باج افزار 2025: ظهور نسل جدید تهدیدات سایبری که باید از آن ها بترسید!

با افزایش حملات باج افزاری در سال 2024، گروه‌های جدیدی پا به عرصه گذاشتند و RansomHub به عنوان پیشتاز این گروه‌ها شناخته شد. این گروه با سوءاستفاده از خلأ ایجاد شده پس از فروپاشی ALPHV، به سرعت در حال گسترش است. اما RansomHub تنها گروه جدید نیست و گروه‌های دیگری مانند Fog و Lynx نیز با روش‌ها و اهداف خاص خود در حال فعالیت هستند. پیش‌بینی می‌شود در سال 2025 شاهد رقابت شدیدتری بین این گروه‌ها و افزایش حملات باج‌افزاری باشیم.

به گزارش زوم تک از The Hacker News، در سال 2024، حملات باج‌افزاری جهانی به 5414 مورد رسید که نسبت به سال 2023، 11 درصد افزایش داشته است. پس از یک شروع آهسته، حملات در سه ماهه دوم افزایش یافت و در سه ماهه چهارم با 1827 حادثه (33 درصد از کل سال) به اوج خود رسید. اقدامات قانونی علیه گروه‌های بزرگی مانند LockBit باعث تکه تکه شدن شد و منجر به رقابت بیشتر و افزایش باندهای کوچک‌تر شد. تعداد گروه‌های باج‌افزار فعال 40 درصد افزایش یافت و از 68 گروه در سال 2023 به 95 گروه در سال 2024 رسید.

گروه‌های جدید باج افزاری که باید مراقب آن‌ها بود

در سال 2023 تنها 27 گروه جدید وجود داشت. سال 2024 شاهد افزایش چشمگیری با 46 گروه جدید شناسایی شده بود. با گذشت سال، تعداد گروه‌ها افزایش یافت و در سه ماهه چهارم سال 2024، 48 گروه فعال بودند. از میان 46 گروه جدید باج‌افزار در سال 2024، RansomHub به گروه غالب تبدیل شد و از فعالیت LockBit فراتر رفت. تیم تحقیقاتی Cyberint که اکنون یک شرکت Check Point است، دائماً در حال تحقیق در مورد جدیدترین گروه‌های باج‌افزار و تجزیه و تحلیل آن‌ها برای تأثیر بالقوه است. این وبلاگ به بررسی 3 بازیگر جدید، RansomHub، Fog و Lynx که قبلاً ذکر شد، می‌پردازد و تأثیر آن‌ها را در سال 2024 بررسی می‌کند و به ریشه‌ها و TTPهای آن‌ها می‌پردازد.

باج افزار Ransomhub

RansomHub به عنوان گروه پیشرو باج‌افزار در سال 2024 ظاهر شده است و از زمان شروع عملیات خود در فوریه 2024، 531 حمله را در سایت نشت داده خود اعلام کرده است. پس از اختلال FBI در ALPHV، RansomHub به عنوان «جانشین معنوی» آن تلقی می‌شود که به طور بالقوه شامل وابستگان سابق است. RansomHub که به عنوان باج‌افزار به عنوان سرویس (RaaS) فعالیت می‌کند، توافق‌نامه‌های وابسته سخت‌گیرانه‌ای را اجرا می‌کند و RansomHub پایبندی دقیق به توافق‌نامه‌های وابسته را اجرا می‌کند و عدم رعایت آن منجر به ممنوعیت و فسخ همکاری می‌شود. این گروه 90/10 تقسیم باج را ارائه می‌دهد، وابستگان/گروه اصلی. در حالی که RansomHub ادعای یک جامعه جهانی هکرها را دارد، از هدف قرار دادن کشورهای مستقل مشترک المنافع، کوبا، کره شمالی، چین و سازمان‌های غیرانتفاعی اجتناب می‌کند و ویژگی‌های یک تنظیم سنتی باج‌افزار روسی را نشان می‌دهد. اجتناب آن‌ها از کشورهای وابسته به روسیه و همپوشانی با سایر گروه‌های باج‌افزار روسی در شرکت‌های هدف، ارتباط احتمالی آن‌ها را با اکوسیستم جرایم سایبری روسیه بیشتر برجسته می‌کند. یافته‌های Cyberint در آگوست 2024 نشان دهنده نرخ پرداخت پایین است: فقط 11.2٪ از قربانیان (20 نفر از 190 نفر) پرداخت کرده‌اند، در حالی که مذاکرات اغلب تقاضاها را کاهش می‌دهد. RansomHub حجم حمله را بر نرخ‌های پرداخت اولویت می‌دهد و از گسترش وابسته برای اطمینان از سودآوری استفاده می‌کند، با هدف ایجاد درآمد قابل توجه در طول زمان علیرغم موفقیت کم در پرداخت‌های فردی.

بدافزار، مجموعه ابزار و TTPS

باج‌افزار RansomHub که در Golang و ++C توسعه یافته است، ویندوز، لینوکس و ESXi را هدف قرار می‌دهد که با رمزگذاری سریع آن متمایز می‌شود. شباهت‌ها با باج‌افزار GhostSec نشان دهنده یک روند است. RansomHub رمزگشایی رایگان را در صورتی تضمین می‌کند که وابستگان پس از پرداخت نتوانند آن را ارائه دهند یا سازمان‌های ممنوعه را هدف قرار دهند. باج‌افزار آن‌ها قبل از خروج از سیستم، داده‌ها را رمزگذاری می‌کند. پیوندهای احتمالی با ALPHV توسط الگوهای حمله پیشنهاد می‌شود، که نشان می‌دهد ابزارها و TTPهای مشابه می‌توانند مورد استفاده قرار گیرند. تحقیقات Sophos به موازات Knight Ransomware، از جمله محموله‌های زبان Go که با GoObfuscate مبهم شده‌اند و منوی خط فرمان یکسان، اشاره می‌کند.

باج افزار Fog

باج‌افزار Fog در اوایل آوریل 2024 ظاهر شد و با سوءاستفاده از اعتبارنامه‌های VPN دزدیده شده، شبکه‌های آموزشی ایالات متحده را هدف قرار داد. آن‌ها از یک استراتژی اخاذی مضاعف استفاده می‌کنند و در صورت عدم پرداخت قربانیان، داده‌ها را در یک سایت نشت مبتنی بر TOR منتشر می‌کنند. در سال 2024، آن‌ها به 87 سازمان در سطح جهان حمله کردند. گزارش Arctic Wolf از نوامبر 2024 نشان داد که Fog حداقل 30 نفوذ را آغاز کرده است که همگی از طریق حساب‌های VPN SonicWall به خطر افتاده‌اند. به طور قابل توجهی، 75٪ از این نفوذها با Akira مرتبط بودند و بقیه به Fog نسبت داده شدند که نشان دهنده زیرساخت مشترک و همکاری است. Fog در درجه اول آموزش، خدمات تجاری، مسافرت و تولید را هدف قرار می‌دهد و تمرکز آن بر ایالات متحده است. جالب اینجاست که Fog یکی از معدود گروه‌های باج‌افزاری است که بخش آموزش را به عنوان هدف اصلی خود در اولویت قرار می‌دهد.

باج‌افزار Fog سرعت نگران کننده‌ای را نشان داده است، به طوری که کوتاه‌ترین زمان مشاهده شده از دسترسی اولیه تا رمزگذاری تنها دو ساعت بوده است. حملات آن از یک زنجیره کشتار معمولی باج‌افزار پیروی می‌کند که شامل شمارش شبکه، حرکت جانبی، رمزگذاری و خروج از سیستم داده‌ها می‌شود. نسخه‌هایی از باج‌افزار برای هر دو پلتفرم ویندوز و لینوکس وجود دارد.

باج افزارLynx

Lynx یک گروه باج‌افزار اخاذی مضاعف است که اخیراً بسیار فعال بوده و بسیاری از شرکت‌های قربانی را در وب‌سایت خود به نمایش گذاشته است. آن‌ها می‌گویند که از هدف قرار دادن سازمان‌های دولتی، بیمارستان‌ها، گروه‌های غیرانتفاعی و سایر بخش‌های اجتماعی ضروری اجتناب می‌کنند. هنگامی که آن‌ها به یک سیستم دسترسی پیدا می‌کنند، Lynx فایل‌ها را رمزگذاری می‌کند و پسوند «.LYNX» را به آن‌ها اضافه می‌کند. آن‌ها سپس یک یادداشت باج به نام «README.txt» را در چندین دایرکتوری قرار می‌دهند. تنها در سال 2024، Lynx بیش از 70 قربانی را به خود اختصاص داد که نشان دهنده فعالیت مستمر و حضور قابل توجه آن‌ها در چشم انداز باج‌افزار است.

چه چیزی در سال 2025 در راه است؟

به دلیل سرکوب گروه‌های باج‌افزار، جدیدترین گروه‌های ثبت شده ظاهر شده‌اند که به دنبال ایجاد نامی برای خود هستند. در سال 2025، Cyberint پیش‌بینی می‌کند که چندین مورد از این گروه‌های جدیدتر قابلیت‌های خود را افزایش دهند و به عنوان بازیگران غالب ظاهر شوند، نه فقط RansomHub. گزارش باج‌افزار 2024 Cyberint، که اکنون یک شرکت Check Point است، را برای صنایع و کشورهای هدف برتر، تجزیه و تحلیل 3 گروه برتر باج‌افزار، خانواده‌های باج‌افزار قابل توجه، تازه واردان به صنعت، دستگیری‌ها و اخبار و پیش‌بینی‌های 2025 بخوانید.