ویروس کرونا چه تغییراتی در حملات سایبری ایجاد کرد؟

ویروس کرونا چه تغییراتی در حملات سایبری ایجاد کرد؟

در سال 2020، بیماری همه‌گیر ویروس کرونا، تغییرات غیرقابل پیشی‌بینی در ساختارهای شبکه و استراتژی‌های حمله در صنعت امنیت سایبری به وجود آورد. همچنان که ویروس کرونا سازمان‌ها و افراد مختلفی را در سراسر جهان تحت‌تاثیر قرار می‌دهد، تهدیدات سایبری هر روز قدرتمندتر و پیچیده‌تر از قبل می‌شوند. بسیاری از سازمان‌ها منابع کافی برای مدیریت و کاهش این تهدیدات را در اختیار ندارند و تحت‌تاثیر مشکلات ناشی از انتقال ناگهانی به محیط دورکاری قرار گرفته‌اند. 

با توجه به ماهیت همیشگی تهدیدات سایبری، مدیران سازمان باید به طور مستمر اطلاعات خود را در زمینه هوش تهدید به روز کنند و روی منابع ضروری برای مقابله با این تهدیدات سرمایه‌گذاری کنند. امروزه، تغییرات مربوط به تهدیدات سایبری چشمگیرتر است و خطراتی که افراد و سازمان‌ها را تهدید می‌کنند، بسیار بزرگ‌تر از قبل است. علاوه بر این همانطور که در اخبار باج‌افزارهای این هفته دیدیم، حملات سایبری به موسسات درمانی و بیمارستان‌ها در شرایطی که بار کاری این موسسات به خاطر همه‌گیری ویروس کرونا به شدت افزایش یافته، چالشی جدی برای بخش سلامت به وجود آورده است. 

این مسئله، اهمیت هوش تهدید دقیق و کارامد را بیشتر می‌کند. خلاصه گزارش تهدیدات سایبری که در ادامه آمده است، اثبات می‌کند که مجرمان سایبری از اهداف آسان و دردسترس برای رسیدن به مقاصد خود استفاده می‌کند.

استفاده از کاربران خانگی برای دسترسی به شبکه سازمانی

استفاده از کاربران خانگی برای دسترسی به شبکه سازمانی

در گذشته، تیم‌های امنیتی می‌توانستند کاربران را در برابر تهدیدات شبکه و اپلیکیشن ایمن کنند، و امنیت اتصالات اینترنتی سازمان را بالا ببرند. اما این کار در محیط دورکاری دیگر ممکن نیست. در دوران پاندمیک، میزان استفاده از دستگاه‌های IoT و شبکه‌های خانگی، به طور تصاعدی افزایش پیدا کرد.

موج دورکاری، باعث شد که توجه افراد به سمت امنیت دستگاه‌های شخصی مانند تلفن‌های هوشمند، تبلت‌ها، لپ‌تاپ‌ها و رایانه‌های شخصی جلب شود. این مسئله، فرصت مناسبی برای مهاجمان فراهم کرده تا بتوانند با اکسپلویت این دستگاه‌ها، به شبکه‌های سازمانی دست پیدا کنند. این دستگاه‌ها به راحتی در معرض خطر قرار می‌گیرند و محققان شاهد شکل‌گیری بات نت های بزرگی هستند که می‌توانند برای ایجاد حملات DDoS یا توزیع بدافزار مورد استفاده قرار بگیرند.

مهاجمان در طول زمان پیشرفت کرده و نسبت به قبل، به منابع پیچیده‌تری دست پیدا کرده‌اند که این موضوع، محافظت از منابع توزیع شده (برای مثال، سیستم افرادی که به صورت دورکار فعالیت می‌کنند) را سخت‌تر می‌کند.

برای مثال، با استفاده از هوش مصنوعی و ابزارهای یادگیری ماشین، مجرمان سایبری از سطح حمله در حال گسترش بهره می‌برند و لایه‌های محافظتی را دور می‌زنند. به دلیل این پیشرفت‌ها در روش‌ها و تکنولوژی‌های حمله، تیم‌های IT تلاش می‌کنند از مواردی مانند باج‌افزارهای آپدیت شده و تهدیدات فیشینگی که برای به خطر انداختن دستگاه‌های IoT خانگی استفاده می‌شوند، آگاه باشند و جلوتر از آن‌ها حرکت کنند.

حملات باج افزاری روز به روز پیچیده‌تر می‌شوند

حملات باج افزاری روز به روز پیچیده‌تر می‌شوند

حملات باج افزاری، همیشه یکی از نگرانی‌های اصلی کسب و کارها بوده است. طی چند ماه گذشته، این دسته از حملات، هم رایج‌تر شده‌اند و هم خسارت بیشتری -چه از لحاظ خرابی و چه از لحاظ Downtime- به سازمان‌ها وارد می‌کنند. سوالی که پیش می‌آید، این است که چرا این نوع از حملات، نه تنها متوقف نشده‌اند، بلکه چالش‌برانگیزتر و پیچیده‌تر از قبل هم شده‌اند. یکی از دلایل آن این است که باج افزار ها از طریق بازارهای سیاه دارک وب، به راحتی در دسترس است. همچنین، تکنولوژی‌های جدید باج افزاری مانند ransomware-as-a-service هم ارزان‌اند و هم استقرار آن‌ها نسبتا آسان است.

باج‌افزارها در پیام‌ها، پیوست‌ها و اسناد مرتبط با COVID-19 مخفی می‌شوند. این تهدیدات همچنان پیچیده‌تر می‌شوند و به مجرمان سایبری کمک می‌کنند تا همیشه یک قدم جلوتر از تیم‌های امنیتی باشند. سه نمونه خاص از باج‌افزارها در این دسته‌بندی‌ها جا می‌گیرند: NetWalker، Ransomware-GVZ و CoViper. از بین این سه دسته‌بندی، CoViper بسیار نگران‌کننده بود، زیرا این باج افزار برای بازنویسی MBR کامپیوتر، قبل از رمزنگاری داده‌ها نوشته شده بود. با این که حملات مختلفی در گذشته به این روش گزارش شده بود، این روش، یک استراتژی غیرمعمول تهاجمی است.

در اواخر نیمه اول سال 2020، گزارش‌های زیادی درباره گروه‌های تهاجمی مورد حمایت دولت گزارش شد. این گروه‌ها، سازمان‌های تحقیقاتی ایالات متحده و کشورهای دیگر را که درباره ویروس کرونا تحقیق می‌کردند، مورد هدف قرار دادند. علاوه براین، مهاجمان اطلاعات قربانیان را به سرورهای عمومی منتقل کرده و تهدید می‌کردند که در صورت عدم پرداخت مبلغ درخواستی، اطلاعات را منتشر کنند؛ این کار باعث می‌شد که قربانیان به جای تصمیم برای بازیابی سیستم‌های خود، تسلیم خواسته‌های هکرها شوند و مبلغ باج را پرداخت کنند.

به دلیل وجود این تهدیدات، تیم‌های امنیتی باید اطمینان حاصل کنند که به آخرین اطلاعات تهدید دسترسی دارند و از جدیدترین روش‌ها و ترندهای حمله مطلع‌اند. این کار شامل اطلاع از ابزارهایی است که مجرمان برای به حداکثر رساندن تاثیر حملات خود استفاده می‌کنند، مانند شبکه‌های اجتماعی و موتورهای جستجوگر مخصوص دارک وب مثل تور. همچنین، این کار شامل اصلاح استراتژی‌های فعلی است. اکنون به سازمان‌ها توصیه می‌شود که برای خنثی کردن استراتژی حمله‌های اخیر، تمام داده‌ها را رمزنگاری کنند.

استفاده از یادگیری ماشین برای فیشینگ

استفاده از یادگیری ماشین برای فیشینگ

بسیاری از حملات فیشینگی که در گذشته اتفاق می‌افتادند، پیچیده نبودند و به راحتی می‌شد از آن‌ها پیشگیری کرد. در واقع، هدف حملات فیشینگ قبلی، عموما افراد ساده‌لوح بودند. در این نوع از کلاهبرداری‌های سایبری، از روش‌های مهندسی اجتماعی، به ویژه از ایمیل برای سرقت اطلاعات کاربران استفاده می‌شد. در موارد دیگر، پیامی حاوی یک لینک مخرب به قربانی ارسال می‌شد که کلیک روی آن موجب نصب بدافزار یا افشای اطلاعات حساس می‌شد.

اما به‌طور فزاینده، از این حملات جهت ایجاد زمینه برای حملات داخلی و سرویس‌های ابری استفاده می‌شود. تاکتیک‌های فیشینگ اخیر بسیار پیچیده‌تر هستند و برای مورد هدف قرار دادن پیوندهای ضعیف در شبکه‌های تجاری تکامل یافته‌اند. از آن‌جایی که امروزه کارمندان اکثر سازمان‌ها آموزش دیده‌اند و در مواجهه با ایمیل‌های مشکوک، بیشتر احتیاط می‌کنند، هکرها روش خود را تغییر داده‌اند. برای مثال، مجرمان سایبری، شبکه‌های خانگی ناامن و کارمندان دورکار را که اطلاعات زیادی درباره امنیت سایبری ندارند، مورد هدف قرار می‌دهند تا اطلاعات شخصی آن‌ها را سرقت کنند و با استفاده از آن‌ها به شبکه سازمانی که به آن متصل هستند، حمله کنند.

بسیاری نیز از یادگیری ماشین برای ساخت سریع، آزمایش و توزیع پیام‌هایی استفاده می‌کنند که محتوای آن‌ها واقعی به‌نظر می‌رسد و مخاطب آن را باور می‌کند. آن‌ها در واقع می‌توانند نسخه‌های مختلفی از حمله را تحلیل کنند و برای رسیدن به حداکثر بازدهی، روش‌های خود را اصلاح کنند.

محتوای پیام‌های فیشینگ اخیر، حاوی مطالبی است که به نحوی به مخاطب کمک می‌کند تا مشکل خود را حل کند. بیشتر این حملات فیشینگ، حاوی پی‌لودهای مخرب است – شامل باج‌افزار، ویروس و تروجان‌های دسترسی از راه دور (RAT) که طراحی شده‌اند تا دسترسی مجرمان را به سیستم‌های اندپوینت فراهم کنند، این کار به آن‌ها اجازه می‌دهد که اکسپلویت‌های RDP ایجاد کنند.

همچنین گزارش‌هایی مبنی بر افزایش قابل توجه فیشینگ مبتنی بر وب ثبت شده است. این امر در ماه‌های ژانویه و فوریه سال 2020 با تهدیدات سایبری HTML/فیشینگ شروع شد و تا پایان ماه مه ادامه یافت. ScrInject و REDIR که به HTML شباهت دارند، در افزایش فیشینگ در سال جاری نقش داشتند. بدافزار مبتنی بر وب، تمایل دارد برنامه‌های آنتی ویروس را نادیده بگیرد یا آن‌ها را دور بزند و به همین دلیل، شانس بیشتری برای موفقیت دارد.

متخصصان امنیتی باید توجه داشته باشند که در سال 2020 مرورگرها تبدیل به عامل اصلی تحویل بدافزار شده‌اند و به نظر می‌رسد که این روند تا سال بعد ادامه داشته باشد. این موضوع به کاهش ترافیک وب شرکت‌ها و افزایش ترافیک وب خانگی، به دلیل افزایش دورکاری مربوط می‌شود. این تغییر، نشان می‌دهد که مجرمان سایبری روش خود را تغییر داده و شبکه‌هایی را که امنیت کمتری دارند مورد هدف قرار داده‌اند.

به همین دلیل، سازمان‌ها علاوه بر آموزش نکات لازم به کارکنان، باید منابع دیگری را، از جمله راهکارهای شناسایی و پاسخ اندپوینت (EDR)، تهیه کنند. این منابع به شما کمک می‌کنند تهدیدات پیشرفته را شناسایی و متوقف کنید.

به دنبال راهکار EDR هستید؟ سیمانتک به شما کمک می‌کند:

جمع‌بندی

پاندمیک کووید-19 بر نکته‌ای تاکید کرد که متخصصان حوزه امنیت سایبری مدت‌هاست آن را تشخیص داده و از آن حمایت می‌کنند:

یک امنیت سایبری موثر، به هوشیاری مداوم و توانایی سازگاری با تغییر استراتژی‌های تهدید نیاز دارد.

اگرچه امنیت همیشه باید اولویت اول یک سازمان باشد، اکنون زمان آن است که سازمان‌ها به‌طور گسترده‌تر روی راهکارهای امنیتی پیشرفته‌تر و سازگارتر سرمایه‌گذاری کنند، به ویژه، حالا که مجرمان روش‌های خود را اصلاح می‌کنند تا از دستگاه‌های شخصی افراد به عنوان سکوی پرتاب به شبکه‌های سازمانی استفاده کنند. با توجه به این نکته، بالابردن امنیت سیستم‌ها و شبکه‌های ریموت باید در اولویت قرار بگیرد.

صرف‌نظر از وضعیت جهان پیرامون، بهترین راه برای محافظت دربرابر فعالیت‌های مخرب، این است که یک رویکرد امنیت سایبری جامع و یکپارچه اتخاذ کنیم. یکی از مولفه‌های مهم این رویکرد، دسترس مداوم به اطلاعات تهدید به‌روز و آموزش‌های امنیت سایبری است.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *