وقتی باج‌افزار حمله می‌کند، باید چه واکنشی داشت؟

آیا باید مذاکره کنیم؟ آیا باید باج را بپردازیم؟ این سؤالاتی است که هر سازمانی پس از قفل شدن داده‌هایش توسط سارقان سایبری با آن روبرو می‌شود. وقتی مهاجمان سیستم‌های شما را رمزگذاری می‌کنند، تمرکز از پیشگیری به پاسخگویی تغییر می‌کند. دیگر مهم نیست چگونه اتفاق افتاده، مهم این است که حالا چه تصمیمی می‌گیرید.

باندهای باج‌افزار: سازمان‌یافته و بی‌پروا

باندهای باج‌افزار روزبه‌روز سازمان‌یافته‌تر و تهاجمی‌تر می‌شوند و بسیاری از آن‌ها مانند کسب‌وکارهای واقعی عمل می‌کنند: پشتیبانی مشتری، درگاه پرداخت و حتی راهنمای مذاکره دارند! هیچ سازمانی در امان نیست: بیمارستان‌ها، مدارس، زیرساخت‌های حیاتی و شرکت‌های جهانی همگی هدف قرار گرفته‌اند.

گزارش Zscaler نشان می‌دهد که پرداخت باج ۷۵ میلیون دلاری به گروه Dark Angels ممکن است سایر باندها را برای درخواست مبالغ کلان تشویق کرده باشد.

خبر خوب: مقاومت در حال افزایش است

بر اساس آخرین گزارش  Chainalysis، تعداد قربانیان که از پرداخت باج خودداری می‌کنند رو به رشد است. این تغییر تا حدی نتیجه عملیات اخیر نیروهای قانونی جهانی علیه باندهای باج‌افزار است، از جمله:

از بین بردن زیرساخت LockBit

اعلام جرم علیه مدیر باج‌افزار Phobos

متوقف کردن فعالیت گروه Radar/Dispossessor

حذف سایت‌های افشای اطلاعات ALPHV/BlackCat

این یک جنگ موش و گربه همیشگی بین مجرمان و قانون است.

چرا برخی سازمان‌ها باج می‌پردازند؟

پاسخ سرراستی وجود ندارد. دولت‌ها و نهادهای امنیتی معمولاً توصیه می‌کنند باج پرداخت نشود، چون:

چرخه جرائم سایبری تقویت می‌شود.

جرم سازمان‌یافته تأمین مالی می‌شود.

ممکن است عملیات سایبری دولتی پشت پرده باشد.

اما برخی معتقدند اولویت اول نجات سازمان و ذینفعان آن است. در آن لحظه، اخلاقیات کمتر از بقا اهمیت دارد.

برای بسیاری، پرداخت باج سریع‌ترین راه بازگشت به وضعیت عادی است. هرچه سیستم‌ها بیشتر تعطیل بمانند، هزینه‌ها افزایش می‌یابد. در مواردی مثل بیمارستان‌ها یا شرکت‌های تأمین انرژی، اگر داده‌های حیاتی در خطر باشد، جان انسان‌ها نیز به خطر می‌افتد. اما همان‌طور که در مورد نقض داده‌های Change Healthcare دیدیم، پرداخت باج هیچ تضمینی برای بازگشت اطلاعات ندارد.

مورد معروف: Colonial Pipeline

در مه ۲۰۲۱، خط لوله سوخت Colonial Pipeline توسط گروه DarkSide مورد حمله قرار گرفت. این شرکت برای جلوگیری از اختلال در عرضه سوخت، ۵ میلیون دلار باج پرداخت کرد. البته وزارت دادگستری آمریکا بعداً ۲.۳ میلیون دلار از این مبلغ را بازیابی کرد.

"اگر فقط جنبه اخلاقی و قانونی مطرح بود، قطعاً نباید باج پرداخت می‌شد. اما گاهی این تصمیم یک انتخاب تجاری است، نه اخلاقی. عمل کردن بر اساس اخلاق ممکن است بسیار گران‌تر از پرداخت باج تمام شود."

 تیم موریس، مشاور ارشد امنیتی Tanium

مذاکره حرفه‌ای با باج‌گیران

وقتی سازمانی تصمیم به مذاکره می‌گیرد، تیم‌های پاسخ به حوادث وارد عمل می‌شوند. این تیم‌ها همراه با واحدهای حقوقی، فناوری اطلاعات و ارتباطات سعی می‌کنند اوضاع را کنترل کنند.

معمولاً از مذاکره‌کنندگان شخص ثالث استفاده می‌شود. این متخصصان می‌دانند چطور بدون تسلیم شدن سریع با مهاجمان صحبت کنند. آن‌ها:

مذاکرات را حرفه‌ای پیش می‌برند.

سعی می‌کنند مبلغ باج را کاهش دهند.

از تهدیدات اضافی جلوگیری می‌کنند.

"یک تیم پاسخ به حوادث حرفه‌ای می‌تواند تخصصی را ارائه دهد که تیم‌های امنیتی داخلی فاقد آن هستند."

عظیم علیم، مدیر Sygnia در بریتانیا و شمال اروپا

تکنیک‌های باج‌گیران

ابتدا تهاجمی برخورد می‌کنند، سپس در طول مذاکره «کمک‌کننده» به نظر می‌رسند.

از ترس و فشار برای دریافت سریع پول استفاده می‌کنند.

تهدید به افشای داده‌ها، افزایش مبلغ باج یا تعیین مهلت‌های دروغین می‌کنند.

تکنیک‌های مقابل

کش دادن مذاکره: زمان می‌تواند به نفع شما باشد.

پیشنهاد مبلغ کمتر: اولین درخواست آن‌ها قطعی نیست.

درخواست بازکردن یک فایل نمونه: اگر نتوانند، کل مذاکره بی‌اعتبار می‌شود.

نقش نیروهای قانونی

درگیر کردن نهادهای امنیتی حیاتی است، اما زمان‌بندی مهم است. هرچه زودتر اطلاع داده شود، احتمال شناسایی مجرمان و جلوگیری از حملات بعدی بیشتر می‌شود. همچنین برخی بیمه‌های سایبری گزارش به پلیس را الزامی می‌دانند.

برنامه پاسخ به باج‌افزار: آماده باشید!

۱. برنامه از پیش تعیین‌شده

سازمان‌ها باید یک راهنمای عملی برای حملات باج‌افزاری داشته باشند، از جمله:

چه زمانی مذاکره کنند؟

چه کسی تصمیم‌گیرنده است؟

۲. تمرین شبیه‌سازی‌شده (Tabletop Exercises)

شبیه‌سازی حملات به تیم‌ها کمک می‌کند:

نقاط ضعف را شناسایی کنند.

در شرایط بحرانی تصمیم‌گیری بهتری داشته باشند.

"برنامه پاسخ به حوادث باید برای سناریوهای اخاذی دوگانه (تهدید به افشای داده‌ها + رمزگذاری) آماده باشد."

تیم وست، مدیر Threat Intelligence در WithSecure

اگر مذاکره شکست خورد چه کنیم؟

۱. ارزیابی وضعیت: کدام سیستم‌ها آسیب دیده‌اند؟ آیا بک‌آپ وجود دارد؟

۲. استفاده از متخصصان: تحلیل رخنه و کمک به بازیابی.

۳. جدا کردن سیستم‌های آلوده: جلوگیری از گسترش حمله.

۴. اطلاع به مقامات: گزارش به پلیس و نهادهای نظارتی.

۵. ارتباط شفاف: اطلاع‌رسانی به ذینفعان.

۶. بازیابی داده‌ها: استفاده از بک‌آپ‌های سالم.

۷. تقویت امنیت: وصله‌کردن آسیب‌پذیری‌ها و آموزش کارکنان.

۸. بررسی پس از حادثه: یادگیری و بهبود استراتژی‌ها.

هیچ راه‌حل ایده‌آلی وجود ندارد

در این مذاکرات هیچ قانونی حاکم نیست، چون هیچ شرافتی بین دزدان وجود ندارد! اگر باج بپردازید، پول از دست می‌رود. اگر نپردازید، اعتماد مشتریان نابود می‌شود؛که شاید آسیب آن ماندگارتر باشد.

فشار روانی این شرایط برای مدیران امنیتی (CISO) و سازمان‌ها غیرقابل‌تصور است.

 

منبع: مدادپرس
www.medadpress.ir