ظهور هجمات الفدية المزدوجة

لا تظهر برامج الفدية أي علامات على التباطؤ مع اقتراب عام 2024. وجد تقرير من شركة كورفوس للتأمين أ 110.43% زيادة على أساس سنوي في عدد ضحايا برامج الفدية المنشورة على مواقع التسريب في نوفمبر 2023. وتواصل الجهات الفاعلة في مجال التهديد استكشاف طرق جديدة لجعل هجمات برامج الفدية أكثر ربحية.

في سبتمبر 2023، أصدر مكتب التحقيقات الفيدرالي ملفًا إعلام الصناعة الخاصة تحذير من الاتجاه المتزايد في مشهد برامج الفدية. اعتبارًا من يوليو 2023، حددت اتجاهًا للجهات الفاعلة في مجال التهديد السيبراني التي تنشر متغيرين أو أكثر من برامج الفدية ضد نفس الضحية. يمكن أن تؤدي هذه الهجمات المزدوجة إلى تفاقم العواقب بالنسبة للضحايا: تشفير البيانات والتسلل والخسائر المالية. وأشار مكتب التحقيقات الفيدرالي أيضًا إلى أن مجموعات برامج الفدية تعمل على زيادة الضغط على الضحايا منذ أوائل عام 2022، من خلال الاستفادة من البرامج الضارة وأدوات المسح وسرقة البيانات المخصصة كتكتيكات للتفاوض.

كيف يمكن أن تبدو هجمات برامج الفدية المزدوجة، وكيف يمكن لرؤساء أمن المعلومات وفرقهم تقليل مخاطر وقوع مؤسساتهم ضحايا؟

الهجمات المتتالية

يعتبر مكتب التحقيقات الفيدرالي أن هجمات برامج الفدية المزدوجة هي هجمات ضد نفس الضحية في غضون 10 أيام أو أقل، مع حدوث غالبية هذه الهجمات المزدوجة في غضون 48 ساعة من بعضها البعض، وفقًا لإخطار الصناعة الخاصة.

يقول مارجو وينروب، رئيس الممارسات السيبرانية في شركة “أعتقد أننا ما زلنا نحاول معرفة السبب الدقيق وراء حدوث ذلك”. شركة جراهام، وساطة التأمين. لا تزال هذه الهجمات المزدوجة اتجاهًا ناشئًا، ويمكن تنفيذها بطرق مختلفة.

متعلق ب:5 أشياء يمكنك القيام بها اليوم للاستعداد للتهديدات الأمنية لعام 2024

يقول تريفور هيليغوس، كبير مديري الأبحاث الأمنية في شركة “Trevor Hilligoss”: “قد يكون الأمر بسيطًا تمامًا مثل مصادفة سيئة حقًا، حيث يجد ممثلان بشكل مستقل نفس الثغرة الأمنية خلال فترة زمنية قصيرة ويستفيدان منها”. SpyCloud، شركة تحليلات الجرائم الإلكترونية.

في بعض الحالات، يمكن أن يكون جهة تهديد واحدة هي التي تقف وراء هجوم برنامج الفدية المزدوج، مستفيدة من نفس الثغرة الأمنية لابتزاز الضحية بشكل مضاعف. قد تجعل المجموعة الضحية تدفع طلب الفدية الأولي وتقرر محاولة الحصول على المزيد. “قد يستخدمون سلالة مختلفة من برامج الفدية [and] يتظاهر جوناثان برالي، مدير العمليات في شركة فيليبس، بالتظاهر بأنهم مجموعة فدية مختلفة لابتزاز نفس الضحية مرة أخرى. تكنولوجيا المعلومات-ISAC، منظمة غير ربحية للتهديدات السيبرانية وتبادل المعلومات.

إن التظاهر كمجموعتين مختلفتين يمكن أن يمنع الكلمة من أن مجموعة معينة لا تحترم كلمتها بعد تلقي دفعة أولية.

وفي إشعار الصناعة الخاصة، يشير مكتب التحقيقات الفيدرالي إلى المتغيرات المختلفة المستخدمة في هذه الهجمات المزدوجة بما في ذلك AvosLocker وDiamond وHive وKarakurt وLockBit وQuantum وRoyal.

متعلق ب:7 اتجاهات أمنية يجب مراقبتها مع اقتراب عام 2024

كورتيس ميندر، الرئيس التنفيذي لشركة GroupSenseتشير شركة LockBit، وهي شركة خدمات الحماية من المخاطر الرقمية، إلى أن LockBit قامت بتكييف نظامها الأساسي لنشر أنواع متعددة من أدوات التشفير. وقال لمجلة InformationWeek: “إنهم يستخدمون منصة نشر برامج الفدية التي يمكنها نشر أنواع متعددة من برامج الفدية الضارة في وقت واحد”. “لذا، حقيقة أنهم كتبوا للتو [that] في الكود أعتقد أنه مؤشر على أننا سنستمر في رؤيته.

ومن الممكن أيضًا أن يلعب وسطاء الوصول الأولي دورًا في الهجمات المزدوجة. عادةً ما يعتبر من المحرمات بالنسبة لهؤلاء الوسطاء إعادة بيع الوصول بعد أن تم شراؤه من قبل جهة تهديد واحدة، وفقًا لـ Hilligoss. ولكن هذا يمكن أن يتغير. ويقول: “ربما يشير هذا إلى أن وسطاء الوصول يبيعون فقط… بحرية أكبر”.

مضاعفة المشكلة

عندما تتعرض إحدى المؤسسات لهجوم ببرنامج فدية، فإنه يؤدي إلى اندفاعة جنونية لتحديد نقطة الوصول، والأنظمة التي تم اختراقها، وأي وصول مستمر، ونطاق الضرر. مع حدوث هجوم ثانٍ في غضون ساعات أو أيام، قد لا تكون المنظمة قد أكملت الاستجابة للحادث ومعالجته للهجوم الأول.

“الشركات غير المستعدة لمواجهة أول هجوم ببرامج الفدية… ربما تكون قد قامت في الواقع بإسقاط أنظمة أكثر مما تحتاج إليه [and] “لقد جعلوا أنفسهم أكثر عرضة للخطر الثاني،” يقول جيمس جربر، المدير المالي لشركة الأمن السيبراني سيم سبيس.

متعلق ب:تقرير المخاطر السيبرانية والمرونة لعام 2023: كيف يواجه مديرو تكنولوجيا المعلومات الكوارث في عام 2023

يعني هجومان ببرامج الفدية أن الشركات قد تواجه المزيد من تشفير البيانات، والمزيد من تسرب البيانات، والمزيد من تسرب البيانات، ومطالب الدفع المتعددة.

إذا كانت إحدى المؤسسات تتعامل مع مهاجم واحد يقف وراء هجومين، فقد تواجه التحدي المتمثل في سلالات مختلفة من برامج الفدية. كيف أثرت هاتان السلالتان على أنظمة المؤسسة، وما الذي يتطلبه العلاج والعودة إلى العمليات الطبيعية؟ ما مقدار البيانات التي تم أخذها؟ يمكن لمجموعات برامج الفدية أن تأخذ تلك البيانات المسربة لتسريب المواقع لزيادة الضغط على الضحايا للدفع.

إذا كان هناك مهاجمان مختلفان في اللعبة، فقد يكون التعافي أكثر تعقيدًا. قد يقوم مهاجمان مختلفان بتشفير نفس الملفات. “لقد كانت لدينا حالتان وقع فيهما أول حادث لبرامج الفدية. قاموا بتشفير مجموعة من الملفات. وفي خضم التعامل مع هذا الهجوم الثاني… يقوم هؤلاء المهاجمون بتشفير الملفات المشفرة للمهاجمين الآخرين،” يشارك مايندر. “إذا حدث ذلك، حيث يتم تشفير الملفات المشفرة مرة أخرى، فإن احتمال الفساد يرتفع بنسبة ألف بالمائة، وقد لا تتمكن من استعادة ملفاتك على الإطلاق.”

في حين أن التعاون بين الجهات الفاعلة في مجال التهديد أمر شائع، فقد تكون مجموعتان مختلفتان على خلاف عند مهاجمة نفس الضحية. من هو الممثل الذي تتفاوض معه أولاً؟ ما هو مفتاح فك التشفير الذي تحتاجه لأية ملفات؟ يقول مايندر: “الممثل الأول لا يهتم بوجود الممثل الثاني، وبالتالي، كلاهما لديه جدوله الزمني الخاص به وأنت الضحية”.

يمكن أن يكون لهجوم واحد من برامج الفدية تأثير سلبي على العلامة التجارية للمؤسسة. يمكن أن يفقد العملاء والشركاء الثقة عندما تتعرض بياناتهم للخطر. هجوم آخر يمكن أن يسبب المزيد من الضرر للعلامة التجارية. “اذا أنت [have to come back] وبعد 10 أيام وقل “مرحبًا، لقد ضربتنا مجموعة أخرى من برامج الفدية”. لقد فقدنا البيانات مرة أخرى. نحن نعمل على العلاج. يقول بريلي: “أعتقد أن هذا سيكون سيئًا”.

يمكن الشعور بالتأثير المضاعف للهجمات المتعددة داخليًا أيضًا. يمكن أن تؤدي هجمات برامج الفدية المزدوجة إلى إرهاق عاطفي وإحباط معنويات فرق الاستجابة للحوادث. في الصناعة التي تكافح احترققد تجد المؤسسات أن مواهبها الأمنية جاهزة للمضي قدمًا بعد الهجوم المزدوج. يقول مايندر: “ربما تتحدث عن قدر كبير من استنزاف موظفي تكنولوجيا المعلومات لديك على الفور تقريبًا”.

سيزداد التأثير المالي لبرامج الفدية عندما تتعرض إحدى المؤسسات لهجومين متتابعين سريعًا. قد تختار المنظمة دفع أكثر من طلب فدية واحد. إذا اختارت عدم الدفع، فسوف تحتاج إلى التعامل مع العواقب المالية لأي بيانات مفقودة أو مسربة.

يمكن أن يساعد التأمين السيبراني في تعويض التأثير المالي لهجوم برامج الفدية، ولكن المؤسسة التي تتعرض للهجوم مرتين في فترة زمنية قصيرة قد تجد أنها تتجاوز حدود سياستها. قد تقوم شركة التأمين الخاصة بها أيضًا بإعادة تقييم مستوى المخاطر التي تمثلها المنظمة عندما يحين وقت تجديد البوليصة.

الحد من المخاطر

كيف يمكن للمؤسسات تقليل احتمالية وقوعها ضحية لهجوم فدية مزدوج؟ الاستجابة للحوادث أمر ضروري. “امتلاك إمكانيات المراقبة وإمكانيات التسجيل التي يمكنك القيام بها [use to] يقول برالي: “حاول سريعًا معرفة كيفية اختراق جهة التهديد هذه، ونأمل أن يساعدك ذلك في سد تلك الثغرة حتى لا تظهر مجموعة أخرى من برامج الفدية”.

يتم تطوير الاستجابة الفعالة للحوادث قبل وقوع الحادث. في حين أن اختبارات الاختراق والتدريبات الحاسوبية تعتبر ذات قيمة، يرى جربر أن الحوادث الخطيرة، مثل هجمات برامج الفدية المزدوجة، تتطلب المزيد من الاستعداد. قد تتمكن المنظمات التي تمارس الاستجابة لهذه الأنواع من الأحداث في نسخ طبق الأصل من أنظمتها من مقاومة هجمات برامج الفدية قبل أن تصبح ذات تأثير مادي. “هذه الأشياء خطيرة للغاية. لا يمكنك التدرب معهم في بيئة الإنتاج الخاصة بك، وإلا فسوف تكسر شيئًا ما.

ويلعب التأمين السيبراني أيضًا دورًا مهمًا في الحد من تعرض المنظمة للمخاطر، لكنه لا يستطيع أن يقف بمفرده. يقول وينروب: “المقصود من التأمين أن يكون شكلاً من أشكال حماية الميزانية العمومية للمؤسسات”. “لن يكون التأمين السيبراني هو النهاية أبدًا، إما أن يكون كل شيء أو يستبعد الآخر، فإما تحتاج إلى وضع أمني قوي، أو تحتاج إلى بوليصة تأمين.”

على الرغم من أن الطريقة التي تستجيب بها المؤسسة لهجوم برامج الفدية أمر بالغ الأهمية، إلا أن هيليغوس يؤكد على أهمية الرجوع خطوة إلى الوراء لفهم كيفية حصول الجهات الفاعلة في مجال التهديد على الوصول. يقول هيليغوس: “إن استكشاف كيفية الحصول على هذا الوصول، ومن ثم كيفية بيعه، هو أمر أساسي في رأيي لفهم مشكلة برامج الفدية”.

على سبيل المثال، وجدت الأبحاث التي أجرتها SpyCloud صلة بين البرامج الضارة لسرقة المعلومات، والتي تُستخدم لسرقة بيانات الاعتماد، وهجمات برامج الفدية. من بين 2,613 ضحية لبرامج الفدية في أمريكا الشمالية وأوروبا في عام 2023، أصيب 30% منهم ببرنامج سرقة المعلومات مرة واحدة على الأقل قبل التعرض لهجوم برنامج الفدية، وفقًا لتقرير SpyCloud. تقرير الدفاع عن برامج الفدية لعام 2023.

إن فهم كيفية حصول الجهات الفاعلة على التهديد على الوصول ثم بيعه يمكن أن يفيد نهج المؤسسات في الاستراتيجيات الدفاعية.

المزيد من هجمات برامج الفدية قادمة

ومن المتوقع أن رانسومواري يستمر في عام 2024. في حين أن بعض أحداث برامج الفدية معروفة للعامة، إلا أن الجديد قواعد الكشف عن حوادث الأمن السيبراني للشركات العامة من هيئة الأوراق المالية والبورصات الأمريكية (SEC) يمكن أن تزيد من وضوح الرؤية. يقول برالي: “أعتقد أنه مع هذه القواعد الجديدة، من المحتمل أن نرى أن برامج الفدية أكثر انتشارًا مما كنا نعتقد”.

كما أن الطفرة في قدرات الذكاء الاصطناعي تنذر بمزيد من الهجمات. ستستخدم مجموعات برامج الفدية الذكاء الاصطناعي بطرق مبتكرة لاستهداف الضحايا، سواء بهجوم واحد أو عدة هجمات. يقول جربر: “في حالة شعور المؤسسات بعدم الاستعداد قليلاً للإصدار اليدوي من برامج الفدية، فما عليك سوى الانتظار حتى يساعد الذكاء الاصطناعي في ذلك”.

في حين أن اتجاهات برامج الفدية قد تتطور، فمن المرجح أن تظل تهديدًا مستمرًا طالما ظلت مربحة.