چه کسی داده‌‌های سازمانی را ریستور خواهد کرد؟ هیچ‌کس

در تاریخ 19 مارس، شرکت نروژی تولیدکننده‌ی آلومینیوم به نام نورسک هیدرو اعلام کرد گرفتار باج‌افزاریی شده که کل شرکت را آلوده کرده است. خبر بد اینکه این باج افزار هنوز از بین نرفته و بنابراین هیچ‌کس از گزند خطرهایش در امان نیست. یکی از دلایلش می‌تواند این باور معمول باشد که اگر هر حادثه‌ای رخ دهد بالاخره داده‌ها را می‌توان ریستور کرد؛ حالا اگر این کار را متخصصین آی‌تی هم نکنند به هر حال متخصصین امنیتی خارجی انجام می‌دهند. یا خیلی‌ها فکر می‌کنند نهایتاً خود مجرمان سایبری (در ازای باجی که می‌گیرند) به قربانی رحم می‌کنند و اطلاعات بازیابی‌شده را به او می‌دهند. و خوب البته خیلی از شرکت‌ها قول می‌دهند اطلاعات را رمزگشایی کنند؛ اما برخی‌اوقات این کار حتی از باج دادن به مجرمان سایبری هم بدتر است.
 
چرا پول دادن به شرکتی که تضمین صد در صدی برای بازیابی اطلاعات می‌دهد ایده‌ی خوبی نیست؟
فقط کافیست در اینترنت به دنبال اطلاعاتی در خصوص رمزگذاری باج‌افزار بگردید، آنوقت کلی آگهی از شرکت‌های مختلف خواهید دید که همگی وعده‌ی ریکاوری اطلاعات می‌دهند (حالا اطلاعات هر چه می‌خواهد باشد). شما می‌توانید روی وبسایت آن‌ها (طبق قاعده) توضیحاتی ببینید در خصوص اینکه چرا نباید به مجرمان سایبری باج بدهید. همچنین روش‌های رمزگشایی نوینی هم از خود ارائه می دهند. این سایت‌ها اغلب قانع‌کننده و معقول به نظر می‌رسند اما خوب این همه‌ی ماجرا نیست.
 
صادقانه بگوییم، الگوریتم‌های مدرن رمزگذاری طوری طراحی شده‌اند که هر کسی می‌تواند اطلاعات مهم را به کاراکترهای بی‌معنایی تبدیل کند اما تنها کسی که کلید را در دست دارد می‌تواند آن را بازیابی کند. به بیانی دیگر، اگر مهاجمین نتوانند فایلی را رمزگشایی کنند دیگر به طور حتم کس دیگری هم نخواهد توانست این را کار را انجام دهد- نه شما، نه ادمین سیستم و نه غول جهانیِ امنیت آی‌تی. پس هر وقت کسی یا شرکتی حرف از رمزگشایی تضمینی زد بدانید که دروغی بیش نیست. درست همین سال گذشته بود که همکاران ما چنین شرکتی را شناسایی کردند. کاشف بعمل آمد که این شرکت از قربانیان در ازای اجرای سرویس‌های رمزگشایی‌اش درخواست مقادیر زیادی پول کرده است و از طرفی با خود مجرمان سایبریِ دخیل در حادثه نیز تبانی کرده بود تا در ازای دریافت کلیدهای رمزگشایی از آن‌ها بخشی از مبلغ را نیز با آن‌ها تقسیم کند. در نتیجه، قربانی نه تنها به مهاجمین پول می‌دهد که تازه یک شرکت طرف‌سوم پلید را نیز به نان و نوایی می‌رساند.
 
چرا نباید پول داد 
پول دادن به اخاذها و باجگیران شاید آسان‌ترین راه باشد. خیلی این کار را انجام می‌دهند و واقعاً هم اطلاعات‌شان را باز پس می‌گیرند. برای مثال، در سال 2016 حمله‌ی باج‌افزار  Locky مرکز درمانی هالیوود پرسبیتریان (HPMC) را فلج کرد. سلامت یک سری انسان و در مواردی حتی مرگ و زندگی بیماران به سرعت بازگشایی اطلاعات بستگی پیدا کرده بود و در نهایت مدیریت تصمیم گرفت 17 هزار دلار باج دهد. با این حال، همیشه آسان‌ترین راه بهترین راه نیست؛ خصوصاً اگر داستان سر مرگ و زندگی نباشد. اول از همه اینکه با باجی که بدان‌ها می‌دهید انگار در برنامه‌های مخرب‌تر و پیچیده‌تر سرمایه‌گذاری کرده‌اید (یکجورهایی شریک‌جرم می‌شوید) و هیچ‌کس نمی‌داند با همین پول دوباره خودتان قربانی شوید. دوم اینکه، باج دادن اصولاً تاکتیکِ غیرقابل‌اطمینانی است. ماجرای بیمارستانی که برایتان تعریف کردیم یک‌جور خوش‌شانسی بود اگر نه صدها مورد باجگیری سایبری پیش آمده که هم پول را از قربانی گرفته‌اند و هم فایل‌هایشان را هیچگاه بازیابی نکرده‌اند. تازه اگر هم بخواهند این کار بکنند برخی مواقع ریستور کردن داده از توانشان خارج است.
 
چرا شرکت‌های امنیتی نمی‌توانند داده‌های شما را رمزگشایی کنند؟
البته شرکت‌هایی وجود دارند که دائماً به دنبال راه‌هایی برای ریستور کردن داده‌های رمزگذاری‌شده‌اند (مثل ما). با این وجود، رمزگشایی اطلاعات تنها زمانی ممکن است که مهاجمین آنقدر حرفه‌ای نباشند که بخواهند الگوریتم معمولی را اعمال کنند (یا صرفاً جایی دچار اشتباه شده باشند). وقتی تیم کسپرسکی تصمیم می‌گیرد ابزار رمزگشا بسازد آن را به طور رایگان در وبسایتhttps://noransom.kaspersky.com/ قرار می‌دهد. پس بهترین کاری که می‌توانید انجام دهید جلوگیری از این اتفاق است. ما مجموعه‌ای از ابزارها در همین خصوص تدارک دیده‌ایم: ابزار ضد باج‌افزار کسپرسکی برای سازمان‌ها[1] که به‌تازگی آپدیت شده است. این محصول را می‌توان به موازاتِ محصولات فروشنده‌های امنیتیِ طرف‌سوم به کار بست. بدین‌ترتیب لایه‌ی امنیتیِ جدیدی به ایستگاه‌های کار و سرورهایی که تحت Windows Server اجرا می‌شوند اضافه می‌گردد. ابزار ضد باج‌افزار کسپرسکی برای سازمان‌ها (که اکنون به روز شده است) نه تنها از دستگاه‌های سازمانی در مقابل بدافزارهای رمزگذار (شناخته‌شده و ناشناخته) محافت کرده بلکه همچنین تهدیدهای دیگر را نیز بالاخص ماینرهای مخرب -که به طور بالقوه برنامه‌هایی خطرناکند- و پورن‌افزارها شناسایی می‌کند. 
 
[1] Kaspersky Anti-Ransomware Tool for Business
منبع: کسپرسکی آنلاین