حمله Ransomware یا باج‌افزار یکی از مخرب‌ترین و پرهزینه‌ترین تهدیدات سایبری در جهان است. در سال‌های اخیر، سازمان‌های بزرگ، بانک‌ها، مراکز درمانی، شرکت‌های فناوری و حتی نهادهای دولتی قربانی حملات باج‌افزاری شده‌اند.

در گذشته هدف مهاجمان فقط رمزگذاری فایل‌ها بود، اما امروزه گروه‌های باج‌افزاری از مدل‌های پیچیده‌تری استفاده می‌کنند. این مهاجمان ابتدا به شبکه نفوذ کرده، اطلاعات حساس را سرقت می‌کنند و سپس با رمزگذاری زیرساخت سازمان، قربانی را مجبور به پرداخت باج می‌کنند.

برای مقابله مؤثر با این تهدید، شناخت چرخه کامل Ransomware ضروری است.

 

 Ransomware چیست؟

حمله Ransomware نوعی بدافزار است که پس از نفوذ به سیستم یا شبکه، دسترسی به اطلاعات را از طریق رمزگذاری فایل‌ها یا قفل کردن سیستم‌ها محدود می‌کند و در ازای بازگرداندن دسترسی، درخواست باج می‌نماید.

امروزه بسیاری از گروه‌های باج‌افزاری از مدل Ransomware-as-a-Service (RaaS) استفاده می‌کنند. در این مدل، توسعه‌دهندگان باج‌افزار زیرساخت حمله را در اختیار مهاجمان دیگر قرار می‌دهند و بخشی از درآمد حاصل از باج را دریافت می‌کنند.

 

خسارت‌های ناشی از حملات باج‌افزاری

عملیاتی (Operational Impact)

  • توقف سرویس‌های حیاتی سازمان
  • از دسترس خارج شدن سرورها و ایستگاه‌های کاری
  • اختلال در فرآیندهای کسب‌وکار
  • کاهش بهره‌وری کارکنان
  • از کار افتادن سامانه‌های مالی، ERP یا CRM

 

مالی (Financial Impact)

  • هزینه بازیابی سیستم‌ها و داده‌ها
  • هزینه پاسخ به رخداد و تحقیقات امنیتی
  • کاهش درآمد ناشی از توقف خدمات
  • پرداخت احتمالی باج
  • هزینه ارتقای زیرساخت امنیتی پس از حادثه

 

اعتباری و حقوقی (Reputational & Legal Impact)

  • افشای اطلاعات محرمانه سازمان
  • از دست رفتن اعتماد مشتریان و شرکای تجاری
  • آسیب به اعتبار برند
  • جریمه‌های قانونی و رگولاتوری
  • احتمال شکایت مشتریان در صورت نشت اطلاعات

 

چرخه کامل حمله Ransomware

 

مرحله اول: نفوذ اولیه (Initial Access)

هر حمله باج‌افزاری با یافتن یک نقطه ورود به شبکه آغاز می‌شود. مهاجمان معمولاً ضعیف‌ترین بخش زیرساخت یا خطای انسانی را هدف قرار می‌دهند تا به اولین سیستم در محیط سازمانی دسترسی پیدا کنند.

  • فیشینگ (Phishing)

یکی از رایج‌ترین روش‌های نفوذ در حمله Ransomware است. در این روش، مهاجم ایمیل‌هایی با ظاهر معتبر برای کاربران ارسال می‌کند که ممکن است شامل موارد زیر باشند:

  • فایل Word آلوده
  • فایل PDF مخرب
  • لینک‌های فیشینگ
  • فایل‌های ZIP آلوده

پس از باز کردن فایل یا کلیک روی لینک، بدافزار اولیه روی سیستم قربانی اجرا شده و ارتباط با زیرساخت مهاجم برقرار می‌شود.

 

  • سوءاستفاده از آسیب‌پذیری‌های VPN

سرویس‌های VPN به دلیل دسترسی مستقیم به شبکه داخلی، همواره یکی از اهداف مهاجمان هستند. در صورتی که تجهیزات VPN به‌روزرسانی نشده باشند یا از احراز هویت چندعاملی استفاده نکنند، مهاجم می‌تواند از آسیب‌پذیری‌های شناخته‌شده یا اعتبارنامه‌های سرقت‌شده برای ورود به شبکه استفاده کند.

 

  • حملات RDP

سرویس Remote Desktop یکی از رایج‌ترین نقاط ورود مهاجمان محسوب می‌شود، به‌ویژه زمانی که:

  • MFA فعال نباشد.
  • رمز عبور ضعیف استفاده شود.
  • دسترسی مستقیم از اینترنت وجود داشته باشد.

در بسیاری از رخدادهای باج‌افزاری، مهاجمان پس از دستیابی به اعتبارنامه‌های معتبر، از طریق RDP وارد شبکه شده و فعالیت خود را آغاز می‌کنند.

 

  • بهره‌برداری از آسیب‌پذیری‌ها

مهاجمان به‌طور مداوم زیرساخت‌های سازمانی را برای یافتن سرویس‌های آسیب‌پذیر اسکن می‌کنند. هر سرویس وصله‌نشده می‌تواند به نقطه ورود اولیه تبدیل شود.

نمونه‌های متداول عبارت‌اند از:

  • Exchange Server
  • VPN Gateway
  • Web Application
  • File Server

در بسیاری از حملات موفق، فاصله زمانی میان انتشار وصله امنیتی (Patch) و اعمال آن توسط سازمان‌ها فرصت مناسبی برای سوءاستفاده مهاجمان ایجاد می‌کند.

 

مرحله دوم: تثبیت دسترسی (Persistence)

پس از نفوذ اولیه، مهاجم تلاش می‌کند دسترسی خود را در محیط حفظ کند. هدف این مرحله آن است که حتی در صورت راه‌اندازی مجدد سیستم، تغییر رمز عبور برخی حساب‌ها یا قطع ارتباط اولیه، همچنان امکان بازگشت به شبکه را داشته باشد.

روش‌های متداول برای تثبیت دسترسی عبارت‌اند از:

  • ایجاد حساب‌های کاربری جدید یا مخفی
  • نصب Backdoor برای دسترسی مجدد به سیستم
  • ایجاد Scheduled Tasks جهت اجرای خودکار کدهای مخرب
  • سوءاستفاده از Registry Run Keys برای اجرای بدافزار هنگام راه‌اندازی سیستم
  • ایجاد یا تغییر Windows Services

در بسیاری از حملات باج‌افزاری، مهاجمان پیش از شروع مراحل بعدی، چندین مکانیزم مختلف برای حفظ دسترسی ایجاد می‌کنند تا در صورت شناسایی یکی از آن‌ها، سایر مسیرهای دسترسی همچنان فعال باقی بمانند.

 

مرحله سوم: شناسایی محیط (Discovery)

پس از تثبیت دسترسی، مهاجم تلاش می‌کند دید دقیقی از محیط سازمانی به دست آورد. هدف این مرحله شناسایی دارایی‌های ارزشمند، مسیرهای افزایش سطح دسترسی و سامانه‌های حیاتی شبکه است.

اطلاعاتی که مهاجم معمولاً به دنبال آن‌هاست عبارت‌اند از:

  • ساختار شبکه
  • سرورهای حیاتی
  • کاربران دارای دسترسی بالا
  • Domain Controller
  • Backup Server
  • فایل سرورها

اطلاعات جمع‌آوری‌شده در این مرحله مبنای تصمیم‌گیری مهاجم برای ادامه حمله، افزایش سطح دسترسی و گسترش آلودگی در شبکه خواهد بود.

برای جمع‌آوری این اطلاعات، مهاجمان اغلب از ابزارها و دستورات داخلی سیستم‌عامل استفاده می‌کنند؛ زیرا این فعالیت‌ها معمولاً کمتر از اجرای ابزارهای ناشناخته جلب توجه می‌کنند.

دستورات متداول:

net user

net group

ipconfig

net view

whoami

این دستورات می‌توانند اطلاعاتی درباره کاربران، گروه‌های دسترسی، ساختار شبکه و سطح دسترسی حساب فعلی در اختیار مهاجم قرار دهند. هرچه شناخت مهاجم از محیط بیشتر باشد، احتمال موفقیت مراحل بعدی حمله نیز افزایش خواهد یافت.

 

مرحله چهارم: افزایش سطح دسترسی (Privilege Escalation)

در این مرحله مهاجم تلاش می‌کند به سطح Administrator یا Domain Admin دست یابد.

برای رسیدن به این هدف، مهاجمان از تکنیک‌های مختلفی استفاده می‌کنند:

  • Credential Dumping

در این روش، مهاجم تلاش می‌کند اطلاعات احراز هویت مانند رمزهای عبور یا هش‌های ذخیره‌شده در حافظه سیستم را استخراج کند. این اطلاعات می‌توانند برای ورود به سایر سیستم‌ها یا ارتقای دسترسی مورد استفاده قرار گیرند.

  • Pass-the-Hash

مهاجم بدون نیاز به داشتن رمز عبور اصلی، از هش استخراج‌شده برای احراز هویت در سیستم‌های دیگر استفاده می‌کند. این روش به‌خصوص در محیط‌های ویندوزی بسیار مؤثر است.

  • Kerberoasting

در این حمله، مهاجم Ticketهای مربوط به سرویس‌های Active Directory را استخراج کرده و سپس آن‌ها را به‌صورت آفلاین برای یافتن رمز عبور سرویس‌ها تحلیل می‌کند.

  • سوءاستفاده از تنظیمات اشتباه

بسیاری از حملات موفق زمانی رخ می‌دهند که ساختار دسترسی در سازمان به‌درستی مدیریت نشده باشد. مواردی مانند:

  • دسترسی‌های بیش از حد به کاربران عادی
  • وجود گروه‌های مدیریتی غیرضروری
  • استفاده از رمزهای عبور ضعیف یا تکراری

می‌توانند مسیر مهاجم را برای افزایش سطح دسترسی بسیار ساده‌تر کنند.

در بسیاری از رخدادهای واقعی، همین ضعف‌های پیکربندی به مهاجم اجازه می‌دهد بدون نیاز به آسیب‌پذیری پیچیده، به سطح Domain Admin دست پیدا کند.

 

مرحله پنجم: حرکت جانبی (Lateral Movement)

پس از به‌دست آوردن دسترسی مناسب در یک یا چند سیستم، مهاجم وارد مرحله‌ای می‌شود که هدف آن گسترش حضور در شبکه سازمانی است. در این مرحله، تمرکز اصلی بر شناسایی و نفوذ به سیستم‌های دیگر داخل شبکه است تا دامنه کنترل افزایش پیدا کند.

برای انجام حرکت جانبی، مهاجمان معمولاً از ابزارها و پروتکل‌های داخلی شبکه استفاده می‌کنند تا فعالیت آن‌ها طبیعی‌تر به نظر برسد و کمتر توسط سیستم‌های امنیتی شناسایی شود.

ابزارها و روش‌های متداول در این مرحله عبارت‌اند از:

  • PowerShell
  • PsExec
  • WMI (Windows Management Instrumentation)
  • SMB (File Sharing Protocol)
  • RDP (Remote Desktop Protocol)

در این مرحله، مهاجم تلاش می‌کند از یک سیستم آلوده به سیستم‌های دیگر حرکت کند، اعتبارنامه‌های بیشتری جمع‌آوری کند و به سرورهای حیاتی مانند Domain Controller یا File Server نزدیک‌تر شود.

 

مرحله ششم: غیرفعال‌سازی دفاع امنیتی

قبل از اجرای باج‌افزار، مهاجم سعی می‌کند ابزارهای امنیتی را از کار بیندازد.

اهداف رایج:

  • آنتی ویروس
  • EDR
  • SIEM Agent
  • Backup Agent
  • سرویس‌های ثبت لاگ (Logging Services)

در صورتی که این مرحله موفقیت‌آمیز باشد، دید تیم امنیتی نسبت به اتفاقات شبکه به شدت کاهش پیدا می‌کند و مهاجم می‌تواند مراحل بعدی حمله را با ریسک شناسایی بسیار کمتر اجرا کند.

 

مرحله هفتم: سرقت اطلاعات (Data Exfiltration)

این مرحله یکی از مهم‌ترین تفاوت‌های باج‌افزارهای مدرن با نمونه‌های قدیمی محسوب می‌شود. در این مدل حملات، مهاجم پیش از رمزگذاری اطلاعات، اقدام به استخراج داده‌های حساس از شبکه سازمانی می‌کند.

هدف از این کار این است که حتی در صورت بازیابی اطلاعات از طریق Backup، مهاجم همچنان بتواند سازمان را تحت فشار قرار دهد.

اطلاعاتی که معمولاً در این مرحله سرقت می‌شوند شامل موارد زیر هستند:

  • اطلاعات مشتریان
  • قراردادها
  • مستندات مالی
  • اسناد حقوقی
  • داده‌های تحقیق و توسعه (R&D)

این نوع حمله که با عنوان Double Extortion شناخته می‌شود، به مهاجم اجازه می‌دهد علاوه بر رمزگذاری اطلاعات، با تهدید به انتشار داده‌های سرقت‌شده، فشار بیشتری برای دریافت باج وارد کند.

 

مرحله هشتم: رمزگذاری گسترده

در این مرحله عملیات اصلی آغاز می‌شود:

  • شناسایی فایل‌های قابل‌هدف در سیستم‌ها و سرورها
  • رمزگذاری فایل‌ها با استفاده از الگوریتم‌های رمزنگاری
  • حذف Shadow Copy برای جلوگیری از بازیابی اطلاعات
  • متوقف کردن سرویس‌های حیاتی برای افزایش اختلال در عملکرد
  • نمایش پیام باج به کاربر یا سازمان

در بسیاری از حملات پیشرفته، این فرآیند به‌صورت بسیار سریع و هماهنگ انجام می‌شود و ممکن است صدها سرور در مدت زمان کوتاهی، حتی کمتر از یک ساعت، به طور کامل رمزگذاری شوند.

 

باج افزار Ransomware

 

نشانه‌های هشداردهنده حمله باج‌افزاری

در بسیاری از موارد، قبل از شروع رمزگذاری گسترده، نشانه‌هایی در شبکه و سیستم‌ها قابل مشاهده است. شناسایی زودهنگام می‌تواند خسارت را به شدت کاهش دهد.

علائم مهم:

  • اجرای غیرعادی PowerShell
  • افزایش ناگهانی ترافیک خروجی شبکه
  • حذف گسترده Shadow Copy
  • ایجاد حساب‌های مدیریتی جدید
  • تلاش‌های متعدد و ناموفق برای ورود به سیستم
  • غیرفعال شدن سرویس‌های امنیتی
  • شروع فرآیند رمزگذاری انبوه فایل‌ها

 

نقش Active Directory در حملات Ransomware

در بسیاری از حملات سازمانی، تمرکز اصلی مهاجم بر Active Directory است؛ زیرا این بخش کنترل مرکزی شبکه را در اختیار دارد.

در صورتی که مهاجم بتواند Domain Controller را در اختیار بگیرد، عملاً کنترل کل محیط سازمانی را به دست می‌آورد و می‌تواند اقدامات زیر را انجام دهد:

  • مدیریت و کنترل تمام کاربران شبکه
  • تغییر یا اعمال سیاست‌های Group Policy (GPO)
  • توزیع بدافزار در سراسر شبکه
  • آلوده کردن کامل دامنه سازمانی

به همین دلیل، امنیت Active Directory یکی از حیاتی‌ترین بخش‌های دفاع در برابر حملات باج‌افزاری محسوب می‌شود.

 

نقش EDR در مقابله با باج افزار Ransomware

راهکارهای EDR برخلاف آنتی‌ویروس‌های سنتی، بر اساس امضای بدافزار عمل نمی‌کنند؛ بلکه رفتار سیستم و فعالیت‌های مشکوک را در لحظه تحلیل می‌کنند.

در حملات باج‌افزاری، EDR می‌تواند الگوهای غیرعادی را شناسایی کرده و قبل از رسیدن حمله به مرحله رمزگذاری، واکنش مناسب نشان دهد. برای مثال:

  1. اجرای مشکوک PowerShell و دستورات غیرمعمول
  2. شناسایی رفتارهای مرتبط با حرکت جانبی در شبکه
  3. تشخیص فرآیندهای مرتبط با رمزگذاری انبوه فایل‌ها
  4. ایزوله کردن سیستم آلوده از سایر بخش‌های شبکه

در نتیجه، EDR یکی از مؤثرترین ابزارها برای شناسایی و مهار حمله Ransomware در مراحل اولیه است.

 

چک‌لیست امنیتی مقابله با حمله Ransomware

برای کاهش ریسک حملات باج‌افزاری، رعایت مجموعه‌ای از اقدامات پایه‌ای ضروری است.

 

1. احراز هویت

  • فعال‌سازی احراز هویت چندمرحله‌ای (MFA)
  • حذف حساب‌های کاربری بلااستفاده
  • استفاده از رمزهای عبور قوی و غیرقابل حدس

 

2. امنیت شبکه

  • پیاده‌سازی Network Segmentation
  • محدودسازی دسترسی به RDP
  • محدودسازی پروتکل SMB
  • کنترل دقیق سطح دسترسی کاربران

 

3. مدیریت آسیب‌پذیری

  • اجرای منظم Patch Management
  • اسکن مداوم آسیب‌پذیری‌ها
  • حذف سرویس‌ها و نرم‌افزارهای غیرضروری

 

4. پشتیبان‌گیری

  • تهیه نسخه پشتیبان روزانه
  • نگهداری Backup آفلاین و جدا از شبکه اصلی
  • تست دوره‌ای فرآیند بازیابی اطلاعات

 

5. مانیتورینگ و تشخیص

  • استفاده از SIEM برای تحلیل لاگ‌ها
  • استفاده از EDR برای شناسایی رفتارهای مشکوک
  • ثبت و نگهداری مداوم لاگ‌های سیستم‌ها

 

در صورت وقوع حمله چه باید کرد؟

  1. سیستم آلوده را فوراً از شبکه جدا کنید تا از گسترش حمله Ransomware جلوگیری شود.
  2. از خاموش کردن عجولانه سرورها خودداری کنید، زیرا ممکن است شواهد مهم از بین برود.
  3. دامنه آلودگی را شناسایی کنید تا مشخص شود کدام سیستم‌ها درگیر شده‌اند.
  4. شواهد دیجیتال (Logs و داده‌های سیستم) را برای تحلیل نگهداری کنید.
  5. تیم پاسخ به رخداد (Incident Response) را فعال کنید.
  6. وضعیت نسخه‌های پشتیبان را بررسی و امکان بازیابی را ارزیابی کنید.
  7. تمامی رمزهای عبور حساس را تغییر دهید، به‌خصوص در سطح مدیریتی و Active Directory.
  8. در نهایت، تحلیل کامل Root Cause انجام دهید تا علت اصلی نفوذ مشخص و برطرف شود.