کاربران خانگی بزرگ‌ترین قربانیان باج‌افزارها هستند

بررسی وضعیت باج‌افزارهای رایانه‌ای در دو سال اخیر نشان می‌دهد که کاربران خانگی بیشترین قربانیان حمله‌های باج‌افزاری را تشکیل می‌دهند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، وضعیت باج‌افزارهای رایانه‌ای و آمار تهدیدات جهانی از این نرم‌افزارهای مخرب در سال‌های ۲۰۱۴ تا ۲۰۱۶ میلادی حاکی از آن است چیزی حدود  ۲.۵ میلیون کاربر اینترنت که بخش عمده آنها کاربران خانگی هستند از حملات باج‌افزاری آسیب دیده‌اند.

باج‌افزارها عمدتا دو نوع از بدافزار شامل باج‌افزارهای از نوع مسدودکننده دسترسی به سیستم عامل و نیز باج‌افزارهایی از نوع رمزگذار را شامل می‌شوند که امروزه به‌طور گسترده به جای باج‌افزار رمزگذار از کلمه مختصر مترادف آن یعنی باج‌افزار استفاده می‌شود. اگرچه با توجه به آمارهای منتشرشده تعداد کاربرانی که با مسدودکننده‌ها مواجه می‌شوند نیز همچنان بالا است.

بزرگ‌ترین تفاوت بین دو نوع باج‌افزار مسدودکننده و رمزگذار آن است که صدمات مسدودکننده کاملا قابل برگشت است. حتی در بدترین حالت، صاحب کامپیوتر آلوده می‌تواند OS را دوباره به‌سادگی  نصب کند و همه فایل‌هایشان را برگرداند؛ ولی باج‌افزارهای رمزگذار مطمئنا بسیار پیچیده‌تر هستند زیرا در حالت کلی امکان ندارد فایلی بدون کلید رمزگشایی بازگردانیده شود. معمولا این کلیدها روی سرورهای مجرمان ذخیره می‌شوند و قربانیان به آن دسترسی ندارند. شدت عواقب ناشی از آلودگی سیستم‌ها، یکی از دلایلی است که باج‌افزارهای رمزگذار را در بین مجرمان سایبری محبوب کرده‌است.

پیگیری‌ها نشان می‌دهد که درحال‌حاضر، باج‌افزارها تهدیدی جدی برای کاربران اینترنت محسوب می‌شوند. براساس این آمارها، تعداد کل کاربرانی که در بازه زمانی آوریل ۲۰۱۵ و مارس ۲۰۱۶ با باج‌افزار مواجه شده‌اند، ۱۷.۷ درصد نسبت به ۱۲ ماه قبل آن (آوریل ۲۰۱۴ تا مارس ۲۰۱۵) افزایش یافته‌است. به این معنی که ۲ میلیون و ۳۱۵ هزار و ۹۳۱ کاربر در جهان درگیر باج‌افزار شده‌اند. همچنین نسبت کاربرانی که حداقل یک‌بار با باج‌افزار مواجه شده‌اند از تعداد کل افرادی که با بدافزار مواجه شده‌اند، ۰.۷ درصد افزایش یافته‌است.

در میان کسانی که با باج‌افزار مواجه شده‌اند، نسبت کسانی که با نوع رمزنگار مواجه شده‌اند ۲۶ درصد بیشتر بوده‌است و از ۶.۶ درصد به ۳۱.۶ درصد تا سال ۲۰۱۶ رسیده‌است. در همین حال تعداد کاربرانی که با رمزنگارها مورد حمله قرار گرفته‌اند در این بازه زمانی ۵.۵ برابر افزایش یافته و تعداد کاربرانی که با باج‌افزارهای مسدودکننده دسترسی به سیستم‌عامل مورد حمله قرار گرفته‌اند، ۱۳.۳ درصد کاهش یافته‌است که حدود یک‌ونیم میلیون نفر را دربر می‌گیرد.

هر‌چند که در‌حال‌حاضر باج‌افزارها به‌طور گسترده مورد توجه رسانه‌ها و جامعه امنیتی قرار گرفته‌اند، ولی در حقیقت نسخه اولیه باج‌افزارها در سال ۱۹۸۹ منتشر شده‌است، یعنی زمانی که اولین بدافزار از تکنیک رمزگذاری فایل‌ها استفاده کرد. نمونه بعدی بدافزار باج‌گیر که Gpcode نام داشت، مدت‌ها پیش در اواسط سال ۲۰۰۰ توسط محققان امنیتی کشف شد. این باج‌افزار با الگوریتم رمزنگاری خود قادر به رمزگذاری فایل‌ها روی ماشین آلوده بود.

Gpcode با چند نمونه دیگر که از خانواده آن محسوب می‌شدند، ازجمله Cryzip ،Krotten و غیره همراه بود. پس از آن یک نسخه سبک‌تری از Gpcode ظهور کرد. ظهور چنین برنامه‌هایی حوادث نسبتا کوچکی را ایجاد می‌کرد ولی هرگز هیچ فردی آنها را به‌عنوان یک اپیدمی تصور نمی‌کرد. این وضعیت برای سال‌ها بدون تغییر باقی ماند.

اما اولین اپیدمی حقیقی باج‌افزارها مربوط به سال ۲۰۱۰ میلادی است که ۱۰۰۰ کاربر خانگی در روسیه و برخی کشورهای همسایه آن با cryptic windows مواجه شدند که همه دسکتاپ ویندوز را پوشانده بود و معمولا شامل یک پیام بود که مهاجم از قربانی به‌منظور باز کردن مرورگر یا صفحه کامپیوتر درخواست باج می‌کرد. این مشکل به‌قدری بزرگ و تعداد قربانیان آن قابل توجه بود که باعث شد مراجع دولتی نیز درگیر شوند و پوشش رسانه‌ای گسترده چه از طریق تلویزیون و چه از طریق وبلاگ‌ها در روسیه ایجاد شود.

بررسی صورت‌گرفته از ارزیابی ظهور باج افزارها طی دو سال اخیر، نشان می دهد که شیوع باج‌افزارها به‌صورت متناوب بوده و هر چند‌ ماه افزایش و کاهش داشته‌است؛ البته مدت‌زمان کاهش آن طولانی نبوده است. به عنوان مثال در فوریه ۲۰۱۶ هر دو گروه (باج‌افزارها و باج‌افزارهای رمزگذار) سقوط چشمگیر داشته و سپس مجددا افزایش ادامه یافته است.

بررسی روند رفتار باج‌افزارها در حمله به کاربران نیز نشان می‌دهد که در جولای ۲۰۱۴ میلادی بیش از ۲۷۴ هزار کاربر درگیر باج‌افزارها بوده‌اند. دلیل اصلی برای این افزایش، رواج باج‌افزار مسدودکننده مرورگر Trojan-Ransom.JS.SMSer.pn بود که بیش از ۳۱ درصد از 274هزار کاربر توسط این باج‌افزار مورد حمله قرار گرفتند. در این بازه زمانی، باج‌افزارهای رمزگذار یک‌دهم از کل افراد (۱۱.۶۳ درصد) را آلوده کردند.

همچنین در آوریل ۲۰۱۵ حدود ۲۸۲.۵ هزار کاربر توسط انواع باج‌افزار مورد حمله قرار گرفتند. این امر ناشی از شیوع باج‌افزارهای مختلف بوده که تنها ۱۰ درصد آنها از نوع باج‌افزار رمزنگار بوده‌اند. اکتبر ۲۰۱۵ با بیش از ۴۲۸.۴ هزار کاربری که مورد حمله باج‌افزار قرار گرفتند، عنوان بیشترین تعداد کاربر آلوده به باج‌افزار را به خود اختصاص داده‌است ولی باز هم از میان افراد آسیب‌دیده ۹.۳۸ درصد از افراد به باج‌افزار رمزگذار آلوده شده بودند.

در ماه مارس ۲۰۱۶ و زمانی که موج دیگری از حملات باج‌افزار صورت گرفت، وضعیت بسیار متفاوت بود. در این ماه بیش از نیمی از افراد (۵۱.۹ درصد) با باج‌افزارهای از نوع رمزگذار مواجه شده بودند. این امر عمدتا ناشی از فعالیت گسترده باج‌افزار TeslaCrypt بود.

گسترش شیوع باج‌افزارهای رمزگذار در ماه های آوریل و می سال ۲۰۱۶ میلادی (هر چند که فراتر از محدوده این گزارش است) این روند را تایید می‌کند. ۵۴ درصد از کاربران در ماه آوریل ۲۰۱۶  و ۳۵.۷ درصد از کاربران در ماه می مورد حمله باج‌افزارهای رمزگذار قرار گرفتند. 

با نگاه به گروه‌های باج‌افزار فعال در مدت‌زمان تحت پوشش این گزارش به نظر می‌رسد که در این مدت‌زمان، تعداد نسبتا کمی باج‌افزار رمزگذار عامل این تهدید جهانی بوده‌اند. در اوایل این بازه زمانی یعنی از آوریل ۲۰۱۴ تا مارس ۲۰۱۵، اکثر باج‌افزارهای از نوع رمزکننده متعلق به گروه‌هایی از بدافزارهای Shade، Aura، Lortok، Fury، TorrentLocker، CTB-Locker، Mor، Scatter، Crykal، CryptoWall بودند. این باج‌افزارها به ۱۰۱.۵۶۸ کاربر در سراسر دنیا حمله کرده که ۷۷.۴۸ از تمامی کاربران آلوده به انواع باج‌افزار را تشکیل می‌دهد؛ اما در سال بعد، شرایط تغییر کرد و Tesla Crypt ،CBT-Locker و Cryakl به‌تنهایی توانستند ۷۹.۲۱ درصد از آلودگی به باج‌افزارهای رمزگذار را تشکیل دهند.

جالب توجه است که در سال ۲۰۱5 تا ۲۰۱6، طبقه‌بندی (Others) به ۲.۴۱ درصد از حملات کاهش یافته درحالی‌که یک سال قبل از آن، ۲۲.۵۵ درصد محاسبه شده بود. این افت می‌تواند نشانه توسعه زیرساخت مجرمان باشد. به عبارت دیگر، مجرمان به جای آنکه خودشان باج‌افزار را توسعه دهند، بدافزار «آماده برای استفاده» خریداری می‌کنند.

مروری بر نوع کاربرانی که بیشتر هدف باج‌افزارها قرار گرفته‌اند، نشان می‌دهد که در بازه زمانی مورد مطالعه در گزارش، کاربران خانگی هدف بیشتر حملات باج‌افزار، بوده‌اند. علت این امر، اپیدمی باج‌افزارهای مسدودکننده در سال ۲۰۱۰ میلادی در مناطق روسیه عنوان شده‌است.

در دوره اول، ۹۳.۲ درصد کاربرانی که با باج‌افزار مواجه شدند جزء کاربران خانگی بوده اند در‌حالی‌که ۶.۸ درصد افراد باقی‌مانده، کاربران سازمان‌ها بودند. در دوره دوم با آنکه سهم کاربران سازمان‌ها در حمله با باج‌افزارها دو برابر (۱۳.۱۳ درصد) شد یعنی افزایش ۶ درصدی داشت، ولی همچنان کاربران خانگی بیشتر مورد حمله قرار گرفتند.

در طول ۲۴ ماهه مورد بررسی در این گزارش، سهم کاربران سازمانی که توسط باج‌افزارهای رمزنگار مورد حمله قرار گرفتند حدود ۲۰ درصد ثابت باقی مانده‌است؛ اما این ثبات ظاهری در تعداد واقعی منعکس نشده‌است. تعداد کاربران سازمانی که با باج‌افزارهای رمزگذار مورد حمله قرار گرفتند نزدیک به ۶ برابر افزایش یافته‌است.

تجزیه‌و‌تحلیل مکان جغرافیایی کاربران آلوده نشان می‌دهد که کشورهای قزاقستان، الجزایر و اوکراین به‌ترتیب دارای بیشترین آمار آلودگی نسبت به «تعداد باج‌افزار» به «تعداد بدافزار» بوده‌اند. نسبت تعداد کاربران آلوده به باج‌افزار به تعداد کاربران آلوده به هر نوع بدافزار می‌تواند معیار نسبتا مناسبی برای بررسی پراکندگی جغرافیایی باشد.

در بازه زمانی سال ۲۰۱۴ تا ۲۰۱۵ ، لیست کشورهای با سهم بالاتر از حملات ناشی از باج‌افزارها در جدول زیر نشان داده شده است.

اما یک سال بعد وضعیت به‌طور قابل توجهی تغییر کرد و هند از جایگاه هفتم به جایگاه اول جدول با ۹.۶ درصد کاربران آلوده انتقال پیدا کرد. همچنین سهم کاربران روسیه به ۶.۴۱ درصد افزایش یافت و به‌دنبال آنها کشورهای قزاقستان، ایتالیا، آلمان، ویتنام و الجزایر قرار گرفتند. 

از نظر تعداد قربانیان، کشورهای هند و برزیل و روسیه و آلمان در صدر جدول به‌عنوان بیشترین کاربران قربانی باج‌افزار هستند. همچنین در بازه زمانی سال ۲۰۱۵ تا ۲۰۱۶، قربانیان کشورهای ایالات متحده، ویتنام، الجزایر و اکراین و قزاقستان به‌طور قابل ملاحظه‌ای کاهش یافتند. 

در همین حال ۱۰ کشوری که سهم بالایی از کاربرانی که حمله با باج‌افزار رمزگذار را به خود اختصاص داده‌اند در جدول زیر آمده‌است. این کشورها ۶۴.۱۴ درصد از کل کاربرانی را تشکیل می‌دهند که با هرگونه باج‌افزاری و ۵۲.۸۳ درصد از آنها با باج‌افزارهای رمزگذار درگیر بوده‌اند. در سال‌های ۲۰۱۵ تا ۲۰۱۶ این مقادیر به‌ترتیب به ۶۴.۵۷ درصد و ۶۱.۳۲ درصد افزایش یافتند. 

در سال ۲۰۱۶ باج‌افزارهای رمزگذار خیلی شایع‌تر شده و سهم چنین حملات در برخی کشورها مانند ایالات متحده، برزیل، قزاقستان، اوکراین، ویتنام و روسیه بیش از ۲۰ درصد افزایش یافته‌است و در برخی از کشورها مانند آلمان و ایتالیا باج‌افزارهای رمزگذار پیشتاز بوده‌اند. 

اگرچه در برخی از کشورها تعداد کاربران مورد حمله با انواع مختلف باج‌افزار کاهش یافته ولی هیچ کشوری وجود ندارد که سهم کاربران مورد حمله با باج‌افزار رمزگذار آن کاهش داشته‌باشد، اما برخی کشورها مانند آلمان، برزیل، اوکراین، قزاقستان و ایتالیا نرخ رشد بسیار بالایی در این حملات دارند و درنتیجه باید همه کاربران به‌ویژه این کشورها در استفاده از شبکه جهانی اینترنت محتاط عمل کنند.