درباره باج‌افزار AiLock چه می‌دانیم

AiLock یک عملیات باج‌افزار به‌عنوان سرویس (Ransomware-as-a-Service یا به اختصار RaaS) است که نخستین‌بار در مارس ۲۰۲۵ مورد شناسایی قرار گرفت. پژوهشگران امنیتی در شرکت Zscaler اعلام کردند که گروهی مجرم سایبری را شناسایی کرده‌اند که با تهدید، از سازمان‌ها باج‌خواهی می‌کنند.

شاید حدس بزنید تهدیدشان همان سناریوی تکراری باشد: «ما داده‌های شما را سرقت کرده و فایل‌های‌تان را رمزگذاری کرده‌ایم — اگر پول ندهید، اطلاعات‌تان را در دارک‌وب منتشر می‌کنیم.» درسته؟

بله، این تهدید هم مطرح بود. اما مهاجمان در یادداشت باج‌خواهی که در قالب فایلی به نام ReadMe.txt در هر پوشه آسیب‌دیده قرار می‌دادند، تهدید دیگری را هم اضافه کرده بودند.

آن تهدید دیگر چه بود

AiLock اعلام می‌کند که اگر قربانی حاضر به پذیرش خواسته‌هایشان نباشد، موضوع نقض داده را به نهادهای نظارتی اطلاع خواهند داد و همچنین رقبای تجاری شرکت را از طریق ایمیل و شبکه‌های اجتماعی باخبر می‌کنند:

«تمام کشورها قوانین خاص خود را در زمینه حفاظت از داده‌های شخصی (PDPL) دارند. در صورتی که با ما همکاری نکنید، اطلاعات مربوط به شرکت شما و داده‌های مشتریانتان در اینترنت منتشر خواهد شد و به نهاد نظارتی مربوط به حفاظت از داده‌های آن کشور اطلاع داده می‌شود.»

خباثت‌بار است! یعنی از ترس شرکت‌ها نسبت به پیگردهای قانونی سوءاستفاده می‌کنند…

دقیقاً، یا اینکه نگران‌شان می‌کنند که رقبا از این افشاگری برای ضربه زدن به اعتبار تجاری‌شان بهره‌برداری کنند. افشای داده‌های حساس شرکت یا مشتریان در دارک‌وب به اندازه کافی فاجعه است، اما بدتر آن است که در کنار آن گرفتار مشکلات قانونی یا بحران اعتبار نیز بشوید.

AiLock چه ضرب‌الاجلی برای پاسخ می‌دهد؟

این باج‌افزار به قربانیان فقط ۷۲ ساعت مهلت می‌دهد تا به پیام اولیه پاسخ دهند. پس از آن، پنج روز فرصت دارند تا مبلغ درخواستی را پرداخت کنند:

«در صورت عدم انجام این کار، داده‌های شما منتشر و ابزار بازیابی نابود خواهد شد.»

اگر باج پرداخت شود چه اتفاقی می‌افتد؟

AiLock وعده می‌دهد که اگر مبلغ باج پرداخت شود:

• همه چیز محرمانه باقی می‌ماند،

• لاگ‌هایی ارائه می‌شود که نشان دهد داده‌های سرقت‌شده حذف شده‌اند (به‌ظاهر برای اطمینان‌بخشی)،

• و حتی مشاوره‌های امنیتی تخصصی برای تقویت زیرساخت‌های IT شرکت به شما ارائه می‌شود!

خیلی «سخاوتمندانه» است (!) اما آیا می‌شود به آن‌ها اعتماد کرد؟

به مجرمی که قانون‌شکنی کرده، وارد سیستم شما شده، داده‌ها را قفل کرده و درخواست پول کرده، تا چه حد می‌توان اعتماد کرد؟

نکته مهمی است. البته از منظر تجاری هم، برای گروه‌های باج‌افزاری منطقی نیست که به وعده‌هایشان عمل نکنند. چون اگر مشخص شود که پرداخت باج هم مانع انتشار اطلاعات یا بازگرداندن کلید رمزگشایی نمی‌شود، دیگر کسی تمایلی به پرداخت نخواهد داشت.

در نهایت، این گروه‌ها به‌دنبال پول هستند. هرچند هیچ تضمینی نیست که پس از پرداخت باج به وعده‌هایشان عمل کنند، اما در بلندمدت نقض این اعتماد برای خودشان هم ضرر دارد.

چطور بفهمم سیستمم آلوده به AiLock شده است؟

• وجود فایل ReadMe.txt در پوشه‌های مختلف سیستم به‌عنوان یادداشت باج‌خواهی،

• تغییر پسوند فایل‌های رمزگذاری‌شده به .ailock،

• تغییر آیکون این فایل‌ها به قفل سبز با عبارت AiLock در آن،

• تغییر تصویر پس‌زمینه دسکتاپ به لوگوی AiLock که جمجمه‌ای ربات‌ مانند و زاویه‌دار در میان خطوط قرمز و صورتی‌مانند مدارهای الکترونیکی است.

شرکت‌ها چطور می‌توانند از خود محافظت کنند؟

سازمان‌هایی که نگران هدف قرار گرفتن توسط AiLock هستند، باید توصیه‌های عمومی برای مقابله با حملات باج‌افزاری را جدی بگیرند، از جمله:

• فعالسازی احراز هویت چندمرحله‌ای (MFA) برای تمامی نقاط دسترسی از راه دور،

• غیرفعال کردن دسترسی‌های RDP یا VPN استفاده‌ نشده،

• استفاده از فهرست‌های مجاز IP یا محدودسازی جغرافیایی (Geo-fencing) در صورت امکان.

همچنین موارد زیر به‌عنوان اقدامات پایه‌ای پیشگیرانه توصیه می‌شود:

• تهیه نسخه پشتیبان امن و خارج از شبکه (off-site)،

• به‌روزرسانی مداوم نرم‌افزارهای امنیتی و نصب وصله‌های امنیتی برای رفع آسیب‌پذیری‌ها،

• استفاده از پسوردهای قوی و منحصربه‌فرد و فعالسازی MFA برای محافظت از داده‌های حساس و حساب‌های مهم،

• رمزنگاری داده‌های حساس در صورت امکان،

• کاهش سطح حمله با غیرفعال کردن قابلیت‌هایی که واقعاً نیازی به آن‌ها نیست،

• آموزش و آگاه‌سازی کارکنان در مورد تهدیدات سایبری و شیوه‌های متداول حمله و سرقت اطلاعات.

منبع: https://www.fortra.com/blog/ailock-ransomware