چه کسی دادههای سازمانی را ریستور خواهد کرد؟ هیچکس
در تاریخ 19 مارس، شرکت نروژی تولیدکنندهی آلومینیوم به نام نورسک هیدرو اعلام کرد گرفتار باجافزاریی شده که کل شرکت را آلوده کرده است. خبر بد اینکه این باج افزار هنوز از بین نرفته و بنابراین هیچکس از گزند خطرهایش در امان نیست. یکی از دلایلش میتواند این باور معمول باشد که اگر هر حادثهای رخ دهد بالاخره دادهها را میتوان ریستور کرد؛ حالا اگر این کار را متخصصین آیتی هم نکنند به هر حال متخصصین امنیتی خارجی انجام میدهند. یا خیلیها فکر میکنند نهایتاً خود مجرمان سایبری (در ازای باجی که میگیرند) به قربانی رحم میکنند و اطلاعات بازیابیشده را به او میدهند. و خوب البته خیلی از شرکتها قول میدهند اطلاعات را رمزگشایی کنند؛ اما برخیاوقات این کار حتی از باج دادن به مجرمان سایبری هم بدتر است.
چرا پول دادن به شرکتی که تضمین صد در صدی برای بازیابی اطلاعات میدهد ایدهی خوبی نیست؟
فقط کافیست در اینترنت به دنبال اطلاعاتی در خصوص رمزگذاری باجافزار بگردید، آنوقت کلی آگهی از شرکتهای مختلف خواهید دید که همگی وعدهی ریکاوری اطلاعات میدهند (حالا اطلاعات هر چه میخواهد باشد). شما میتوانید روی وبسایت آنها (طبق قاعده) توضیحاتی ببینید در خصوص اینکه چرا نباید به مجرمان سایبری باج بدهید. همچنین روشهای رمزگشایی نوینی هم از خود ارائه می دهند. این سایتها اغلب قانعکننده و معقول به نظر میرسند اما خوب این همهی ماجرا نیست.
صادقانه بگوییم، الگوریتمهای مدرن رمزگذاری طوری طراحی شدهاند که هر کسی میتواند اطلاعات مهم را به کاراکترهای بیمعنایی تبدیل کند اما تنها کسی که کلید را در دست دارد میتواند آن را بازیابی کند. به بیانی دیگر، اگر مهاجمین نتوانند فایلی را رمزگشایی کنند دیگر به طور حتم کس دیگری هم نخواهد توانست این را کار را انجام دهد- نه شما، نه ادمین سیستم و نه غول جهانیِ امنیت آیتی. پس هر وقت کسی یا شرکتی حرف از رمزگشایی تضمینی زد بدانید که دروغی بیش نیست. درست همین سال گذشته بود که همکاران ما چنین شرکتی را شناسایی کردند. کاشف بعمل آمد که این شرکت از قربانیان در ازای اجرای سرویسهای رمزگشاییاش درخواست مقادیر زیادی پول کرده است و از طرفی با خود مجرمان سایبریِ دخیل در حادثه نیز تبانی کرده بود تا در ازای دریافت کلیدهای رمزگشایی از آنها بخشی از مبلغ را نیز با آنها تقسیم کند. در نتیجه، قربانی نه تنها به مهاجمین پول میدهد که تازه یک شرکت طرفسوم پلید را نیز به نان و نوایی میرساند.
چرا نباید پول داد
پول دادن به اخاذها و باجگیران شاید آسانترین راه باشد. خیلی این کار را انجام میدهند و واقعاً هم اطلاعاتشان را باز پس میگیرند. برای مثال، در سال 2016 حملهی باجافزار Locky مرکز درمانی هالیوود پرسبیتریان (HPMC) را فلج کرد. سلامت یک سری انسان و در مواردی حتی مرگ و زندگی بیماران به سرعت بازگشایی اطلاعات بستگی پیدا کرده بود و در نهایت مدیریت تصمیم گرفت 17 هزار دلار باج دهد. با این حال، همیشه آسانترین راه بهترین راه نیست؛ خصوصاً اگر داستان سر مرگ و زندگی نباشد. اول از همه اینکه با باجی که بدانها میدهید انگار در برنامههای مخربتر و پیچیدهتر سرمایهگذاری کردهاید (یکجورهایی شریکجرم میشوید) و هیچکس نمیداند با همین پول دوباره خودتان قربانی شوید. دوم اینکه، باج دادن اصولاً تاکتیکِ غیرقابلاطمینانی است. ماجرای بیمارستانی که برایتان تعریف کردیم یکجور خوششانسی بود اگر نه صدها مورد باجگیری سایبری پیش آمده که هم پول را از قربانی گرفتهاند و هم فایلهایشان را هیچگاه بازیابی نکردهاند. تازه اگر هم بخواهند این کار بکنند برخی مواقع ریستور کردن داده از توانشان خارج است.
چرا شرکتهای امنیتی نمیتوانند دادههای شما را رمزگشایی کنند؟
البته شرکتهایی وجود دارند که دائماً به دنبال راههایی برای ریستور کردن دادههای رمزگذاریشدهاند (مثل ما). با این وجود، رمزگشایی اطلاعات تنها زمانی ممکن است که مهاجمین آنقدر حرفهای نباشند که بخواهند الگوریتم معمولی را اعمال کنند (یا صرفاً جایی دچار اشتباه شده باشند). وقتی تیم کسپرسکی تصمیم میگیرد ابزار رمزگشا بسازد آن را به طور رایگان در وبسایتhttps://noransom.kaspersky.com/ قرار میدهد. پس بهترین کاری که میتوانید انجام دهید جلوگیری از این اتفاق است. ما مجموعهای از ابزارها در همین خصوص تدارک دیدهایم: ابزار ضد باجافزار کسپرسکی برای سازمانها[1] که بهتازگی آپدیت شده است. این محصول را میتوان به موازاتِ محصولات فروشندههای امنیتیِ طرفسوم به کار بست. بدینترتیب لایهی امنیتیِ جدیدی به ایستگاههای کار و سرورهایی که تحت Windows Server اجرا میشوند اضافه میگردد. ابزار ضد باجافزار کسپرسکی برای سازمانها (که اکنون به روز شده است) نه تنها از دستگاههای سازمانی در مقابل بدافزارهای رمزگذار (شناختهشده و ناشناخته) محافت کرده بلکه همچنین تهدیدهای دیگر را نیز بالاخص ماینرهای مخرب -که به طور بالقوه برنامههایی خطرناکند- و پورنافزارها شناسایی میکند.
[1] Kaspersky Anti-Ransomware Tool for Business
منبع: کسپرسکی آنلاین