چندین سازمان را به‌طور هم‌زمان تحت تأثیر قرار دهند.

چرا این اکوسیستم مقاوم‌تر شده است؟

CYFIRMA معتقد است تخصصی شدن نقش‌ها، استفاده از بدافزارهای اختصاصی، وجود بازارهای فروش دسترسی، ارائه خدمات زیرساختی، توزیع جغرافیایی اعضا و امکان جایگزینی سریع بازیگران موجب شده حذف یا شناسایی یک گروه، تأثیر محدودی بر کل اکوسیستم داشته باشد. حتی در صورت تعطیلی یک عملیات، گروه‌های وابسته معمولاً به‌سرعت به سرویس‌دهنده دیگری مهاجرت می‌کنند یا با برند جدید فعالیت خود را از سر می‌گیرند.

توصیه‌های دفاعی

پژوهشگران توصیه می‌کنند سازمان‌ها تمرکز خود را از مرحله رمزگذاری به مراحل اولیه حمله منتقل کنند. پایش مداوم هویت و دسترسی، استفاده از احراز هویت چندعاملی مقاوم در برابر فیشینگ، نظارت بر فعالیت‌های مشکوک، مدیریت مستمر آسیب‌پذیری‌ها، جداسازی شبکه، حفاظت از نسخه‌های پشتیبان، استقرار سامانه‌های EDR/XDR، پایش فعالیت IABها و اجرای برنامه‌های Threat Hunting از مهم‌ترین اقدامات پیشنهادی برای کاهش ریسک حملات باج‌افزاری هستند.

جمع‌بندی

گزارش CYFIRMA نشان می‌دهد باج‌افزار دیگر یک بدافزار یا یک گروه مهاجم نیست، بلکه یک اقتصاد سازمان‌یافته و خدمت‌محور است که از تخصص بازیگران مختلف برای افزایش مقیاس، سرعت و تاب‌آوری حملات استفاده می‌کند. این تحول باعث شده مقابله با باج‌افزار نیازمند رویکردی جامع باشد که علاوه بر مقابله با بدافزار، زنجیره کامل تأمین حمله شامل کارگزاران دسترسی اولیه، زیرساخت‌های مجرمانه و بازارهای خدمات سایبری را نیز هدف قرار دهد.

منبع

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *