«نه» بزرگ قربانیان باج‌افزار به هکرها؛ نگاهی به گزارش نشت داده ۲۰۲۵ ورایزن

به گزارش اقتصادآنلاین، به نقل از زومیت؛ ۱۲,۱۹۵ مورد نشت داده‌ی تأییدشده در یک سال؛ این یعنی هر روز بیش از ۳۳ سازمان در جهان قربانی دسترسی غیرمجاز به اطلاعات‌شان شده‌اند. از بیمارستان‌ها و بانک‌ها گرفته تا مدارس، کارخانه‌ها، کسب‌وکارهای کوچک و شرکت‌های چندملیتی، همه در محاصره‌ی حملاتی قرار دارند که هر روز پیچیده‌تر، سریع‌تر و بی‌رحم‌تر می‌شوند.

این حوادث از ۱۳۹ کشور مختلف و در بازه‌ی زمانی بین اول نوامبر ۲۰۲۳ تا آخر اکتبر ۲۰۲۴ اتفاق افتاده‌اند. ورایزن در این تحلیل، از داده‌های تیم مشاوره‌ی تحقیقاتی خود (VTRAC)، اطلاعات ارائه‌شده توسط مشارکت‌کنندگان جهانی، و حوادثی که به‌صورت عمومی گزارش شده بودند استفاده کرده و همه‌ی این داده‌ها را با چارچوب استاندارد VERIS منظم کرده است.

داده‌های سال ۲۰۲۵ چندین روند تاریک و نگران‌کننده را آشکار می‌کنند؛ روندهایی که نه‌تنها تصویری از چالش‌های کنونی ارائه می‌دهند، بلکه مسیر تحولات امنیت سایبری در آینده را نیز تا حدودی روشن می‌کنند:

از افزایش نقش اشخاص و شرکت‌های شخص ثالث در نشت داده‌ها گرفته تا گسترش باج‌افزارها و از تکامل روش‌های سواستفاده از آسیب‌پذیری‌ها تا ظهور تهدیدات نوین مبتنی بر هوش مصنوعی؛ همگی بخشی از چشم‌انداز پیچیده‌ی امنیت سایبری امروز هستند که در ادامه مروری بر مهم‌ترین آن‌ها خواهیم داشت.

در حال حاضر زنجیره تأمین دیجیتال یکی از مهم‌ترین نقاط آسیب‌پذیر اصلی سازمان‌ها محسوب می‌شود.

در بازه‌ی یک سال گذشته سهم رخنه‌هایی که در آن‌ها پای طرف‌های ثالث وسط بود، نسبت‌به سال قبل دوبرابر شد و از ۱۵ درصد به ۳۰ درصد رسید. این افزایش نگران‌کننده شامل آسیب‌پذیری‌های نرم‌افزارهای شرکت‌های تأمین‌کننده و سوءاستفاده از اعتبارنامه‌های سرقت شده در محیط‌های شخص ثالث می‌شود.

گزارش ورایزن تأکید می‌کند که وقتی پای شرکت‌های بیرونی وسط باشد، مدیریت امنیت واقعاً سخت می‌شود و لازم است از همان اول، موقع انتخاب و همکاری با تأمین‌کننده‌ها، امنیت هم یکی از ملاک‌های اصلی باشد.

جالب اینکه بررسی‌ها نشان داد حدود ۸۰ درصد از حساب‌هایی که در این حمله مورد سوءاستفاده قرار گرفتند، پیش از نیز در معرض افشای اطلاعات بودند عمدتاً به‌خاطر بدافزارهای جمع‌کننده‌ی اطلاعات یا مخازن کد عمومی.

تحقیقات نشان می‌دهد رفع مشکل فاش‌شدن اطلاعات حساس (مثل کلیدهای API یا توکن‌ها) که در گیت‌هاب پیدا می‌شوند، به طور میانگین ۹۴ روز طول می‌کشد.

رخنه‌هایی که سرویس‌دهنده‌های SaaS تخصصی مثل Change Healthcare، CDK Global و Blue Yonder را درگیر کردند، نشان دادند که مشکلات امنیتی شرکت‌های ثالث چقدر می‌تواند کسب‌وکارها را به بحران بکشد؛ به‌ویژه در صنایع سلامت، خرده‌فروشی، هتل‌داری و رستوران‌ها.

و برای دستگاه‌های لبه‌ای، این زمان تقریباً صفر روز برآورد می‌شود! یعنی مهاجمان خیلی وقت‌ها قبل از اینکه آسیب‌پذیری حتی به طور رسمی اعلام شود، از آن سوءاستفاده کرده‌اند.

امسال حملاتی که با هدف جاسوسی انجام شده بودند، با رشد چشمگیری ۱۷ درصد از کل نشت‌های داده را تشکیل می‌دادند. یکی از دلایل این رشد، این بود که اطلاعات دریافتی از منابع مختلف بهتر و شفاف‌تر شده و حالا دید بهتری نسبت به این نوع حملات داریم.

در اکثر نشت‌های داده با انگیزه جاسوسی (۷۰ درصد)، مهاجمان از آسیب‌پذیری‌های سیستم‌ها برای ورود اولیه استفاده کرده‌اند.

این روند می‌تواند خط مرزی بین هکرهای مالی و جاسوسی را کم‌رنگ کند و تشخیص انگیزه اصلی پشت یک حمله را دشوارتر سازد.

به بیان ساده، هکرها ابتدا اطلاعات ورود کارمندان را می‌دزدند، سپس این اطلاعات را در بازار سیاه می‌فروشند و نهایتاً گروه‌های باج‌افزاری با خرید این اطلاعات به‌راحتی وارد شبکه شرکت‌ها می‌شوند.

گزارش ورایزن حوادث امنیتی را براساس الگوهای رایج طبقه‌بندی می‌کند:

کارشناسان بزرگ‌ترین و رایج‌ترین الگوی حمله را نفوذ به سیستم می‌دانند که در ۷۵ درصد از موارد با باج‌افزارها همراه‌اند. در این دسته حملات معمولاً ترکیبی از هک، بدافزار و گاهی مهندسی اجتماعی به کار گرفته می‌شوند.

هکرها برای نفوذ اولیه در حملات باج‌افزاری معمولاً از سه روش استفاده می‌کنند: سوءاستفاده از رمزهای عبور، بهره‌برداری از آسیب‌پذیری‌ها و فیشینگ. هرچند استفاده از آسیب‌پذیری‌ها در حملات باج‌افزاری نسبت به اوج سال گذشته که تحت‌تأثیر آسیب‌پذیری MOVEit بود، کاهش‌یافته، اما همچنان نرخ بسیار بالایی دارد و از سال ۲۰۲۲ تا کنون دوبرابر شده است.

حملات Magecart که سایت‌های فروش آنلاین را برای سرقت اطلاعات پرداخت هک می‌کنند، بخش دیگری از این الگو هستند. این حملات فقط یک درصد از موارد نفوذ به سیستم را تشکیل می‌دهند، اما ۸۰ درصد از نشت‌های مربوط به کارت‌های پرداخت از این طریق انجام می‌شود. هکرها معمولاً سایت‌های کوچک‌تر (با میانگین ۷ هزار بازدیدکننده ماهانه) را هدف می‌گیرند و زمان آلودگی کوتاهی دارند (معمولاً کمتر از ۳۰ روز).

در حملاتی که با انگیزه‌ی جاسوسی انجام می‌شود، مهاجمان بیشتر از اطلاعات کاربری دزدیده‌شده و بدافزار برای ماندن در سیستم و حرکت در داخل شبکه استفاده می‌کنند.

مهندسی اجتماعی همچنان یکی از الگوهای اصلی حملات باقی‌مانده و در ۱۶ تا ۲۲ درصد از نشت‌های داده نقش دارد. فیشینگ و ترفندهای متقاعدسازی، تکنیک‌های اصلی در این دسته هستند.

جاسوسی یکی از انگیزه‌های مهم در این الگو محسوب می‌شود (۵۲ درصد از موارد)، درحالی‌که انگیزه‌های مالی هم تقریباً به همان اندازه قوی هستند (۵۵ درصد) و گاهی مهاجمان هر دو هدف را با هم دنبال می‌کنند، مخصوصاً گروه‌هایی که به دولت‌ها وابسته‌اند.

حدود ۴ درصد از کل نفوذها هم تکنیک‌های پیشرفته‌ی دور زدن احراز هویت دوعاملی دیده می‌شود، مثل:

• حملات AiTM یا مهاجم در میانه‌ی مسی: وقتی هکر خودش را بین کاربر و سرویس اصلی قرار می‌دهد بدون اینکه کاربر متوجه شود.
• Password Dumping یا سرقت رمزهای عبور
• SIM Swapping یا تعویض سیم‌کارت، وقتی هکر با دست یافتن به اطلاعات شخصی کاربر، به امکانات سیم‌کارت او دست پیدا می‌کند، بدون اینکه سیم‌کارت را به‌طور فیزیکی دزدیده باشد.

یکی دیگر از مدل‌های حمله‌ای که امسال بیشتر شد، «بمباران اعلان» یا MFA Fatigue Attack بود، به این معنی که هکرها با فرستادن پشت‌سرهم درخواست احراز هویت، کاربر را خسته می‌کنند تا نهایتاً تأیید اشتباهی بفرستد. این روش بیشتر توسط گروه‌های دولتی استفاده شده است.

داده‌های شبیه‌سازی فیشینگ نشان می‌دهد که اگرچه نرخ کلیک نهایتاً به یک سطح ثابت می‌رسد (میانگین حدود ۱٫۵ درصد پس از آموزش‌های گسترده)، اما نرخ گزارش‌دهی ایمیل‌های مشکوک هم بعد از آموزش‌های جدید به طور قابل توجهی افزایش می‌یابد: از ۵ درصد به ۲۱ درصد.

با این حساب آنچه در مقابله با فیشینگ اهمیت دارد، فقط کاهش نرخ کلیک نیست، بلکه افزایش آگاهی و تمایل کارکنان به گزارش این حملات نیز نقشی کلیدی ایفا می‌کند.

این نوع حملات سریع و به‌صورت حمله‌های مستقیم به برنامه‌های تحت وب پیش می‌روند: «وارد شو، داده را بگیر و خارج شو». در ۸۸ درصد از موارد این گروه شاهد استفاده از رمزهای عبور سرقت شده هستیم، ضمن اینکه حمله با آزمون و خطای رمز عبور هم در این دسته زیاد دیده می‌شود.

نکته‌ی قابل‌توجه اینکه امسال انگیزه جاسوسی به انگیزه اصلی در این الگو تبدیل شده بود (۶۱-۶۲ درصد) که جهش قابل‌توجهی نسبت به نرخ ۱۰ تا ۲۰ درصد گذشته را نشان می‌دهد. با این شواهد گویا عوامل دولتی هم به حملات ساده‌تر مبتنی بر رمز عبور روی آورده‌اند.

این الگو ارتباط عمیقی با دنیای پر از اطلاعات لو رفته دارد، یعنی همان جایی که میلیاردها رمز عبور میلیاردها رمز عبور (چه رمزهای هش‌شده، چه رمزهای ساده) در سال ۲۰۲۴ در دیتابیس‌های هک‌شده منتشر شده بود.

این الگو به‌سادگی برخی اقدامات غیرعمدی را بیان می‌کند که امنیت سایبری را به خطر می‌اندازند. گرچه این دسته از مشکلات نسبت به گذشته کمتر شده، ولی همچنان در بخش‌هایی مانند بهداشت و درمان و بخش عمومی و سازمان‌های بزرگ‌تر دردسرساز می‌شوند و در ۹۸ درصد موارد هم کارکنان داخلی مقصرند.

رایج‌ترین مدل‌های خطا عبارت‌اند از:

• فرستادن اطلاعات به گیرنده‌ی اشتباهی (چه به‌صورت ایمیلی، چه کاغذی)
• باز گذاشتن دیتابیس‌های حساس روی اینترنت بدون هیچ حفاظتی
• اشتباه در انتشار اطلاعات حساس

بیشتر از هر چیز، داده‌های شخصی قربانی این اشتباهات می‌شوند؛ چنان‌که در ۹۵ درصد مواقع اطلاعاتی مثل اسم، شماره تماس، آدرس و نظیر آن لو می‌رود.

گاهی اوقات مشکل از افراد داخل سازمان شروع می‌شود؛ یعنی پرسنلی که دسترسی قانونی دارند، ولی از این دسترسی‌ها از استفاده غیرمجاز یا بدخواهانه می‌کنند. درحالی‌که ۹۰ درصد از این سوءاستفاده‌ها توسط کارکنان داخلی انجام شده، ولی امسال نقش شرکای تجاری هم بیشتر شد و به ۱۰ درصد رسید.

طبق آمار ۸۹ درصد مواقع انگیزه‌ی مالی پشت ماجرا است، ولی ۱۰ از این حملات هم با هدف جاسوسی صورت می‌گیرد.

این حملات اغلب از طریق دسترسی معمولی به شبکه داخلی (LAN) انجام می‌شود، یعنی فرد به‌سادگی اطلاعاتی را کپی می‌کند که به آن‌ها دسترسی دارد. البته در حدود یک‌چهارم موارد این مشکل از طریق دسترسی از راه دور ایجاد شده است.

هم کسب‌وکارهای کوچک و متوسط و هم شرکت‌های بزرگ تقریباً با تهدیدات مشابهی روبه‌رو هستند؛ مثل سوءاستفاده از اطلاعات کاربری دزدیده‌شده (حدود ۳۲ تا ۳۳ درصد برای هر دو گروه).

این تفاوت به ما می‌گوید سازمان‌های بزرگ در تشخیص تهدیدات خارجی بهتر عمل می‌کنند، درحالی‌که کسب‌وکارهای کوچک‌تر منابع کمتری برای مقابله با تهدیدات پیشرفته دارند.

نگاهی دقیق‌تر به آمارها نشان می‌دهد که الگوها، روش‌ها و حتی عوامل پشت حملات در نقاط مختلف جهان یکسان نیستند. عواملی مانند سرعت رشد دیجیتال، قوانین محلی، وضعیت اقتصادی و سطح بلوغ امنیتی باعث می‌شوند هر منطقه با چالش‌ها و روندهای منحصر‌به‌فردی در زمینه‌ی امنیت سایبری مواجه باشد. در ادامه، برای درک بهتر این تفاوت‌ها، نگاهی به وضعیت سه منطقه‌ی کلیدی آسیا و اقیانوسیه، اروپا-خاورمیانه-آفریقا و آمریکای شمالی می‌اندازیم.

در آمریکای شمالی هم الگوهای اصلی علاوه بر مدل‌های رایج نفوذ به سیستم و مهندسی اجتماعی، دسته‌ی «همه‌ی چیزهای دیگر» (Everything Else) را هم شامل می‌شود، یعنی حملاتی که جزئیاتشان کمتر گزارش شده یا خاص بوده‌اند.

۹۱درصد از حملات توسط مهاجمان خارجی انجام شده و انگیزه‌ی اصلی مجرمان در ۹۵ درصد موارد مالی است. نکته‌ی جالب اینکه برخلاف دیگر مناطق، انگیزه‌ی جاسوسی در اینجا کمتر دیده می‌شود. به‌علاوه میزان نشت اطلاعات پزشکی در آمریکای شمالی بسیار بالاتر از سایر مناطق است، احتمالاً به‌خاطر حملات گسترده به بخش بهداشت و درمان و الزام مسئولین به گزارش‌دهی دقیق در این حوزه.

در مجموع آمریکای شمالی حملات بسیار متنوع‌تری را تجربه می‌کند، اما به دلیل بلوغ بیشتر راهکارهای امنیتی و آگاهی بالاتر، گزارش‌دهی شفاف‌تری از حوادث امنیتی دارد.

گزارش امسال ورایزن چشم‌انداز تهدیدات پویایی را منعکس می‌کند که در آن مهاجمان هم از تکنیک‌های پیشرفته، مانند آسیب‌پذیری‌های روز صفر و باج‌افزارهای پیشرفته استفاده می‌کنند و هم از ضعف‌های اساسی مانند رمزهای عبور ضعیف یا سرقت شده، خطای انسانی و پیکربندی‌های نادرست نهایت بهره را می‌برند.

ورایزن در پایان برای مقابله با تهدیدات امنیت دیجیتال روی راهکارهای زیر تأکید می‌کند:

• مدیریت قوی آسیب‌پذیری‌ها مخصوصاً روی دستگاه‌های لبه
• مراقبت از رمزهای عبور: استفاده از احراز هویت چندعاملی (MFA) و رصد نشت رمزها
• آموزش‌های امنیتی منظم، با تأکید بر گزارش‌کردن رفتارهای مشکوک
• مدیریت دقیق ریسک‌های ناشی از همکاری با شرکت‌های ثالث
• آماده‌بودن برای مقابله با بحران‌ها و ادامه‌ی فعالیت در شرایط اضطراری
• همکاری و اشتراک‌گذاری اطلاعات بین شرکت‌ها و نهادها

گرچه دنیای امنیت سایبری روزبه‌روز پیچیده‌تر می‌شود، اما با تمرکز بر موارد اساسی مانند به‌روزرسانی سیستم‌ها، آموزش کارکنان، استفاده از احراز هویت چندعاملی و نظارت دقیق بر شرکای تجاری، سازمان‌ها می‌توانند خطر بسیاری از این تهدیدات را کاهش دهند.