لقد أبلت صناعة الأمن السيبراني بلاءً حسنًا في اكتشاف الأنشطة المشبوهة التي قد تكون مقدمة لهجوم برامج الفدية، لدرجة أنه عندما ينجح مجرمو الإنترنت في اقتحام شبكة الضحية، فإنهم يقومون بنشر وتنفيذ خزائنهم بشكل أسرع من أي وقت مضى، وفقًا للبيانات الواردة في شركة Secureworks السنوية حالة التهديد تقرير.
في غضون 12 شهرًا فقط، انخفض متوسط وقت المكوث الذي لوحظ في الحوادث التي استجابت لها وحدة مكافحة التهديدات (CTU) التابعة لشركة Secureworks من أربعة أيام ونصف إلى أقل من 24 ساعة، وفي 10% من الحالات، تم اختراق خزائن برامج الفدية. يتم نشرها في غضون خمس ساعات من الوصول الأولي.
“من المحتمل أن يكون الدافع وراء تقليل متوسط وقت المكوث هو رغبة مجرمي الإنترنت في تقليل فرصة اكتشافهم. وقال دون سميث، نائب رئيس استخبارات التهديدات في Secureworks CTU: “لقد أصبحت صناعة الأمن السيبراني أكثر مهارة في اكتشاف النشاط الذي يعد بمثابة مقدمة لبرامج الفدية”.
“ونتيجة لذلك، تركز الجهات الفاعلة في مجال التهديد على عمليات أبسط وأسرع في التنفيذ، بدلاً من أحداث التشفير الكبيرة والمتعددة المواقع على مستوى المؤسسة والتي تكون أكثر تعقيدًا بشكل ملحوظ. لكن خطر تلك الهجمات لا يزال مرتفعا”.
وتعكس النتائج التي توصل إليها فريق مكافحة الإرهاب إلى حد ما النتائج التي توصل إليها تقرير أغسطس/آب من إنتاج أقرانهم في Sophos X-Ops، والذي أظهر أنه بشكل عام – وليس فقط في حوادث برامج الفدية – انخفض متوسط أوقات البقاء لمدة أسبوع تقريبًا منذ بداية عام 2022.
ال سيكيوروركس ووجد التقرير، الذي يغطي الفترة من يونيو 2022 إلى يوليو 2023، أن عددًا من الأسماء المألوفة لا تزال تهيمن على المشهد، وهو ما لم يكن مفاجئًا. ولكن، كما قال سميث، من الواضح أن الجهات الفاعلة الأكثر نشاطًا في مجال التهديد لا تزال قائمة LockBit (الغموض الذهبي في تصنيف Secureworks)، ALPHV/بلاك كات (السترة الذهبية) و كلوب/Cl0p (Gold Tahoe)، هناك العديد من مجموعات التهديد الجديدة والنشيطة للغاية والتي تؤدي إلى ارتفاع كبير في أعداد الضحايا وأحجام تسرب البيانات.
في الواقع، كانت الأشهر الأربعة الأخيرة من الفترة التي يغطيها التقرير هي الأكثر غزارة من حيث أعداد الضحايا منذ أن بدأت هجمات التشهير بالتزايد في عام 2019، حيث تم إرسال 600 ضحية إلى مواقع التسريب في مايو 2023 وحده، أي أعلى بثلاث مرات من 2022.
وقال سميث: “على الرغم من عمليات الإزالة والعقوبات البارزة، إلا أن مجرمي الإنترنت ماهرون في التكيف، لذلك يستمر التهديد في التزايد”.
وتشمل المجموعات الناشئة الأحدث التي تراقبها وحدة مكافحة الإرهاب أسماء مثل MalasLocker و8BASE وAkira. أدرجت شركة 8BASE على وجه الخصوص ما يقرب من 40 ضحية على موقع التسريب الخاص بها في يونيو 2023، وهو ما يعادل تقريبًا موقع LockBit. MalasLocker، الذي سجل نقاطًا كبيرة من خلال اختراق خوادم Zimbra الضعيفة في أبريل 2023، نشرت 171 ضحية جديدة على موقعها.
كانت وسائل الوصول الأكثر انتشارًا بالنسبة لعصابات برامج الفدية، بطرق مختلفة، هي المسح والاستغلال بنسبة 32% من الإجمالي، عبر بيانات الاعتماد المسروقة، أيضًا بنسبة 32%، وانتشار البرمجيات الخبيثة السلعية من خلال التصيد الاحتيالي، بنسبة 14%.
إن نجاح تقنية الفحص والاستغلال، والتي تتضمن البحث عن الأنظمة المعرضة للخطر عبر محرك بحث مثل Shodan، ثم استخدام برنامج استغلال معين لاختراقها، يعكس استمرار عدم الاهتمام بالتصحيح بشكل عام – في غضون 12 عامًا نقاط الضعف الأكثر شيوعًا التي يتم استغلالها جنسيًا، 58% منهم لديهم تواريخ لمكافحة التطرف العنيف أقدم من 12 شهرًا.
وقال سميث إن الفرق الأمنية تخاطر بالتشتت بسبب الضجيج حول ChatGPT والذكاء الاصطناعي التوليدي، لكنه قال إن الهجمات الأكثر شهرة في عام 2023 تميل إلى أن تكون نتيجة للبنية التحتية غير المصححة.
وقال: “يحصد مجرمو الإنترنت الثمار من أساليب الهجوم المجربة والمختبرة، لذا يجب على المؤسسات التركيز على حماية نفسها من خلال النظافة الإلكترونية الأساسية وعدم الوقوع في فخ الضجيج”.
الدول القومية
وبالانتقال إلى عالم الجهات الفاعلة في مجال التهديد المستمر المتقدم (APT) المدعومة من الدول، يكشف تقرير Secureworks أيضًا عن رؤى حول سلوك مجموعات التهديد المرتبطة بالدول الأكثر نشاطًا في هذا الصدد، وهي الصين وإيران وكوريا الشمالية وروسيا.
وكشفت شركة Secureworks أنه بينما تحتفظ الصين بتركيزها على جيرانها القريبين وتايوان، فإنها تتطلع بشكل متزايد إلى أوروبا الشرقية وتظهر تركيزًا متزايدًا على المزيد من الأعمال التجارية الخفية باستخدام أدوات تجارية مثل Cobalt Strike والأدوات مفتوحة المصدر التي طورتها الصين لتقليل مخاطر الإسناد. والاندماج مع النشاط الآخر. وقال الفريق إن هذا يمثل خروجًا ملحوظًا عن سمعتها التقليدية المتمثلة في “السحق والاستيلاء”.
وفي الوقت نفسه، تواصل إيران تركيز هجماتها المستمرة على المنشقين وأعضاء الشتات الإيراني في جميع أنحاء العالم، وعلى عرقلة جهودها. اتفاقات ابراهيم أدى إلى تطبيع العلاقات بين إسرائيل والبحرين والإمارات العربية المتحدة، والنوايا الغربية تجاه إعادة التفاوض على الاتفاقات النووية. تتخصص التهديدات المتقدمة الإيرانية، والتي يتم دعمها عمومًا من وزارة الاستخبارات والأمن أو الحرس الثوري الإسلامي، في استخدام مقاولين خارجيين لدعم أنشطتها، وتتميز بخلق شخصيات وهمية، أو انتحال صفة الزملاء والمتعاونين، من أجل التهدئة. ضحاياهم إلى شعور زائف بالأمان.
وفي كوريا الشمالية، يظل الهدف إلى حد كبير هو دعم النظام المنبوذ المعزول في بيونغ يانغ مالياً، على الرغم من وجود عنصر من عناصر التجسس الإلكتروني. أدوات مثل أبل جيوسأثبتت البرمجيات الخبيثة الخاصة بالعملات المشفرة أنها لا تقدر بثمن بالنسبة للكوريين الشماليين، الذين يُعتقد أنهم سرقوا أكثر من ملياري دولار من أصول العملات المشفرة منذ عام 2017.
وبطبيعة الحال، لا تزال التهديدات المستمرة المتقدمة في موسكو تركز إلى حد كبير على الحرب في أوكرانيا، حيث ينقسم نشاطها إلى معسكرين ــ إما التجسس، أو الهجمات السيبرانية التخريبية والمدمرة. والجدير بالذكر أن عام 2023 شهد زيادة ملحوظة في مجموعات القرصنة “الوطنية” التي تستهدف المنظمات التي تعتبرها روسيا أعداء، وتنظم نفسها على منصات مثل Telegram. وعلى نطاق أوسع، لوحظ أن التهديدات المستمرة المتقدمة الروسية تستخدم المزيد من الاستخدام الضار للخدمات السحابية الموثوقة التابعة لجهات خارجية في استهداف ضحاياها.
