مدل‌سازی اقتصادی تاثیر محدودسازی بازار رمز ارز بر حملات باج‌افزاری

نوع مقاله : مقاله پژوهشی

نویسندگان

1 استادیار گروه مهندسی کامپیوتر، دانشگاه بجنورد، بجنورد، ایران

2 کارشناس فناوری اطلاعات، بجنورد، ایران

10.30495/eco.2021.1907003.2406

چکیده

هدف این مقاله تبیین اقتصادی حملات باج‌افزاری و ارزیابی تاثیر متغیرهای اقتصادی بر خسارات ناشی از آن‌هاست. نتایج رویکرد میدانی نشان داد رابطه میان سود گروه مهاجم و خسارات ناشی از حمله، غیرخطی و دارای بیشینه‌ و کمینه‌هایی محلی بوده و هرگونه اقدام متقابل در پاسخ به این حملات باید با دقت کافی در عواقب آن از منظر اقتصادی صورت گیرد؛ به بیان روشن‌تر، اگرچه تابع خسارت ناشی از باج‌افزار، نسبت به مبلغ باج کاملا صعودی است؛ اما، تابع سود مهاجم، رفتاری غیریک‌نوا داشته و به این ترتیب، به ازای هر میزان سود، ممکن است، مهاجم با مطالبه مبالغ متفاوتی از باج به هدف خود برسد. بدین ترتیب، نشان داده شده است که عدم اتخاذ سیاست‌های کلان که ممکن است مهاجم را به سمت مطالبه مبالغ باج خسارت‌بارتر سوق دهد، از حساسیت تصمیم‌گیری بیش‌تر و پیامدهای مهم‌تری برخوردار خواهد بود.

کلیدواژه‌ها


1.‌ مقدمه

حملات سایبری و گروه‌های تبهکار در فضای تبادل اطلاعات سابقه‌ای طولانی دارند؛ اما در سال‌های اخیر با رشد و توسعه فناوری‌های مرتبط با حوزه رمزنگاری و توسعه آن به تبادلات امن مالی و ارتباطات غیرقابل پیگرد در شبکه، بدافزارهایی که از آنها به عنوان باج‌افزار یاد می‌کنیم، متولد شدند. «باج‌افزار[1]» اصطلاحی کلی برای توصیف نوعی بدافزار است که برای باج‌گیری دیجیتالی از قربانیان و مجبور کردن ایشان به پرداخت مبلغ مشخصی پول و به ندرت انجام کاری ناخواسته، طراحی شده‌است (گازت[2]، 2010).

به طور کلی، ‌این شکل از باج‌گیری دیجیتال را می‌تو‌ان به دو گروه تقسیم کرد؛ نوع اصلی باج‌افزارها شامل گروهی از بدافزارهاست که فایل‌ها را رمزگذاری و ناخو‌انا کرده یا دسترسی به‌ آنها را ناممکن می‌کنند. گروه دیگری از باج‌افزارها که امروزه، کم‌تر شیوع دارند، دسترسی به سیستم ‌عامل را محدود می‌کند یا کاربر‌ان را از دسترسی به سیستم‌های خود باز می‌دارند (لیسکا و گالو، 1396).

روش انتقال ارزش و پرداخت باج که امروزه اکثر باج‌گیرهای دیجیتالی درخواست می‌کنند، مبتنی بر استفاده از پول رمزپایه است و معمولا بیت کوین به این منظور به کار می‌رود. البته شایان ذکر است که ‌این تنها روش درخواست پول نیست و هر روش انتقال ارزش که هویت دریافت‌کننده را مخفی نگاه دارد، در این حملات می‌تواند به کار گرفته شود (همان).

برخلاف گذشته، باج‌افزارهای امروزی دیگر متکی بر روش‌های رمزنگاری قابل شکست نیستند. در گذشته، در حملات باج‌افزاری برای رمزگذاری از روش کلید متقارن استفاده می‌شد و متخصصان فرصت دست پیدا کردن به کلید و شکست دادن مهاجم را می‌یافتند (لو و لیائو[3]، 2007).

برخی از باج‌افزارها، پس از رمزدار کردن فایل‌ها، نسخه فایل رمزدار نشده را به طور معمول و قابل بازگشت، پاک می‌کردند؛ اما، امروزه دیگر تقریبا تمام باج‌افزارها از روش‌های پیشرفته رمزنگاری نامتقارن و ترکیبی استفاده می‌کنند و هیچ ردپایی از اطلاعات رمزدار نشده یا برجای گذاشتن کلید رمز باقی نمی‌گذارند (لیسکا و همکاران، 1396).

رشد و توسعه این خانواده از بدافزارها و موفقیت مهاجمان در استخراج منابع مالی چشم‌گیر از این حوزه، سبب شده تا امواج جدیدی از انواع حملات باج‌افزاری را شاهد باشیم (خراز، ارشد، مولینر، روبرتسون و کردا[4]، 2016).

روند نامیمون دیگری که در سایه حملات باج‌افزاری مشاهده می‌شود، انجام حملات با نیت‌های غیرباج‌خواهانه در پوشش حملات باج‌افزاری است. شاهد‌هایی از این موضوع، باج‌افزارهای واناکرای و پتیای جدید هستند که در سال‌های اخیر سبب‌ ایجاد خساراتی گسترده شده و در واقع، حملاتی با نیت‌های سیاسی در پوشش باج‌افزار هستند (لازکا، فرهنگ و گراسکلگس[5]، 2017).

دلیل این‌ که حملاتی با سایر مقصودها در پوشش حملات باج‌افزاری پنهان می‌شوند، ذات و ماهیت حملات باج‌افزاری است که با اتکا به رمزنگاری، تعقیب و تشخیص مبدا و منشاء حملات را ناممکن یا حداقل دشوار می‌کند. مشاهده روند فزاینده انجام حملات موفق، این نگرانی را تقویت می‌کند که در آینده شاهد حملاتی بسیار گسترده و خسارت‌‌بار در سطح جهان باشیم (آی‌بی‌ام[6]، 2016).

برای موفقیت یک حمله باج‌افزاری نیاز است تا شرایطی به شرح زیر به صورت هم‌زمان رخ دهند: ارزشمندی داده‌ها یا سرویس‌ها، وجود و امکان استفاده از روش‌های رمزگذاری قدرتمند، امکان انتقال ارزش و دریافت باج به صورت ناشناس، امکان دسترسی آسان قربانی به روش پرداخت باج، وجود کانال ارتباطی ناشناس بین مهاجم و قربانی و عدم وجود نسخ پشتیبان سالم از اطلاعات.

طبیعی است که برای به شکست کشاندن حمله، کافی است تا حداقل یکی از این شرایط نقض گردد (مثلا، امکان انتقال ناشناس ارزش). از آنجا که اخیرا در رسانه‌ها و حتی مجامع فنی، بحث‌هایی در مورد ایجاد منع قانونی در تبادل ارزهای رمزپایه در سطح کشورهای مختلف صورت گرفته است (کتابخانه حقوقی کنگره[7]، 2018) این نوشتار برآن است تا با تکیه بر تجارب و داده‌های حاصل از فرآیندهای امدادی در مقابله با حملات باج‌افزاری، به مدل‌سازی اقتصادی انواع حملات باج‌افزاری بپردازد و از این طریق بتواند مسیر مقابله با این حملات از منظر مدیریت بازار رمز ارزها را روشن نماید. در این مسیر، در وهله نخست، مختصری از تاریخچه موضوع ارایه شده است. پس از آن با بررسی و دسته‌بندی گام‌های این حملات، به معرفی مدل اقتصادی حملات باج‌افزاری پرداخته شده است. در ادامه با تکیه بر اطلاعات به دست ‌آمده در فرایندهای امدادی و آموزشی، مدل‌های‌ معرفی شده به کار گرفته شده‌اند. پس از این مرحله، نتایج به دست آمده تحلیل شده‌اند و دست‌آوردهای عملی پژوهش معرفی شده‌اند. در انتها با ارایه خلاصه‌ای از پژوهش، به جمع‌بندی و ترسیم مسیر آینده این مطالعه پرداخته شده است.

 

2.‌ مروری بر ادبیات

از لحاظ تاریخی، تولد مفهوم باج‌افزار به تولد قطعه کدی مخرب به نام AIDS برمی‌گردد که در سال ۱۹۸۹ توسط جوزف پاپ نوشته شد. با بررسی‌های بیش‌تر این بدافزار توسط متخصصان امنیت، آشکار شد که در سیستم‌های آلوده، صرفا نام فایل‌ها با استفاده از رمزگذاری با کلید متقارن تغییر یافته است که سرانجام، با مساعی متخصصان، الگوریتم ناقص رمزنگاری و آلودگی ‌ایجاد شده، شکسته و محو شد (لیسکا و همکاران، 1396).

با شکست این حمله و عدم دست‌یابی به منابع حاصل از آن (که بر فرض محدودیت فنی و تکنولوژیکی تاکید داشت) تا سال 2005 اثری از این حملات نبود. در دسترس قرار گرفتن روش‌های رمزگذاری پیچیده‌تر به همراه افزایش قدرت محاسباتی سیستم‌ها، امکانات لازم را برای استفاده از باج‌افزارها توسط مهاجمان ‌ایجاد کرد و سبب رشد فزاینده آن‌ها گردید (لیائو، ژائو، دوپه و آن[8]، 2016). در سال 2016 باج‌افزارها با تکیه بر حداقل آسیب‌پذیری‌ها و کم‌ترین ارتباط با هدف، به عنو‌ان یکی از متداول‌ترین روش‌های حمله به سیستم‌های کامپیوتری مطرح شدند (لازکا و همکاران، 2017).

یکی از شناخته شده‌ترین نمونه باج‌افزارها، کریتپووال[9] می‌باشد. این باج‌افزار در حال حاضر منسوخ شده است؛ اما، بنابر گزارش‌ها، تا اواسط ژوئن 2015 به طور برآوردی، درآمدی در حدود 18 میلیون دلار در برداشته است (لیسکا و همکاران، 1396).

باج‌افزارهای واناکرای (ویکی‌پدیا[10]، 2017) و پتیای جدید (فایی[11]، 2018) در سال‌های اخیر، آسیب‌هایی جدی و خساراتی شدید در سطح جهان ایجاد کردند و حتی سبب به خطر افتادن جان انسان‌ها، وقفه در خدماتِ درمانی، خسارت‌های اقتصادی هنگفت، قطع خدمات عمومی انرژی و حمل و نقل و بحران‌های غیرقابل پیش‌بینی شده و موجب افزایش سطح نگرانی‌ها از امنیت دنیای سایبری شده‌اند. البته این دو باج‌افزار برخلاف سایر باج‌افزارها به نظر می‌رسد که با نیت‌هایی غیر از باج‌خواهی طراحی و منتشر شده باشند. هم‌چنین، میزان پیچیدگی این دو، بیش‌تر از توان فنی بدافزارنویسان معمولی به نظر می‌رسد (لازکا و همکاران، 2017).

تصور رایج در مورد صنعت باج‌افزار، آن را صنعتی بسیار سودآور با هزینه نزدیک به صفر و قابل اغماض می‌دانند که می‌تواند برای دنیای فناوری اطلاعات بسیار خطرناک باشد (لیسکا و همکاران، 1396). هم‌چنین، در برخی منابع، سودآوری زیاد این حملات را دلیل رشد سرسام‌آور این حملات معرفی می‌کنند (لازکا و همکاران، 2017).

هزینه یک حمله باج‌افزاری می‌تواند در مقایسه با درآمدهای ناشی از آن بسیار ناچیز باشد؛ زیرا برای انجام حمله از چند روش مختلف استفاده می‌شود که در تمامی آنها هزینه حمله در عمل بسیار اندک بوده و منجر به ایجاد درآمدهای زیاد می‌شود (خراز، روبرتسون، بالزاروتی، بلج و کردا[12]، 2015).

در روش استفاده از هرزنامه برای توزیع باج‌افزار، با هزینه کم‌تر از چند دلار، مهاجمان می‌‌توانند میلیون‌ها پیام فریبنده و آلوده بفرستند و کافی است که فقط حتی یک درصد از افراد این ایمیل‌های آلوده را دریافت و فایل مخرب پیوست را اجرا کنند تا مهاجم به درآمد چندین هزار دلاری برسد. در روش آلوده کردن وب‌سایت‌های قانونی به بدافزار منتشرکننده باج‌افزار، انتشار باج‌افزار با اتکا بر زیرساخت وب‌سایت‌های پرمخاطب که مورد نفوذ مهاجمان قرار گرفته‌اند، انجام می‌گیرد و می‌توان اطمینان داشت که در عمل، مهاجمان هزینه‌ای مستقیم برای به دست آوردن سود ناشی از حمله متحمل نمی‌شوند. در مورد حملات متکی بر توزیع خودکار از طریق آسیب‌پذیری سیستم عامل، مثل واناکرای، مهاجم عملا هیچ هزینه‌ای برای توزیع باج‌افزار نمی‌پردازند؛ با اتکا بر روش انتشار کرم‌گونه، توزیع بدافزار توسط رایانه‌هایی که مورد تسخیر و آلودگی قرار گرفته‌اند، انجام می‌پذیرد (لیسکا و همکاران، 1396).

در این پژوهش، برای مدل‌سازی خسارات و تهدیدهای ناشی از حملات باج‌افزاری، از نظریه «طراحی ساز و کارهای اقتصادی[13]» استفاده شده است (هورویکز و ریتر[14]، 2006). به بیان دقیق‌تر، با تطبیق دادن شرایط مساله با ساز و کارهای شناخته ‌شده، به ارایه مدل اقتصادی حملات پرداخته شده است (گوروسوامی و همکاران[15]، 2005). کاربرد این نظریه، طیف کاملی از مسایل از اقتصاد خرد تا اقتصاد کلان را شامل می‌شود و مثال‌های فراوانی از این کاربردها در منابع علمی گزارش شده است (ویکی‌پدیا، 2019).

با توجه به ساختار و شرایط حملات باج‌افزاری، مهاجم با تعیین و بهینه‌سازی میزان باج مطالبه شده به دنبال بیشینه کردن درآمد و سود خود می‌باشد (هرناندز کاسترو، کارترایت و کارترایت[16]، 2020). بر اساس سوابق، در حملات باج‌افزاری معمولا مهاجمان برای انجام این نوع از نفوذ، هزینه‌های قابل توجهی متحمل نمی‌شوند (هرناندز کاسترو و همکاران، 2020). به این ترتیب، می‌توان سمت هزینه در تابع سود مهاجم را به طور تقریبی، صفر دانست.

در مراجع، به عنوان ساز و کارهای بیشینه‌کننده سود، به دو گروه از حراج‌ها اشاره می‌شود. گروه اول از حراج‌های بیشینه‌کننده سود[17]، بر اطلاعات و دانش پیشین از میزان ارزش اطلاعات تکیه نمی‌کند[18]؛ بلکه طرف فروشنده (مهاجم) در یک ساز و کار راستگو[19] از خریداران (قربانیان) می‌خواهد که برای دریافت خدمت یا محصول (بازگشایی اطلاعات) قیمتی را پیشنهاد دهند (گوروسوامی و همکاران، 2005). پس از آن با انجام یک بهینه‌سازی ساده، قیمت بهینه و بیشینه‌کننده سود تعیین می‌شود.

اما، به طور طبیعی و با توجه به ساختار حمله باج‌افزاری که در آن، مهاجم بدون سوال از قربانی، قیمت باج را تعیین می‌نماید، می‌توان این رویکرد را با مکانیسم حراج نخستین در تضاد دانست.

 رویکرد دیگر که «روش مبتنی بر اطلاعات پیشین» نام دارد؛ با توجه به ساختار اقتصادی موضوع، منطبق با مکانیسم حراج یاد شده است. از میان ساز و کارهای بیشینه‌کننده سود، آن دسته که در آنها، هزینه تولید یا ارایه خدمات، قابل اغماض می‌باشد، در گروه حراج‌های بیشینه‌کننده سود محصولات و خدمات دیجیتال[20] دسته‌بندی می‌شوند (گلدبرگ و هارتلاین[21]، 2003). در مراجع برای تعیین قیمت بهینه در این ساز و کارها، اثبات شده است که می‌توان بر روش «میرسون[22]» تحت شرایط مزایده محصولات دیجیتال تکیه نمود (نوام، رافگاردن و تاردوس[23]، 2007).

در این پژوهش، با مدل‌سازی ریاضیات حاکم بر اقتصاد مساله پیشِ رو و با اتکا بر سازوکارهای بیشینه‌کننده سود در بازار محصولات دیجیتال و نیز با ارزیابی مدل‌های ارایه شده با اتکا بر داده‌های حاصل از پژوهش‌های میدانی، تاثیر اعمال ممنوعیت در انتقال و تبادل ارزهای رمزپایه، مورد بررسی قرار گرفته و نشان داده شده است که اگرچه یک پیش‌نیاز اساسی در موفقیت حملات باج‌افزاری، وجود راهی برای تبادل ناشناس ارزش می‌باشد؛ اما این سیاست می‌تواند در شرایطی برعکس عمل کند و سبب افزایش خسارت کلی حمله و دیگر عواقب نامطلوب شود. نوآوری این پژوهش این است که تاکنون هیچ مطالعه مستندی در این حوزه، در ایران، به انجام نرسیده است.

 

3.‌ روش پژوهش

در این پژوهش برای مدل‌سازی یک حمله باج‌افزاری (مانند RWA) از متغیرهای جدول (1) استفاده شده است. در یک حمله باج‌افزاری، مهاجم یا گروه تبهکار سایبری، با روشی مثل ارسال هرزنامه حاوی پیوست یا پیوند مخرب، آلوده کردن وب‌سایت‌های پر مراجعه به کد مهاجم، انتشار کدهای دارای توان نفوذ با اتکا بر نقاط ضعف قبلا شناخته شده سیستم‌عامل‌ها و نرم‌افزارها، گروهی مانند THR از رایانه‌ها را در معرض حمله قرار می‌دهد. زیرمجموعه‌ای از THR چون EDG به دلیل کاستی خود یا کاربران در پیشگیری از حمله، در معرض خطر قرار می‌گیرند و زیرمجموعه‌ای چون DMG از آنها، با موفقیت نفوذ، آسیب می‌بینند و فایل‌های موجود در آنها رمزگذاری شده و از مالکان آنها باج‌ مطالبه می‌شود.

از مجموعه DMG زیرمجموعه‌ای چون VCM از سامانه‌هایی که در آنها تمامی شرایط موفقیت حمله باج‌افزاری برقرار است، از جمله ارزش‌مندی خدمات و اطلاعات و در اختیار نداشتن نسخ پشتیبان یا طرح جامع بازگشت از تخریب، خود را در شرایطی خواهند یافت که مجبورند بین دو گزینه پرداخت باج و احتمالا، بازپس گرفتن دارایی‌های الکترونیکی خود یا رد کردن تقاضای پرداخت باج و تحمل کردن خسارات ناشی از حمله، دست به انتخاب بزنند. این دو مجموعه با نمادهای RPV و LDV نشان داده شده‌اند. مهاجم(ها) از هریک از قربانیان حمله یعنی vϵVCM عددی چون rv را به عنوان باج مطالبه می‌کنند.

 

جدول 1. متغیرهای استفاده شده در مدل‌سازی اقتصادی حملات باج‌افزاری

متغیر

مفهوم

RWA

یک حمله باج‌افزاری

(RansomWare Attack)

THR

مجموعه رایانه‌های در معرض تهدید قرار گرفته در حمله

 (THReatened)

EDG

مجموعه رایانه‌های مورد نفوذ قرار گرفته در حمله

 (EnDanGered).

DMG

مجموعه رایانه‌های آسیب دیده از حمله

 (DaMaGed)

VCM

مجموعه رایانه‌های قربانی حمله

 (ViCtiM)

RPV

مجموعه رایانه‌های قربانی حمله که باج را پرداخت می‌کنند

 (Ransom Paying Victims)

LDV

 

مجموعه رایانه‌های قربانی حمله که باج را پرداخت نمی‌کنند.

 (Lost Data Victims)

v

یکی از قربانیان حمله

                                                                                   (عضو VCM)

rv

میزان باج مطالبه شده از قربانی v در حمله

r

میزان باج مطالبه شده از قربانیان حمله

 (Ransom)

SEVv

میزان ارزش دارایی‌های به گروگان گرفته شده از سوی مهاجم که توسط قربانی فرضی تخمین زده می‌شود.

CEVv

میزان ارزش دارایی‌های به گروگان گرفته شده از سوی مهاجم که با پردازش اطلاعات ارایه شده از سوی قربانی فرضی محاسبه می‌شود.

RVNRWA

درآمد حاصل از حمله

 RWA (ReVeNue)

PRFRWA

سود خالص حاصل از حمله  

RWA (PRoFit)

CSTRWA

هزینه صرف شده برای حمله

 RWA (CoST)

TDGRWA

خسارت کل تحمیل شده به اعضای مجموعه DMG در حمله RWA

(Total DamaGe)

TLDRWA

خسارت تحمیل شده به اعضای مجموعه VCM در حمله RWA که باج را نپرداختند.

(Total Loss Damage)

TVSRWA

کل خسارت ایجاد شده در اثر خرابکاری ناشی از حمله RWA

(Total Value of Sabotage)

          منبع: گردآوری محقق

 

در یک حمله باج‌افزاری، تعداد قربانیان معمولا بیش از آن است که مهاجم فرصت لازم برای کسب شناخت از زیرساخت‌های آنها را داشته باشد؛ بنابراین، مهاجم نمی‌تواند میزان بهینه باج بر اساس ارزش دارایی‌های به گروگان گرفته شده را تعیین کند. هم‌چنین، مهاجم معمولا به منظور حداقل کردن احتمال شناسایی و تعقیب قضایی، تمایل چندانی به برقراری ارتباط خارج از چارچوب حمله یا حتی مذاکره با قربانی بر سر موضوع تعیین میزان باج ندارد؛ از این‌رو، معمولا عدد یکسان و ثابتی به عنوان مبلغ باج درخواستی، برای تمام قربانیان تعیین و مطالبه می‌شود. برای این موضوع اگرچه، به ندرت، مثال‌های نقض یافت می‌شود؛ اما، در محاسبات می‌توان موارد نقض را برای رسیدن به یک مدل قابل اتکا نادیده گرفت.

در افراز مجموعه VCM به RPV  و LDV، متغیر r  که میزان باج مطالبه شده از سوی مهاجم می‌باشد و میزان ارزش دارایی‌های به گروگان گرفته شده از سوی مهاجم که توسط قربانی تخمین زده می‌شود و با SEVv نشان داده شده است، نقش کلیدی را بر عهده دارند.

(1)

 

بنابراین؛

 

(2)

 

به عبارت دیگر، مهاجم با تعیین مبلغ باج مطالبه شده، سبب تقسیم مجموعه قربانیان به این دو مجموعه می‌شود. قربانیان با رفتاری استراتژیک، در صورتی که ارزش اطلاعات خود را بیش از مبلغ باج مطالبه شده بدانند، پرداخت باج را یک سیاست غالب اقتصادی خواهند یافت؛ در این صورت، در مجموعه RPV قرار گرفته و مبلغ باج برابر با r را خواهند پرداخت و در غیر این صورت، در مجموعه LDV قرار گرفته و متحمل خسارت مساوی با ارزش اطلاعات و خدمات از دست رفته خود می‌شوند.

نکته کلیدی که در فرایندهای امدادی مشاهده می‌شود؛ این است که الزاما، قیمت مورد تصور قربانیان برای ارزش اطلاعات و تنظیمات سامانه‌ها، مساوی با ارزش واقعی این دارایی‌ها نمی‌باشد؛ به بیان دیگر، می‌توان نمونه‌هایی را مشاهده کرد که قربانیان با وجود آن که خسارات وارد شده به ایشان بیش از مبلغ باج مطالبه شده است؛ اما، درخواست پرداخت باج را نپذیرفته و متحمل خساراتی درشت‌تر از باج مطالبه شده می‌شوند. این مشاهده می‌تواند در اثر این واقعیت رخ دهد که پس از وقوع حمله، دیگر برای بسیاری از قربانیان، امکان تعیین قیمت واقعی آنچه که از دسترس خارج شده است، وجود ندارد. این مقدار برای هر قربانی مفروض با متغیر CEVv نشان داده شده است. بنابراین، کل خسارت وارده در حمله RWA برابر با مجموع ارزش واقعی پذیرفتن آسیب یا پرداخت باج به ازای تمامی رایانه‌های آسیب دیده از حمله (DMG) می‌باشد که با نماد TDGRWA نشان داده می‌شود.

در تعیین r، مهاجم به دنبال بیشینه کردن سود خود می‌باشد. بر اساس سوابق، در حملات باج‌افزاری معمولا برای به دست آوردن راه نفوذ به سامانه قربانی از روش‌های نو در نفوذ یا به عبارتی، آسیب‌پذیری‌های روز صفر که تهیه آن‌ها هزینه‌های قابل توجه دربر دارد، استفاده نمی‌شود (لیسکا و همکاران، 1396)؛ بلکه از آسیب‌پذیری‌های شناخته شده که برای آن‌ها روش‌های پیشگیری مناسب و به‌روزرسانی موثر منتشر شده است و البته برخی از کاربران با سهل‌انگاری، آن وصله‌ها و به‌روزرسانی‌ها را نادیده گرفته‌اند، یا روش‌های دیگری چون شنود یا کشف رمز ورود به سامانه‌های دارای قابلیت دسترسی از راه دور یا مهندسی اجتماعی و فریفتن کاربران برای نصب تکه برنامه‌های مخرب پیوست شده به هرزنامه‌ها، استفاده می‌شود. انجام این نوع از نفوذ هزینه‌های قابل توجهی در بر ندارد.

سایر مراحل حمله نیز با اتکا به امکانات نرم‌افزاری و سخت‌افزاری قربانی انجام می‌گیرد. معمولا، رمزگذاری اطلاعات با اتکا بر توابع شناخته شده رمزنگاری موجود در سامانه قربانی انجام می‌شود. در پردازش رمزکردن اطلاعات از سخت‌افزار قربانی و در صورت نیاز، در تبادل اطلاعات با سرورهای فرماندهی، از پهنای باند سامانه قربانی سوء استفاده می‌شود. به این ترتیب، می‌توان سمت هزینه در تابع سود مهاجم را به طور تقریبی، صفر دانست. به این ترتیب، اگر درآمد حاصل از حمله RWA را با RVNRWA نشان دهیم و از نماد PRFRWA برای نشان دادن سود و از نماد CSTRWA برای نشان دادن هزینه حمله RWA استفاده کنیم، داریم؛

(3)

           
                                                           

 

همان طور که در مورد ساز و کارهای بیشینه‌کننده سود به حراج‌ها اشاره شد؛ در رویکرد نخست، مهاجم، خود را بی‌نیاز از میزان ارزش اطلاعات می‌بیند و در رویکرد دوم، مهاجم بر روش مبتنی بر اطلاعات پیشین تکیه می‌کند. در رویکرد دوم، برای تعیین قیمت بهینه در این سازوکارها، از روش Myerson تحت شرایط مزایده محصولات دیجیتال استفاده می‌شود؛

(4)

                               

 

که در رابطه (4)، r مقدار بهینه پیشنهاد شده از سوی مهاجم را نشان می‌دهد. توابع CDF و pdf، به ترتیب، معرف تابع توزیع تجمعی و تابع توزیع احتمال متغیرr هستند. در نتیجه، بر اساس مطالعه نوام و همکارن (2007) با یافتن نقطه صفر در معکوس تابع «میرسون» که با (ϕ-1(0 نشان داده شده، می‌توان به مقدار بهینه r در این مزایده دست یافت.

روشن است که در این مدل، مهاجم نیاز به دانستن توزیع آماری ارزش اطلاعات برای کاربران دارد. دست یافتن به این توزیع آماری، امری چالش‌برانگیز بوده و بعید به نظر می‌رسد که مهاجم بتواند منابع فنی و زمانی مورد نیاز برای رسیدن به این دانش را به دست بیاورد؛ در عوض، بر اساس مشاهدات می‌توان گفت که مهاجمان با تکیه بر تجارب گذشته و سعی و خطا در تغییر دادن مقدار باج در حملات متوالی به دنبال بیشینه کردن سود (درآمد) خود خواهد بود.

با تعیین و مشخص شدن مقدار باج r، آن دسته از قربانیان که در مجموعه RPV قرار می‌گیرند، در مجموع به اندازه رابطه (5) به مهاجم می‌پردازند و احتمالا اطلاعات به گروگان گرفته شده خود را باز پس می‌گیرند. رابطه (5) عبارت است از:

(5)

 

 

اعضای مجموعه LDV نیز به اندازه رابطه (6) متحمل خسارت می‌شوند. رابطه (6) در زیر آورده شده است.

(6)

 

 

در رابطه (6)، TLDRWA نشان‌دهنده خسارت ناشی از از دست رفتن اطلاعات و تنظیمات آن دسته از قربانیان است که باج‌ را پرداخت نکرده‌اند. هم‌چنین، به میزان ارزش واقعی اطلاعات قربانیانی که باج را پرداخته‌اند از بروز خسارت جلوگیری شده است.

مهاجم از یک‌سو، موفق به دریافت مبلغ RVNRWAاز قربانیان و ایجاد سود تقریبا برابر با همین مبلغ برای خود می‌شود و از سوی دیگر، سبب ایجاد خسارتی برابر با مجموع خسارت وارد شده به سیستم‌های آسیب‌دیده شامل خسارت عدم پرداخت باج، منهای ارزش کل اطلاعات قربانیانی که باج را پرداخته‌اند؛ علاوه بر مجموع باج دریافت شده، در سطح اقتصاد کلان خواهد شد که در رابطه (7) با TVSRWA نشان داده شده است.

(7)

 

 

4.‌ برآورد مدل و تجزیه و تحلیل آن

برای تعمق بیش‌تر در موضوع و بررسی رفتاری این توابع از یک مجموعه داده‌های واقعی استفاده شده است. به منظور به دست آوردن ارزش اطلاعات کاربران، از دو روش مستقل استفاده شده و دو مجموعه داده‌های واقعی با تعداد 163 زوج نمونه قابل استفاده از داده‌ها ایجاد شده است. این داده‌ها با همکاری 163 تن از شرکت‌کنندگان در کارگا‌ه‌های آموزشی مقابله با باج‌افزارها به دست آمده است. در مجموعه اول از داده‌ها، هر مخاطب همکاری‌کننده در طرح، خود به اظهار ارزش اطلاعات و هزینه زحمت نصب نرم‌افزارها و انجام تنظیمات موجود روی سامانه خود پرداخته است. در مجموعه دوم از اطلاعات، هر یک از 163 تن از شرکت‌کنندگان، به ارایه جزییات ابزارها، سیستم ‌عامل و فایل‌های موجود روی سامانه خود پرداخته‌اند. این جزییات شامل تعداد، اندازه میانگین و شیوه به‌دست آوردن (دانلود، ایجاد، کپی و ...) هر یک از انواع محدود فایل‌هایی است که روی سامانه قربانی فرضی موجود می‌باشد و معمولا، هدف باج‌افزارها هستند (از قبیل PDF، اسناد Office، تصاویر، ویدیوها، فایل‌های پایگاه‌داده و ...).

هم‌چنین، از هر یک از مخاطبان اطلاعات تنظیمات نرم‌افزارها و سیستم‌ عامل نیز مورد پرسش قرار گرفته است. نتایج این دو مطالعه به عنوان ورودی مدل استفاده شده و در شکل (1) نشان داده شده است. از آنجا که نشان دادن تعداد قابل توجه از اعداد جز به صورت نموداری، ملموس نخواهد بود، با مرتب کردن داده‌های زوج‌های مرتب بر اساس ارزش اظهار شده، نمودار مشخص شده در شکل (1) ترسیم شده است. طبیعی است که روند صعودی ناشی از مرتب‌سازی بوده و مفهوم دیگری را جز الگوی پراکندگی و روند تعییرات ارزش، منتقل نمی‌کند.

در خصوص این دو منحنی می‌توان گفت که نمودار اول (بدون خط چین)، نشان‌دهنده ارزش‌گذاری شخصی افراد برای اطلاعات خود بوده که در کمال تعجب همواره کم‌تر از نمودار دوم (خط چین) که نشان‌دهنده تخمین واقعی از ارزش اطلاعات ایشان است، می‌باشد. اگر چه بین این دو نمودار شباهت‌های قابل توجه وجود دارد؛ اما، منحنی اول معیار تصمیم‌گیری کاربران و منحنی دوم، واقعیت اقتصادی برای خسارات ناشی از تلف شدن اطلاعات و تنظیمات سامانه‌های قربانی را منعکس می‌کند.

شکل 1. نمودارهای ارزش برآورد شده اطلاعات و تنظیمات سامانه قربانی توسط کاربر و تخمین واقع‌گرایانه آن در مطالعه

 

         منبع: یافته‌های پژوهش

 

شکل 2. نمودارهای میزان سود مهاجم، خسارات وارد شده به قربانیان غیرپرداخت‌کننده باج و مجموع خسارت ناشی از حمله

 

           منبع: یافته‌های پژوهش

 

همان طور که در نمودار ارایه شده در شکل (2) دیده می‌شود، در این بررسی برای مهاجم میزان باج مطالبه شده تقریبا برابر با 340 هزار تومان مطلوب است. گفتنی است که این مبلغ مربوط به 6 ماهه منتهی به اسفند 96 می‌باشد و مهم‌ترین دلیل تاخیر در ارایه این پژوهش رعایت ملاحظات امنیتی و اطمینان یافتن از عدم افشای اطلاعات حساس در مورد ارزش دارایی‌های مخاطبان است. نکته کلیدی آن جاست که اگر چه میزان باج مطالبه شده کاملا به مجموعه آماری تحت مطالعه وابسته است؛ اما، این مقدار از باج مطالبه شده با مشاهدات در روندهای ارایه امداد نیز هم‌خوانی دارد. توجه بیش‌تر به نمودار نشان می‌دهد که همان طور که انتظار می‌رود، تابع خسارت کلی حمله، یک تابع اکیدا صعودی بر حسب باج مطالبه شده است. تابع خسارت مربوط به افرادی که قطعا اطلاعات خود را از دست می‌دهند، نیز نسبت به میزان باج مطالبه شده، صعودی است.

یک نکته قابل توجه دیگر، مربوط به در خصوص میزان سود خالص مهاجم مشاهده می‌شود. بر اساس شکل (2) رفتار این تابع الزاما یکنوا نبوده و دارای بیش از یک ماکزیمم محلی است. به دلیل وجود چند ماکزیمم محلی در تابع سود مهاجم، توجه به شیوه مهاجم برای میل دادن این میزان به سمت نقطه بهینه سود، اهمیت دارد. پر واضح است که انگیزه پنهان نگه داشتن هویت مهاجم، ایشان را از انجام مطالبه روی گروه‌های قربانیان احتمالی باز می‌دارد. بنابراین می‌توان نتیجه گرفت که در عمل مجریان حملات باج‌افزاری از روش تجربی برای بیشینه کردن سود خود استفاده می‌کنند.

 

5.‌ تحلیل و مدل‌سازی مداخله اقتصادی

برای مقابله با حملات باج‌افزاری رویکردهای مختلفی را می‌توان در پیش گرفت. مهم‌ترین رویکرد کلان در مقابل این حملات می‌تواند پایش و ممنوعیت گسترده زیرساخت‌های اقتصادی انتقال ناشناس ارزش چون ارزهای رمزپایه مثل بیت‌کوین[24] یا کوپن‌های پیش‌پرداخت چون وب‌مانی[25] باشد. در صورتی که این زیرساخت‌های انتقال ارزش در دسترس مهاجمان و قربانیان نباشند، بدیهی است که در کل، بازاری برای حملات باج‌افزاری شکل نخواهد گرفت.

اما، در صورت وجود و در دسترس بودن این ابزارهای انتقال ارزش و در عین حال در صورت آغاز مداخله مانند ایجاد منع قانونی در دسترسی قربانیان احتمالی به ابزارهای پرداخت و تبادل ارزهای رمزپایه، به طور طبیعی تمایل کاربران برای پرداخت باج کاهش می‌یابد. بدیهی است که با ممنوع کردن هر بازاری قیمت تمام شده خریدار در آن بازار رشد خواهد کرد؛ زیرا فروشنده افزون بر قیمت محصول یا خدمت، هزینه ریسک برخورد پلیس یا مراجع قانونی با معامله موضوع ممنوع را نیز روی قیمت تمام شده اضافه خواهد کرد. این مساله سبب می‌شود نمودار برآورد ارزش قربانیان، از نمودار ارزش واقعی اطلاعات ایشان فاصله بیش‌تری بگیرد و به طور قابل توجهی کم‌تر از آن شود. نتیجه این رخداد با توجه به ساختار غیرخطی مساله می‌تواند به مثابه افزایش مجازی مبلغ باج مطالبه شده باشد. به بیان دیگر، این رویکرد سبب می‌شود خروجی مساله به سمت شرایطی شبیه به ثابت ماندن نمودار خسارت کاربران غیرپرداخت‌کننده باج در شکل (2) و حرکت نمودار درآمد مهاجم به سمت راست، میل کند. اگرچه این یک حالت جدید و پاسخی جدید برای مساله خواهد بود؛ اما بدیهی است که در این حالت، به دلیل افزایش نسبت کاربرانی که تمایل یا امکان پرداخت باج را نداشته و اطلاعات خود را از دست داده‌اند، میزان مجموع خسارت ایجاد شده افزایش می‌یابد.

برای ایجاد درک عمیق‌تر از موضوع با در نظر گرفتن r به عنوان میزان باج مطالبه شده، در شکل (3) پارامترهای اقتصادی ناشی از یک حمله باج‌افزاری به شکل سطح زیر نمودارها ترسیم شده است.

در صورت انجام مداخله‌های پیشگیرانه در تبدیل و انتقال ارزش از قربانی به مهاجم به شکل ارزهای رمزپایه یا غیرقابل پیگرد، دو پدیده کلی در روند پرداخت رخ خواهند داد.

الف: قربانی برای پرداخت هر مقدار از باج مطالبه شده r به شکل ارز ممنوع نیاز به صرف کردن یک هزینه ثابت چون r0 دارد. این عدد را می‌توان به عنوان هزینه اولیه انجام هر تراکنش دید؛

ب: تبدیل ارز رایج در جغرافیای قربانی به ارز مطالبه شده هزینه‌ای سربار چون α نیز در بر خواهد داشت؛ به بیان ساده‌تر، قربانی به ناچار برای تامین r باید متحمل هزینه‌ای (1+α) برابر r شود.

در اثر اعمال این محدودیت، قربانی در عمل در مواجه شدن با مطالبه مبلغ r به شکل ارز رمزپایه فقط در صورتی پرداخت باج را قبول خواهد کرد که مبلغ هزینه کلی پرداخت باج یعنی r' که از ارزش برآورد شده از سوی او برای اطلاعات یعنی SEVv کمتر باشد. در شکل 4 می‌توان نتیجه اقتصادی این تغییر را مشاهده نمود.

(8)

 

 

شکل 3. میزان سود مهاجم، خسارات وارد شده به قربانیان غیرپرداخت‌کننده باج ناشی از حمله

 

                 منبع: یافته‌های پژوهش

 

شکل 4. میزان سود مهاجم، خسارات وارد شده به قربانیان غیرپرداخت‌کننده باج و هزینه‌های انتقال ارز در حمله

 

              منبع: یافته‌های پژوهش

 

همان طور که در شکل (4) در مقایسه با شکل (3) دیده می‌شود، مساحت مستطیل نشان‌دهنده میزان باج دریافت شده توسط مهاجم در شرایط مساوی، کوچک‌تر شده است و در عوض، با جابه‌جا شدن نقطه افراز مجموعه قربانیان، دو رخداد نامطلوب به وقوع پیوسته است؛ اول اینکه به اندازه مساحت مستطیل هزینه سربار ناشی از تبدیل و انتقال ارز رمزپایه، به بازار زیرزمینی (در اثر ممنوعیت انتقال ارز رمزپایه) ارزش وارد شده است که این موضوع خود می‌تواند مسبب مشکلات بعدی باشد و دوم اینکه به اندازه تفاضل r و r' نقطه افراز مجموعه قربانیان پرداخت‌کننده باج و تحمل‌کننده خسارت از دست رفتن اطلاعات، به سمت خسارت بیش‌تر حرکت کرده است. با توجه به شکل‌های (3 و 4) و در نظر گرفتن مجموع مساحت زیر نمودارها می‌توان نتیجه گرفت که اتخاذ این سیاست، مسبب افزایش مجموع خسارات ایجاد شده برای جامعه یعنی TVSRWA نیز شده است.

 

6.‌ نتیجه‌گیری

در این پژوهش بیان شد که با مدل‌سازی حملات سنتی باج‌افزاری و با تکیه بر یک مجموعه داده تجربی می‌توان دریافت که در مقابله با حملات باج‌افزاری و بازار پرسود این حملات برای مجرمان سایبری باید دقت فراوان به خرج داد.

اگرچه تابع خسارت ناشی از باج‌افزار، نسبت به مبلغ باج کاملا صعودی است؛ اما، تابع سود مهاجم رفتاری غیریکنوا داشته و به این ترتیب، به ازای هر میزان از سود ممکن است مهاجم با مطالبه مبالغ متفاوتی از باج به هدف خود برسد. هم‌چنین، چگونگی و روش به دست آوردن مبلغ بهینه باج برای مهاجم نیز ارائه شد.

 هم‌چنین، بیان شد که ایجاد محدودیت در دسترسی به ارزهای رمزپایه یا دیگر روش‌های ناشناس انتقال ارزش می‌تواند همچون شمشیری دو لبه عمل کند که در صورت مسدودسازی کامل دسترسی به این ارزها، سبب حذف امکان حملات و در صورت اعمال ناقص سیاست‌ها، خسارت‌های کلی بیش‌تری برای مجموعه قربانیان به وجود خواهد آمد.

 با توجه به شرایط حاکم بر زیرساخت‌های مرتبط با ارزهای رمزپایه امروزی و ناممکن بودن مسدودسازی کامل این زیرساخت‌ها، این پژوهش می‌تواند برای سیاست‌گذاران اقتصاد کلان نتایج حاصل از اعمال محدودیت‌های انتقال و تبدیل ارز رمزپایه بر بازار زیرزمینی حملات باج‌افزاری را روشن نماید.



[1] Ransomware

[2] Gazet

[3] Luo & Liao

[4] Kharraz, Arshad, Mulliner, Robertson & Kirda

[5] Laszka, Farhang & Grossklags

[6] IBM

[7] The Law Library of Congress

[8] Liao, Zhao, Doup´e & Ahn

[9] CrytpoWall

[10] Wikipedia

[11] Fayi

[12] Kharraz, Robertson, Balzarotti, Bilge & Kirda

[13] Mechanism Design Theory: در اقتصاد و تئوری بازی‌ها، طراحی ساز و کار یا طراحی مکانیسم، مطالعه طراحی قواعد یک بازی یا سیستم است. لئونید هورویچ (اقتصاددان و ریاضیدان لهستانی یا لهستانی – آمریکایی) را مبدع این نظریه دانسته‌اند. وی (به دلیل ابداع این نظریه) به همراه دو هم وطن دیگر خود به نام‌های اریک مسکین و راجر مایرسون (به دلیل کاربردی کردن این نظریه) جایزه نوبل اقتصاد را در سال 2007 از آنِ خود کردند. بنیان نظریه طراحی مکانیسم، عینی‌تر و دقیق‌تر کردن اطلاعات کنشگران اقتصادی از بازار است.

[14] Hurwicz & Reiter

[15] Guruswami et al.

[16] Hernandez-Castro, Cartwright and Cartwright

[17] Profit-Maximizing Auctions

[18] Without a Priori

[19] Truthful

[20] Profit-Maximizing Auctions for Digital Goods

[21] Goldberg & Hartline

[22] Myerson

[23] Noam, Roughgarden & Tardos

[24] Bitcoin

[25] Webmoney

-        لیسکا، آلن، گالو، تیموتی (1396). باج‌افزار و روش‌های دفاع در برابر باج‌گیری دیجیتال، ویرایش دوم. ترجمه مهران گرمهء، میلاد حضرتی و سارا رحیمی دوین. گسترش علوم پایه. تهران.
-         Fayi, S. Y. A. (2018). What Petya/NotPetya ransomware is and what its remidiations are. In Information Technology-New Generations. Springer, Cham: 93-100.
-         Gazet, A. (2010). Comparative analysis of various ransom ware vii. Journal in Computer Virology, 6(1):77–90.
-         Goldberg, A. V., & Hartline, J. D. (2003). Envy-free auctions for digital goods. In Proceedings of the 4th ACM conference on Electronic commerce (pp. 29-35).
-         Guruswami, V. (2005).On profit-maximizing envy-free pricing, in sixteenth annual ACM-SIAM symposium on Discrete algorithms Society for Industrial and Applied Mathematics: 1164-1173.
-         Hernandez-Castro, J., Cartwright, A., & Cartwright, E. (2020). An economic analysis of ransom ware and its welfare consequences. Royal Society Opens Science, 7(3): 190023.
-         Hurwicz L. & Reiter, S., (2006). Designing economic mechanisms. New York, US: Cambridge University Press.
-         IBM. (2016). Businesses more likely to pay ransom ware than consumers. Industry report. Available at: www-03. ibm. Com/ press/us/ en/ pressrelease/51230.
-         Kharraz, A. Arshad, S. Mulliner, C. Robertson, W. & Kirda, E. (2016). UNVEIL: A large-scale, automated approach to detecting ransom ware. In Proceedings of the 25th USENIX Security Symposium (USENIX Security): 757–772.
-         Kharraz, A. Robertson, W. Balzarotti, D. Bilge, L. & Kirda, E. (2015). Cutting the gordian knot: A look under the hood of ransomware attacks. In Proceedings of the 12th International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment (DIMVA), Springer: 3–24.
-         Laszka A., Farhang S., Grossklags J. (2017). On the economics of ransomware. In: Rass S., An B., Kiekintveld C., Fang F., Schauer S. (eds) Decision and Game Theory for Security. GameSec Lecture Notes in Computer Science, 10575. Springer, Cham.
-         Liao, K. Zhao, Z. Doup´e, A. & Ahn, Gail-Joon. (2016). Behind closed doors: Measurement and analysis of CryptoLocker ransoms in Bitcoin. In Proceedings of the 2016 APWG Symposium on Electronic Crime Research (eCrime).
-         Luo, X. & Liao, Q. (2007). Awareness education as the key to ransom ware prevention. Information Systems Security, 16(4):195–202.
-         Noam, N. Roughgarden, T., & Tardos, E. (2007). Algorithmic Game Theory. Cambridge University Press.
-         The Law Library of Congress, Global Legal Research Center. (June 2018). Regulation of Cryptocurrency around the World, Report. Available at: https://www.loc.gov/law/help/cryptocurrency/cryptocurrency-world-survey. pdf
-         Wikipedia (2019). Mechanism design, January, Available at: https://en.wikipedia.org/wiki/Mechanism_design
-         Wikipedia. (2017). WannaCry ransomware attack. Available at: https://en.wikipedia.org/wiki/WannaCry_ransomware_attack.