باج افزار یا RANSOMWARE چیست و چگونه کار می کند

اخبار باج‌افزار و حملات مربوط به آن‌ها در سال جاری بسیار در اخبار شنیده‌شده‌اند. ممکن است داستان‌هایی از حملات به شرکت‌ها، سازمان‌ها یا سازمان‌های دولتی بزرگ شنیده باشید، یا شاید شما به‌عنوان یک فرد یک حمله باج‌افزار را به دستگاه خود تجربه کرده باشید. این یک مشکل مهم و یک چشم‌انداز ترسناک از آینده حملات سایبری است که ممکن است تمام پرونده‌ها و داده‌های شما گروگان گرفته شود تا زمانی که خواسته فرد متخاصم را اجابت نمایید. اگر می‌خواهید درباره این تهدید بیشتر بدانید، ادامه مطلب را بخوانید تا در مورد اشکال مختلف باج‌افزار، نحوه دریافت آن، از کجا آمده است، چه کسی را هدف قرار می‌دهد و درنهایت، چه‌کارهایی می‌توانید برای محافظت در برابر آن انجام دهید، بخوانید.

باج افزار چیست؟

باج‌افزار، نوعی بدافزار است که کاربران را از دسترسی به سیستم یا فایل‌های شخصی خود بازمی‌دارد و برای دسترسی مجدد درخواست باج می‌کند. درحالی‌که برخی از مردم ممکن است فکر کنند “ویروس کامپیوتر من را قفل کرده است”، باج‌افزار معمولاً به‌عنوان یک بدافزار متفاوت از ویروس طبقه‌بندی می‌شود. اولین گونه‌های باج‌افزار در اواخر دهه ۱۹۸۰ توسعه یافتند. امروزه، درخواست پول از طریق ارز دیجیتال توسط مهاجمان به افراد، مشاغل و سازمان‌های مختلف را هدف قرار می‌دهند صورت می‌گیرد. برخی از نویسندگان باج‌افزار این سرویس را به مجرمان سایبری دیگر می‌فروشند که با نام Ransomware-as-a-Service یا RaaS شناخته می‌شود.

به‌بیان‌دیگر باج‌افزار بدافزاری است که برای ممانعت از دسترسی کاربر یا سازمان به فایل‌های رایانه‌شان طراحی‌شده است. این بدافزارها با رمزگذاری این فایل‌ها و درخواست پرداخت باج برای دریافت کلید رمزگشایی، سازمان‌ها را در موقعیتی قرار می‌دهند که پرداخت باج ساده‌ترین و ارزان‌ترین راه برای دسترسی مجدد به فایل‌هایشان است. برخی از انواع باج افزارها، قابلیت‌های اضافی مانند سرقت داده‌ها را اضافه کرده‌اند تا برای قربانیان باج‌افزار انگیزه بیشتری برای پرداخت باج فراهم کنند.

حملات باج افزاری از چه طریقی صورت می‌گیرند

هرزنامه

هرزنامه یا spam mail یکی از روش‌های مرسوم حملات باج افزارها است. برخی از عوامل تهدید از هرزنامه استفاده می‌کنند، جایی که ایمیلی را با یک پیوست مخرب برای عده زیادی از افراد ارسال می‌کنند و می‌بینند چه کسی پیوست را باز می‌کند و به‌اصطلاح «طعمه را می‌گیرد». هرزنامه مخرب یا malspam ایمیل ناخواسته‌ای است که برای ارسال بدافزار استفاده می‌شود. این ایمیل ممکن است شامل پیوست های معمولی مانند فایل‌های PDF یا Word باشد. همچنین ممکن است حاوی پیوندهایی به وب‌سایت‌های مخرب باشد.

تبلیغات آلوده

یکی دیگر از روش‌های رایج انتشار، تبلیغات آلوده است. تبلیغات آلوده به بدافزار است، استفاده از تبلیغات آنلاین برای توزیع بدافزار بدون نیاز به تعامل کاربر نیز امکان‌پذیر است. در حین جستجو در صفحات وب، حتی سایت‌های قانونی، ممکن است کاربران حتی بدون کلیک بر روی آگهی به سرورهای مجرم هدایت شوند. این سرورها جزئیات مربوط به رایانه‌های قربانی و مکان آن‌ها را فهرست بندی می‌کنند و سپس بدافزار مناسب برای حمله را انتخاب می‌کنند.

بدافزارها معمولاً از یک نمایه Iframe آلوده یا یک عنصر مخفی وب برای اهداف خود استفاده می‌کنند. نمایه آلوده قربانی را به یک صفحه فرود جدید هدایت کرده و با استفاده از exploit kit کدهای مخرب را به قربانی منتقل می‌کند. این اتفاق معمولاً بدون اینکه قربانی از حمله مطلع شده باشد در پی یک واکنش مانند فشردن دگمه دانلود اتفاق می‌افتد.

 رمزگیری

یک وسیله هدفمندتر برای حمله باج‌افزار از طریق نیزه رمزگیری Spear phishing است. نمونه‌ای از رمزگیری می‌تواند ارسال ایمیل به کارمندان یک شرکت خاص باشد، با این ادعا که مدیرعامل از شما می‌خواهد در نظرسنجی مهم کارمندان شرکت کنید، یا بخش منابع انسانی از شما می‌خواهد که یک خط‌مشی جدید را دانلود و بخوانید. اصطلاح “صید نهنگ” برای توصیف چنین روش‌هایی استفاده می‌شود که هدف آن تصمیم‌گیرندگان سطح بالا در یک سازمان، مانند مدیرعامل یا سایر مدیران اجرایی است.

تفاوت این روش با هرزنامه‌ها در این است که در هرزنامه حملات به‌صورت انبوه و غیر هدفمند صورت می‌گیرد ولی درروش رمزگیری مخاطبان حمله دست‌چین شده و منحصر به یک گروه یا سازمان خاص هستند.

مهندسی اجتماعی

مهاجمین ممکن است از مهندسی اجتماعی برای فریب دادن افراد برای باز کردن پیوست‌ها یا کلیک کردن بر روی پیوندها با نشان دادن مشروعیت خودشان استفاده کنند. ممکن است خود را به‌جای یک موسسه قابل‌اعتماد یا یک دوست جا بزنند. مجرمان سایبری از مهندسی اجتماعی در انواع دیگر حملات باج‌افزار استفاده می‌کنند، مثلاً انتشار نسخه رایگان یک کتاب موردنیاز گروهی از دانشجویان یک رشته خاص.

مثال دیگری از مهندسی اجتماعی این است که یک عامل تهدید اطلاعاتی را از پروفایل‌های عمومی رسانه‌های اجتماعی شما در مورد علایق شما، مکان‌هایی که اغلب بازدید می‌کنید، شغلتان و غیره جمع‌آوری کند و از برخی از این اطلاعات برای ارسال پیامی که برای شما آشنا به نظر می‌رسد استفاده کند.

روش مهندسی اجتماعی باعث ایجاد اعتماد لحظه‌ای و به تبعان غفلت قربانی و ورود به صفحه یا دانلود فایل آلوده می‌شود.

باج‌افزار چگونه کار می‌کند

برای موفقیت، باج‌افزار باید به یک سیستم هدف دسترسی پیدا کند، فایل‌ها را در آنجا رمزگذاری کند و از قربانی باج بگیرد.

درحالی‌که جزئیات پیاده‌سازی از یک نوع باج‌افزار به باج‌افزار دیگر متفاوت است، همه سه مرحله بنیادین یکسانی دارند.

مرحله ۱٫ آلوده نمودن سیستم

باج‌افزار، مانند هر بدافزار، می‌تواند به روش‌های مختلف به دستگاه‌های سازمان دسترسی پیدا کند. بااین‌حال، اپراتورهای باج‌افزار تمایل دارند چند روش خاص را ترجیح دهند.

یکی دیگر از روش‌های آلود سازی محبوب توسط باج‌افزار مورداستفاده توسط مهاجمین زمانی است که قربانی از خدماتی مانند پروتکل دسکتاپ از راه دور Remote Desktop Protocol (RDP) بهره می‌برد. با RDP، مهاجمی که اطلاعات ورود یک کارمند را به سرقت برده یا حدس زده است، می‌تواند از آن‌ها برای احراز هویت و دسترسی از راه دور به یک رایانه در شبکه سازمانی استفاده کند. با این دسترسی، مهاجم می‌تواند مستقیماً بدافزار را وارد کرده و آن را بر روی دستگاه تحت کنترل خود اجرا کند.

مرحله ۲٫ رمزگذاری داده‌ها

پس‌ازاینکه باج‌افزار به یک سیستم دسترسی پیدا کرد، می‌تواند رمزگذاری فایل‌های خود را آغاز کند. ازآنجایی‌که قابلیت رمزگذاری در یک سیستم‌عامل تعبیه‌شده است، مهاجم به‌سادگی می‌تواند به فایل‌ها دسترسی پیداکرده و آن‌ها را با کلیدی که تنها در اختیار خود اوست رمزگذاری نموده و با فایل‌های اصلی جایگزین نماید. برخی از باج افزارها فایل‌های پشتیان موجود را نیز از سیستم به‌طور دائم حذف می‌کنند.

مرحله ۳٫درخواست باج

هنگامی‌که رمزگذاری فایل کامل شد، باج‌افزار برای درخواست باج آماده می‌شود. انواع مختلف باج‌افزار این کار را به روش‌های متعددی اجرا می‌کنند، معمولاً تغییر پس‌زمینه نمایش به یادداشت باج یا درج فایل‌های متنی در هر فهرست رمزگذاری‌شده حاوی یادداشت باج، متداول است.

به‌طورمعمول، این یادداشت‌ها درازای دسترسی به فایل‌های قربانی، مقدار مشخصی ارز دیجیتال را طلب می‌کنند. اگر باج پرداخت شود، اپراتور باج‌افزار یا یک کپی از کلید خصوصی مورداستفاده برای محافظت از کلید رمزگذاری متقارن یا یک کپی از خود کلید رمزگذاری متقارن ارائه می‌دهد. این اطلاعات را می‌توان در یک برنامه رمزگشا (که توسط مجرم سایبری نیز ارائه می‌شود) وارد کرد که می‌تواند از آن برای معکوس کردن رمزگذاری و بازگرداندن دسترسی به فایل‌های کاربر استفاده کند.

درحالی‌که این سه مرحله اصلی در همه انواع باج‌افزار وجود دارد، باج‌افزارهای مختلف می‌توانند شامل پیاده‌سازی‌های متفاوت یا مراحل اضافی باشند. برای مثال، انواع باج‌افزار مانند Maze، اسکن فایل‌ها، اطلاعات رجیستری و سرقت داده‌ها را قبل از رمزگذاری داده‌ها انجام می‌دهند، و باج‌افزار WannaCry سایر دستگاه‌های آسیب‌پذیر را برای آلوده کردن و رمزگذاری اسکن می‌کند.

حملات مشهور باج افزارها

 حمله باج افزار به مدارس دولتی بوفالو

در سال ۲۰۲۰، حملات به بخش آموزش به میزان قابل‌توجهی افزایش یافت تاکنون هم ادامه دارد. درحالی‌که بسیاری از مدارس در سال ۲۰۲۱ موردحمله باج‌افزار قرارگرفته‌اند، سیستم مدرسه دولتی بوفالو در نیویورک که به ۳۴۰۰۰ دانش‌آموز خدمات ارائه می‌دهد و حاوی اطلاعات بسیار حساسی است که ممکن است به بیرون درز کرده باشد. حمله باج‌افزار در ۱۲ مارس کل سیستم مدرسه را تعطیل و آموزش از راه دور و حضوری را به مدت یک هفته به تعویق انداخت. کرینر کش، ناظر مدارس بوفالو، در ۱۵ مارس بیانیه‌ای صادر کرد و گفت که مدرسه “به‌طور فعال با کارشناسان امنیت سایبری، و همچنین مجریان قانون محلی، ایالتی و فدرال برای بررسی کامل این حمله امنیت سایبری کار می‌کند.” مدرسه از ۲۲ مارس مجدداً فعالیت خود را آغاز نمود.

حمله باج افزاری به ایسر

بالاترین مبلغ باج‌خواهی توسط باج افزارها در طول تاریخ متوجه شرکت تایوانی تولیدکننده رایانه‌های شخصی ایسر به مبلغ ۵۰ میلیون دلار شده است. ایسر در این رابطه بیانیه‌ای صادر نمود و اظهار داشت “شرکت‌هایی مانند ما دائماً موردحمله قرار می‌گیرند و وضعیت‌های غیرعادی اخیر مشاهده‌شده را به مقامات مجری قانون و حفاظت از داده‌ها در کشورهای مختلف گزارش کرده‌ایم مشخص نیست که سازنده رایانه شخصی این باج را پرداخت کرده است یا خیر”.

شرکت مالی و بیمه‌ای CNA

یکی از بزرگ‌ترین شرکت‌های بیمه در ایالات‌متحده در ۲۱ مارس موردحمله باج افزارکه باعث اختلال در شبکه شد قرار گرفت. این شرکت در بیانیه‌ای که در وب‌سایت خود منتشر شد، از آن به‌عنوان یک “حمله سایبری پیچیده” یادکرد و گفت که به دلیل در یک اقدام احتیاطی فعالانه، سیستم‌های خود را از شبکه قطع نموده‌اند. CNA گفت که تحقیقات “حوزه داده‌های تحت تأثیر این حادثه و همچنین سرورهایی را که داده‌ها در آن‌ها قرار داشتند شناسایی کرده.” این شرکت بیمه اعلام کرد که معتقد نیست سیستم‌های پذیره‌نویسی، جایی که بیشتر داده‌های بیمه‌گذاران در آن ذخیره می‌شود، در این حمله تأثیر گذاشته باشد. بااین‌حال، بلومبرگ گزارش داد که شرکت ۴۰ میلیون دلار باج به عوامل تهدید پرداخت کرده است. CNA هرگز این پرداخت را تأیید نکرده است.

Applus Technologies

در اواخر ماه مارس Applus Technologies تولیدکننده تجهیزات آزمایشگاهی برای اداره حمل‌ونقل ایالات‌متحده مورد حملات باج افزاری قرار گرفت و به مدت دو هفته از کار بازماند. حمله باعث ازکارافتادن خدمات معاینه خودرو در چند ایالت شد در ماساچوست که این شرکت دارای هزاران سایت فعال بوده است این تعطیلی منجر به ایراد ضرب العجل توسط اداره حمل‌ونقل ایالتی به این شرکت شد.

چندی بعد Applus Technologies اعلام کرد که این یک مشکل موقتی است و به‌زودی به کار خود ادامه خواهد داد اما توقف فعالیت تا ۳۰ مارس که شرکت رسماً بیانیه‌ای مبنی بر شناسایی و توقف باج افزارها داشته است ادامه داشت جزئیاتی از چگونگی و و نوع باج‌افزار منتشر نشد.

حمله به Quanta Computer

اپراتورهای باج‌افزار REvil بار دیگر در ۲۰ آوریل به تولیدکننده لپ‌تاپ اپل Quanta Computer حمله نمودند. این شرکت کامپیوتری در بیانیه‌ای از وب‌سایت خود تأیید کرد که توسط عوامل تهدید موردحمله قرارگرفته است، که بنا بر گزارش‌ها سعی در اخاذی از Quanta و Apple داشتند. طبق ادعای کارشناسان شرکت حمله محدود تنها در چند سرور شرکت مشاهده و به‌سرعت با مسدود کردن ارتباط با شبکه خارج از شرکت خنثی شد این حمله باعث اخلال در فعالیت‌های روزمره این شرکت نشد.

انواع باج افزارها ازنظر عملکرد

باج افزارهای رمزنگاری یا رمزگذارها encryptors

یکی از شناخته‌شده‌ترین و مخرب‌ترین انواع هستند. این نوع فایل‌ها و داده‌های درون یک سیستم را رمزگذاری می‌کند و محتوا را بدون کلید رمزگشایی غیرقابل دسترسی می‌کند.

باج افزارهای قفل کننده Lockers به‌طور کامل دسترسی شما را به سیستم خودتان قفل می‌کنند، بنابراین فایل‌ها و برنامه‌های شما غیرقابل دسترسی هستند. یک صفحه قفل تقاضای باج را نشان می‌دهد، احتمالاً با یک ساعت شمارش معکوس برای افزایش فوریت و وادار کردن قربانیان به اقدام و واکنش سریع به خواسته باج گیر.

هراس افزارها Scareware

نرم‌افزار جعلی است که ادعا می‌کند ویروس یا مشکل دیگری را در رایانه شما شناسایی کرده است و به شما دستور می‌دهد برای رفع مشکل پول پرداخت کنید. برخی از انواع نرم‌افزارهای ترسناک کامپیوتر را قفل می‌کنند، درحالی‌که برخی دیگر به‌سادگی صفحه را با هشدارهای پاپ آپ بدون آسیب رساندن به فایل‌ها پر می‌کنند.

نشت افزارها Doxware

تهدید می‌کند که اطلاعات حساس شخصی یا شرکتی را به‌صورت آنلاین توزیع می‌کند و بسیاری از مردم وحشت می‌کنند و باج می‌پردازند تا از افتادن داده‌های خصوصی به دست افراد نادرست یا ورود به دامنه عمومی جلوگیری کنند. یکی از انواع باج‌افزار با مضمون پلیس است که ادعا می‌کند مجری قانون است و هشدار می‌دهد که فعالیت آنلاین غیرقانونی شناسایی‌شده است، اما می‌توان با پرداخت جریمه از زندان جلوگیری کرد.

باج‌افزار به‌عنوان سرویس RaaS به بدافزاری اطلاق می‌شود که به‌طور ناشناس توسط یک هکر حرفه‌ای میزبانی می‌شود که تمام جنبه‌های حمله، از توزیع باج‌افزار گرفته تا جمع‌آوری پرداخت‌ها و بازگرداندن دسترسی، درازای پول را مدیریت می‌کند.

باج افزارهای معروف

ده ها نوع باج‌افزار وجود دارد که هرکدام ویژگی‌های منحصربه‌فرد خود رادارند. بااین‌حال، برخی از گروه‌های باج‌افزار پرکارتر و موفق‌تر از سایرین بوده‌اند و باعث می‌شوند که آن‌ها را از بقیه متمایز کنند.

 باج‌افزار ریوک Ryuk

Ryuk نمونه‌ای از نوع باج‌افزار بسیار هدفمند است. معمولاً از طریق ایمیل‌های یا با استفاده از اعتبار کاربری برای ورود به سیستم‌های سازمانی با استفاده از پروتکل دسکتاپ از راه دور (RDP) ارائه می‌شود. هنگامی‌که یک سیستم آلوده می‌شود، Ryuk انواع خاصی از فایل‌ها را رمزگذاری می‌کند، سپس درخواست باج ارائه می‌کند.

باج‌افزار Ryuk به‌عنوان یکی از گران‌ترین انواع باج‌افزار موجود شناخته‌شده است. Ryuk باج‌هایی با میانگین بیش از ۱ میلیون دلار طلب می‌کند. درنتیجه، مجرمان سایبری پشت Ryuk در درجه اول بر شرکت‌هایی تمرکز می‌کنند که منابع لازم برای برآورده کردن خواسته‌های خود رادارند.

 باج‌افزار ماز Maze

دلیل شهرت باج‌افزار Maze این است که اولین نوع باج افزاری است که رمزگذاری فایل و سرقت داده را ترکیب می‌کند. هنگامی‌که اهداف شروع به امتناع از پرداخت باج کردند، Maze شروع به جمع‌آوری داده‌های حساس از رایانه‌های قربانیان قبل از رمزگذاری آن‌ها کرد. اگر درخواست‌های باج برآورده نمی‌شد، این داده‌ها در معرض دید عموم قرار می‌گرفت یا به بالاترین پیشنهاد فروخته می‌شد. پتانسیل نقض داده‌های گران‌قیمت به‌عنوان انگیزه اضافی برای پرداخت در این باج باز افزار برای اولین بار استفاده شد. تیم پشت باج‌افزار Maze رسماً به فعالیت خود پایان داد. بااین‌حال، این بدان معنا نیست که تهدید باج‌افزار کاهش‌یافته است. برخی از زیرمجموعه‌های Maze به استفاده از باج‌افزار Egregor روی آورده‌اند و اعتقاد بر این است که گونه‌های Egregor، Maze و Sekhmet منبع مشترکی دارند.

باج‌افزار رویل REvil (Sodinokibi)

گروه REvil (همچنین به‌عنوان Sodinokibi شناخته می‌شود) نوع دیگری از باج‌افزار است که سازمان‌های بزرگ را هدف قرار می‌دهد.REvil یکی از شناخته‌شده‌ترین خانواده‌های باج‌افزار تحت شبکه است. گروه باج‌افزار که از سال ۲۰۱۹ توسط گروه روسی‌زبان REvil اداره می‌شود، مسئول بسیاری از رخنه‌های بزرگ بوده است. این باج‌افزار در چندین سال گذشته برای عنوان گران‌ترین نوع باج‌افزار با Ryuk رقابت کرده است.

درحالی‌که باج‌افزار REvil به‌عنوان یک باج‌افزار سنتی شروع به فعالیت نمود، اما در طول زمان تکامل‌یافته است.

باج‌افزار رویل از تکنیک Double Extortion برای سرقت داده‌ها از مشاغل و درعین‌حال رمزگذاری پرونده‌ها استفاده می‌کند. این بدان معناست که علاوه بر درخواست باج برای رمزگشایی داده‌ها، مهاجمان ممکن است تهدید کنند که در صورت عدم پرداخت دوم، داده‌های دزدیده‌شده را منتشر خواهند کرد.

باج‌افزار DearCry

در مارس ۲۰۲۱، مایکروسافت وصله‌هایی را برای چهار آسیب‌پذیری در سرورهای Microsoft Exchange منتشر کرد. DearCry یک نوع باج‌افزار جدید است که برای استفاده از چهار آسیب‌پذیری اخیراً فاش شده در Microsoft Exchange طراحی‌شده است. این باج‌افزار انواع خاصی از فایل‌ها را رمزگذاری می‌کند. پس از پایان رمزگذاری، DearCry یک پیام باج به کاربران نشان می‌دهد که به اپراتورهای باج‌افزار ایمیلی ارسال کنند تا نحوه رمزگشایی فایل‌های خود را بیاموزند.

چگونه از باج افزارها در امان باشیم

آمادگی صحیح در مقابل حملات باج افزارها به‌طور چشمگیری میزان و شدت این‌گونه حملات را کاهش می‌دهد بدین منظور پارس تدوین با سال‌ها تجربه خود در ارتباط با پیشگیری از حملات باج افزارها، موارد مهمی  را پیشنهاد می‌دهد.

دوره‌های آموزشی آگاهی سایبری:

باج‌افزار اغلب با استفاده از ایمیل‌های فیشینگ منتشر می‌شود. آموزش کاربران در مورد چگونگی شناسایی و جلوگیری از حملات باج‌افزار بالقوه بسیار مهم است. ازآنجایی‌که بسیاری از حملات سایبری کنونی با یک ایمیل هدفمند شروع می‌شوند که حتی حاوی بدافزار نیست، بلکه فقط یک پیام مهندسی‌شده اجتماعی است که کاربر را تشویق می‌کند تا روی یک پیوند مخرب کلیک کند، آموزش کاربر اغلب به‌عنوان یکی از مهم‌ترین دفاع‌ها در نظر گرفته می‌شود.

پشتیبانگیری مداوم از داده‌ها:

تعریف باج‌افزار می‌گوید که بدافزاری است که به‌گونه‌ای طراحی‌شده است که پرداخت باج تنها راه برای بازگرداندن دسترسی به داده‌های رمزگذاری است. پشتیبان خودکار و محافظت‌شده از داده‌ها، سازمان را قادر می‌سازد تا پس از حمله با حداقل از دست دادن داده و بدون پرداخت باج، بازیابی کند. تهیه نسخه پشتیبان به‌طور منظم از داده‌ها به‌عنوان یک فرآیند زمان‌بندی‌شده یک عمل بسیار مهم برای جلوگیری از دست رفتن داده‌ها و امکان بازیابی آن‌ها در صورت حمله باج‌افزار یا خرابی سخت‌افزار دیسک است.

Patching یک مؤلفه حیاتی در دفاع در برابر حملات باج‌افزار است زیرا مجرمان سایبری اغلب به دنبال آخرین سوءاستفاده‌های کشف نشده در Patch های موجود می‌گردند و سپس دستگاه‌هایی را هدف قرار می‌دهند که هنوز از Patch استفاده نکرده‌اند. به‌این‌ترتیب، بسیار مهم است که سازمان‌ها اطمینان حاصل کنند که همه سیستم‌ها آخرین Patch های اعمال‌شده روی آن‌ها رادارند، زیرا این امر تعداد آسیب‌پذیری‌های بالقوه در کسب‌وکار را برای مهاجم کاهش می‌دهد.

احراز هویت کاربر:

دسترسی به خدماتی مانند RDP با اطلاعات کاربری دزدیده‌شده یکی از روش‌های موردعلاقه مهاجمان باج‌افزار است. استفاده از احراز هویت قوی یا دوگانه کاربر می‌تواند استفاده مهاجم از رمز عبور حدس زده یا دزدیده‌شده را دشوارتر کند.