به تازگی سایت VirusTotal گزارش خود را با عنوان Ransomware Activity Report منتشر کرده است.
به گزارش مرکز مدیریت راهبردی افتا، این سایت در ۱۶ سال گذشته، روزانه بیش از ۲ میلیون فایل ارسالی از ۲۳۲ کشور را بررسی و پردازش کرده است. 
سایت VirusTotal هر فایل ارسالی را توسط حدود ۷۰ ضدویروس بررسی کرده و گزارش شناسایی یا عدم شناسایی آن‌ها را در اختیار کاربر قرار می‌دهد.
در این گزارش، سایت VirusTotal فعالیت‌های باج‌افزارها را باتوجه ‌به فایل‌های ارسالی از سال ۲۰۲۰ که شامل بررسی ۸۰ میلیون نمونه باج‌افزار از ۱۴۰ کشور جهان بوده را تحلیل کرده است. 
نمودار زیر فهرست کشورهایی که بیشترین نمونه‌های باج‌افزاری را براب بررسی به این سایت ارسال کرده‌اند، نشان می‌دهد.

تمایزهای جغرافیایی قابل‌توجهی در نمودار فوق وجود دارد، البته به این معنا نیست که کشورهایی که بیشترین آمار فایل‌های ارسالی را در این نمودار دارند، بیشترین حمله در آن‌ها صورت‌گرفته است، محققان VirusTotal معتقدند آمار بیشتر می‌تواند مربوط به بسیاری از شرکت‌ها و ارسال خودکار فایل از آن‌ها باشد.
در نموداری از این گزارش به توزیع زمانی باج‌افزارهای جدید و باج‌افزارهای شناخته‌شده از ابتدای سال ۲۰۲۰ پرداخته شده است. این نمودار بیانگر این نکته است که با وجود این‌که مهاجمان سایبری در حملات خود از نمونه‌های جدیدی باج‌افزاری استفاده می‌کنند، بااین‌حال، با بررسی قله‌های نمودار کاملاً مشهود است که در سه‌ماهه اول سال ۲۰۲۱ اکثر حملات توسط باج‌افزارهای قدیمی صورت‌گرفته است.

به گزارش محققان VirusTotal، از ابتدای سال ۲۰۲۰، فعالیت باج‌افزارها در دو فصل اول آن سال در اوج خود بوده که آن را به فعالیت گروه باج‌افزاری GandCrab نسبت دادند. GandCrab با ۷۸,۵ درصد در اوایل ۲۰۲۰ در صدر حملات سایبری قرار داشت و پس از آن به طرز چشمگیری کاهش‌یافته و با آمار کمتری همچنان فعال است. Babuk نمونه قابل‌توجه دیگری است که با ۷.۶۱ درصد در جایگاه دوم این نمودار قرار گرفته است. 

محققان در این تحقیق، حداقل ۱۳۰ خانواده مختلف باج‌افزاری را شناسایی کرده‌اند. نمودار زیرخانواده باج‌افزارهای مورد بررسی در این تحقیق را نشان می‌دهد.

بر اساس این گزارش، حدود ۹۵ درصد از فایل‌های باج‌افزاری شناسایی شده از نوع PE_EXE  و PE_DLL بوده است. به نقل از VirusTotal این امر کاملاً منطقی است زیرا نمونه‌های باج‌افزاری معمولاً با استفاده از مهندسی اجتماعی و یا توسط فایل‌های فراخوانی‌کننده بدافزار (dropper) اجرا می‌شوند.
روش انتشار ۵ درصد از نمونه‌های بررسی شده، سوءاستفاده از آسیب‌پذیری‌های امنیتی بوده است. “افزایش سطح دسترسی” (Privilege Escalation)، “افشای اطلاعات” (Information disclosure) و “اجرای کد از راه دور” (Remote Execution) اصلی ترین نوع از این آسیب‌پذیری‌ها بوده‌اند.
در این گزارش این‌طور نتیجه‌گیری شده که فعالیت باج‌افزارها هرگز متوقف نمی‌شود و همواره بین ۱۰۰۰ تا ۲۰۰۰ دسته باج‌افزاری در طول بازه زمانی تحلیل فعال بوده‌اند.
مشروح گزارش VirusTotal در نشانی زیر قابل‌مطالعه است:https://storage.googleapis.com/vtpublic/vt-ransomware-report-۲۰۲۱.pdf
منابع:https://storage.googleapis.com/vtpublic/vt-ransomware-report-۲۰۲۱.pdf
https://www.zdnet.com/article/google-analysed-۸۰-million-ransomware-samples-heres-what-it-found/
https://www.theregister.com/۲۰۲۱/۱۰/۱۴/googles_virustotal_malware/(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)