تکامل باج‌افزار و سرویس‌های باج‌افزار به‌عنوان سرویس (Ransomware-as-a-Service – RaaS)

در سال ۲۰۲۵، باج‌افزار (Ransomware) همچنان یکی از بزرگ‌ترین تهدیدات امنیت سایبری در جهان باقی مانده است. بر اساس گزارش‌های امنیتی سه‌ماهه اول سال، حملات باج‌افزاری ۴۶٪ افزایش داشته‌اند، و تمرکز اصلی آن‌ها بر روی بخش سلامت (Healthcare) و صنایع تولیدی (Manufacturing) بوده است.
این حملات نه‌تنها از نظر تعداد، بلکه از نظر پیچیدگی نیز رشد چشمگیری داشته‌اند؛ زیرا مدل تجاری جدیدی با نام Ransomware-as-a-Service (RaaS) به مجرمان سایبری اجازه می‌دهد بدون دانش فنی عمیق، از حملات آماده و خودکار استفاده کنند.

Ransomware-as-a-Service (RaaS) چیست و چگونه کار می‌کند؟

مدل RaaS یکی از تحولات مهم در دنیای جرائم سایبری است. در این مدل، توسعه‌دهندگان بدافزار زیرساخت، پنل مدیریتی، سرورهای Command & Control و ابزارهای رمزگذاری را در اختیار مشتریان یا “Affiliate”‌ها قرار می‌دهند.
در واقع، همان‌طور که کسب‌وکارهای قانونی از SaaS استفاده می‌کنند، هکرها نیز از RaaS برای مقیاس‌پذیری حملات خود بهره می‌برند.

چرخه فعالیت RaaS به‌طور معمول شامل مراحل زیر است:

1. ایجاد کمپین فیشینگ یا سوءاستفاده از آسیب‌پذیری‌ها برای دسترسی اولیه.

2. استفاده از ابزارهای داخلی سیستم (Living-off-the-Land) مانند PowerShell یا PsExec برای حرکت جانبی.

3. رمزگذاری فایل‌ها و حذف Shadow Copyها جهت جلوگیری از بازیابی داده.

4. ارسال پیام باج‌گیری با استفاده از Tor یا Telegram برای مذاکره.

5. پرداخت و تحویل کلید رمزگشایی (در صورت پرداخت).

در مدل RaaS، توسعه‌دهندگان معمولاً ۲۰ تا ۳۰ درصد از مبلغ باج را به‌عنوان کمیسیون از عاملان حمله دریافت می‌کنند.

افزایش تهدیدات ۲۰۲۵ و نقش گروه‌های باج‌افزاری اصلی

در سال ۲۰۲۵، دو گروه RansomHub و LockBit 3.0 مسئول بخش عمده‌ای از حملات شناسایی‌شده بودند. این گروه‌ها با بهره‌گیری از هوش مصنوعی (AI) برای تسریع فرایند رمزگذاری و شناسایی داده‌های حساس، توانسته‌اند حملات خود را بسیار دقیق‌تر و سریع‌تر از قبل اجرا کنند.

به‌عنوان مثال:

• RansomHub از الگوریتم‌های AI برای اولویت‌بندی فایل‌ها بر اساس ارزش مالی استفاده می‌کند (مانند اسناد مالی یا پایگاه‌داده‌های HR).

• LockBit 3.0 با افزودن قابلیت “Data Leak Automation” تهدید می‌کند که اگر قربانی ظرف مدت مشخصی پرداخت نکند، داده‌های او به‌صورت خودکار در دارک‌وب منتشر خواهند شد.

مسیر نفوذ: از آسیب‌پذیری تا رمزگذاری کامل

در بسیاری از موارد، مهاجمان از آسیب‌پذیری‌های شناخته‌شده در سرورها و تجهیزات شبکه به‌عنوان نقطه ورودی استفاده می‌کنند.

مثال‌های واقعی از آسیب‌پذیری‌های سوءاستفاده‌شده:

• Windows SMB Vulnerability (CVE-2017-0147): این نقص در پروتکل SMB همان موردی است که در حمله معروف WannaCry مورد سوءاستفاده قرار گرفت و همچنان در سیستم‌های وصله‌نشده وجود دارد.

• Zyxel Firewall (CVE-2022-30525): این آسیب‌پذیری به مهاجم اجازه می‌دهد بدون احراز هویت، دستورات دلخواه را از راه دور (RCE) اجرا کند. مهاجمان از این نقص برای حرکت جانبی (Lateral Movement) بین شبکه‌ها استفاده می‌کنند.

در کنار این‌ها، نقص‌های زنجیره تأمین نرم‌افزار (Supply Chain Vulnerabilities) به تهدیدی جدی‌تر تبدیل شده‌اند. در حمله ماه مه ۲۰۲۵ به گروه Everest، مهاجمان از آسیب‌پذیری در ماژول متن‌باز SAP SuccessFactors سوءاستفاده کردند که منجر به آلودگی صدها سازمان بین‌المللی شد.

تکامل ابزارها و تاکتیک‌های باج‌افزارها

با گذر زمان، باج‌افزارها از ابزارهای ساده رمزگذاری فایل به پلتفرم‌های پیچیده چندمرحله‌ای تبدیل شده‌اند. امروزه مهاجمان از ترکیب چند فناوری برای موفقیت حمله استفاده می‌کنند:

• هوش مصنوعی (AI) برای تحلیل ساختار شبکه و شناسایی سریع دارایی‌های باارزش.

• Machine Learning جهت تشخیص رفتار امنیتی و فرار از آنتی‌ویروس‌ها.

• Steganography برای پنهان‌سازی بدافزار در تصاویر و اسناد.

• Double Extortion (دوگانه‌سازی تهدید): هم رمزگذاری داده‌ها و هم تهدید به افشای آن‌ها در صورت عدم پرداخت.

• Leak Sites در دارک‌وب که برای فشار روانی و رسانه‌ای بر قربانیان طراحی شده‌اند.

راهکارهای پیشگیرانه و مقابله با RaaS

برای مقابله با باج‌افزارها و مدل‌های RaaS، سازمان‌ها باید از رویکرد چندلایه (Defense-in-Depth) استفاده کنند:

۱. ایمن‌سازی دسترسی‌ها

• اجرای MFA (احراز هویت چندمرحله‌ای) برای حساب‌های ادمین.

• محدود کردن دسترسی RDP و SMB از خارج شبکه.

• استفاده از Zero Trust Architecture برای کاهش دسترسی‌های غیرضروری.

۲. پشتیبان‌گیری ایمن

• تهیه نسخه پشتیبان روزانه بر روی ذخیره‌سازهای آفلاین (Offline Backup).

• تست مداوم بازیابی داده برای اطمینان از سلامت نسخه‌های پشتیبان.

۳. مدیریت آسیب‌پذیری

• استفاده از سیستم‌های اسکن آسیب‌پذیری مانند Qualys, Tenable, یا OpenVAS.

• وصله‌کردن (Patch Management) دوره‌ای سیستم‌عامل‌ها و فریم‌ورک‌ها.

۴. پایش رفتار و تشخیص سریع

• استفاده از EDR/XDR مانند CrowdStrike, SentinelOne یا Microsoft Defender 365.

• مانیتورینگ ترافیک خروجی جهت شناسایی ارتباط با دامنه‌های C2.

• فعال‌سازی Sysmon برای لاگ‌برداری دقیق از فعالیت‌های مشکوک.

نتیجه‌گیری

تکامل مداوم باج‌افزار و مدل RaaS نشان می‌دهد که مجرمان سایبری به اندازه شرکت‌های فناوری، در حال نوآوری هستند. سازمان‌ها باید درک کنند که باج‌افزار تنها یک تهدید نرم‌افزاری نیست، بلکه بخشی از یک اکوسیستم اقتصادی پیچیده است که از همکاری، اجاره و فروش داده‌ها پشتیبانی می‌کند.

با اتخاذ رویکرد امنیتی چندلایه، پایش مداوم تهدیدات و آموزش کارکنان، می‌توان احتمال موفقیت حملات باج‌افزاری را تا حد زیادی کاهش داد.