باج افزار LockBit چیست و چگونه کار می کند؟ | نامه ی سلطنتی

LockBit به عنوان پرکارترین نام در حملات باج افزار ظاهر شده است و اکنون مقصر حادثه ای است که عملیات بین المللی رویال میل را تحت تأثیر قرار داده است. در اینجا چیزی است که ما در مورد LockBit و نحوه عملکرد آن می دانیم.

باج افزار چیست؟

باج‌افزار قطعه‌ای از نرم‌افزار مخرب یا بدافزار است که اغلب از طریق به اصطلاح «تلاش فیشینگ» به شبکه رایانه‌ای یک نهاد وارد می‌شود. این شامل فریب گیرنده برای دانلود بدافزار است، معمولاً با کلیک کردن روی پیوند یا پیوست موجود در ایمیل. تلاش فیشینگ همچنین می‌تواند شامل تلاش برای دسترسی به نام کاربری و رمز عبور شخص برای ورود به شبکه باشد، با فریب دادن او به این فکر که در حال ورود به شبکه مورد نظر است.

سپس این بدافزار رایانه های آلوده را رمزگذاری می کند و دسترسی به محتوای آنها را غیرممکن می کند. بازیگر سرکش پشت این حمله سپس از نهاد آسیب دیده – معمولاً یک شرکت یا سازمان دولتی – پول می خواهد تا آن رایانه ها باز یا رمزگشایی شوند. طبق گزارش وزارت خزانه داری ایالات متحده، بانک ها و مؤسسات مالی ایالات متحده به تنهایی تقریباً 1.2 میلیارد دلار (990 میلیون پوند) پرداخت های باج افزار را در سال 2021 پردازش کرده اند.

LockBit چگونه کار می کند؟

LockBit نامی است که به یک بدافزار خاص داده می شود که سازمان جنایی پشت آن نیز این نام را یدک می کشد. گروه LockBit همچنین این بدافزار را برای سود مالی به اپراتورهای دیگر می فروشد، در مدلی که به عنوان باج افزار به عنوان سرویس (Raas) شناخته می شود. در انجمن‌های زیرزمینی، این بدافزار به‌عنوان «سریع‌ترین نرم‌افزار رمزگذاری در سراسر جهان» تبلیغ می‌شود.

توبی لوئیس، رئیس جهانی تحلیل تهدید در Darktrace می‌گوید: «ما شاهد یک روند واقعی در گروه‌های باج‌افزاری بوده‌ایم که یک «مدل وابسته» را به کار می‌گیرند که در آن دسترسی به این بدافزار را در وب تاریک در ازای پرداخت، اغلب در ارزهای رمزپایه می‌فروشند. یک شرکت امنیت سایبری در بریتانیا “این به LockBit کمک می کند تا عملیات خود را مانند یک فرنچایز مقیاس کند.”

لوئیس می‌گوید اپراتورهای LockBit نه تنها فایل‌ها را رمزگذاری نمی‌کنند، بلکه مرتکب «اخاذی مضاعف» نیز می‌شوند که در آن داده‌ها را سرقت کرده و تهدید به انتشار آنلاین آن‌ها می‌کنند. برخی از ویژگی‌های بدافزار شامل امکان چاپ درخواست‌های باج بر روی چاپگرهای شبکه آسیب‌دیده است، جزئیاتی که در هک رویال میل گزارش شده است، با گزارش دیلی تلگراف که در یادداشت باج‌افزاری آمده است: «باج‌افزار سیاه Lockbit. اطلاعات شما به سرقت رفته و رمزگذاری شده است.»

LockBit، مانند اکثر گروه‌های باج‌افزار، می‌خواهد به ارزهای دیجیتال پرداخت شود. بیت کوین از لحاظ تاریخی روش پرداخت ترجیحی بوده است، اما به گفته سوفوس، یک شرکت امنیت سایبری بریتانیایی، LockBit خواستار پرداخت در سایر دارایی های دیجیتال است. پیتر مکنزی، سرپرست تیم پاسخگویی به حوادث در Sophos، می‌گوید: «بسیاری مانند LockBit به دلیل افزایش ناشناس بودن این ارز دیجیتال، به جای آن به ارز دیجیتال مونرو رفته‌اند.

او می‌افزاید: «مطالبات باج‌گیری LockBit می‌تواند از صدها هزار تا ده‌ها میلیون متغیر باشد، معمولاً بر اساس میزان خسارتی که تصور می‌شود وارد شده است، نوع داده‌های دزدیده شده و میزانی که معتقدند قربانی می‌تواند از عهده آن برآید.»

چه کسی پشت LockBit است؟

بیشتر گروه‌های باج‌افزار تمایل دارند از اروپای شرقی، جمهوری‌های شوروی سابق و خود روسیه فعالیت کنند. لوئیس می گوید: «LockBit در همین دسته قرار می گیرد. در نوامبر، وزارت دادگستری ایالات متحده، میخائیل واسیلیف، دو تابعیتی روسی و کانادایی را به اتهام مشارکت در کمپین باج‌افزار LockBit متهم کرد. وزارت دادگستری گفت که LockBit علیه حداقل 1000 قربانی در ایالات متحده و در سراسر جهان مستقر شده است، حداقل 100 میلیون دلار باج خواسته است و “ده ها میلیون دلار به عنوان باج واقعی دریافت کرده است”.

قربانیان حملات LockBit شامل Pendragon، یک شرکت نمایندگی خودرو در بریتانیا است که از پرداخت 60 میلیون دلار تقاضای باج افزار خودداری کرده است.

به گفته Trustwave، یک شرکت امنیت سایبری ایالات متحده، گروه LockBit “بر فضای باج افزار تسلط دارد” و از پرداخت های کلان برای جذب بازیگران با تجربه استفاده می کند. به گفته Deep Instinct، یک شرکت امنیت سایبری اسرائیل، این عامل 44 درصد از حملات باج افزار در ژانویه تا سپتامبر سال گذشته را به خود اختصاص داده است.

این بدافزار قبلاً با نام «.abcd» شناخته می‌شد، پس از پسوند فایلی که به فایل‌های رمزگذاری‌شده اضافه شده بود، زیرا غیرقابل دسترسی بودند. باج‌افزارها و گروه‌های پشت سر آن، اغلب برای جلوگیری از اجرای قانون یا تغییر نام تجاری به سبک شرکت، پس از بدنام شدن، دستخوش تغییر نام می‌شوند.

تغییر نام تجاری اغلب یک اتفاق رایج است. لوئیس می‌گوید: «این ممکن است برای جلوگیری از اجرای قانون باشد یا صرفاً برای بازاریابی باشد.

آیا حملات باج افزار را می توان غیرفعال کرد؟

این مشکل است. وقتی حمله وارد شد، متوقف کردن آن واقعاً سخت است. لوئیس می گوید: “بهترین شانس شما این است که در وهله اول حمله را متوقف کنید.” پاکسازی اغلب شامل بازسازی سیستم ها و شبکه ها می شود. «اگر باج‌افزاری در شبکه خود دارید، کسب اطمینان از راه دیگری جز بازسازی سیستم‌ها از ابتدا سخت است.»

آیا پرداخت مطالبات باج افزار غیرقانونی است؟

سال گذشته، ناظر اطلاعات بریتانیا، دفتر کمیساریای اطلاعات و مرکز امنیت سایبری ملی به متخصصان حقوقی در انگلستان و ولز نامه نوشتند و تأکید کردند که اجرای قانون پرداخت باج را «تشویق نمی‌کند» اگرچه پرداخت‌ها معمولاً غیرقانونی نبودند. به عنوان مثال، پرداخت باج غیرقانونی است اگر نهاد آسیب دیده بداند، یا دلیلی برای مشکوک بودن داشته باشد، درآمد حاصل از آن برای تأمین مالی تروریسم استفاده می شود. در نامه ICO و NCSC آمده است: «پرداخت مشوق رفتار مضر بیشتر توسط عوامل مخرب است و رمزگشایی شبکه‌ها یا بازگشت داده‌های دزدیده شده را تضمین نمی‌کند».

در ایالات متحده، دولت از پرداخت باج جلوگیری می کند، اما یک یادداشت مشاوره ای از طرف خزانه داری ایالات متحده در سال 2020 تأکید می کند که این “فقط توضیحی” است و “نیاز قانونی ندارد”.