يبدو أن المد قد انقلب في مشهد برامج الفدية في عام 2022. وأظهرت التقارير أ انخفاض أعداد الهجمات و المزيد من الضحايا يرفضون الدفع. ولكن في عام 2023، ارتفع نشاط برامج الفدية. نجحت عصابات برامج الفدية في ابتزاز رقم قياسي 1.1 مليار دولار من مدفوعات العملات المشفرة من الضحايا، وفقًا لتقرير صادر عن شركة تحليل البلوكتشين Chainana Analysis.
ما هي العوامل التي أدت إلى ارتفاع نشاط برامج الفدية؟ وبعد عام من المدفوعات القياسية، ما الذي يمكن أن يتوقعه قادة أمن المؤسسات في مشهد برامج الفدية في عام 2024؟
الجهات الفاعلة التهديد الأعلى
تظل برامج الفدية عملاً مربحًا لمجرمي الإنترنت، كما أن حاجز الدخول منخفض نسبيًا. يمكن للجهات الفاعلة في مجال التهديد البحث عن ثغرات يمكن استغلالها بسهولة أو اختيار الدفع مقابل برامج الفدية كخدمة. على الرغم من أن حجم الهجمات كبير، إلا أن العديد من الجماعات سيئة السمعة تتولى زمام المبادرة كمجرمين متكررين.
وقال جوناثان برالي، مدير استخبارات التهديدات في شركة LockBit: “نرى أن ما يقرب من 25% من جميع هجمات برامج الفدية تأتي من تلك المجموعة”. تكنولوجيا المعلومات – مركز تبادل المعلومات وتحليلها (IT-ISAC)“، يقول InformationWeek. “لذلك، نشهد كل أسبوع ما بين 10 إلى اثنتي عشرة هجمات قادمة من LockBit فقط.”
شركة تايوان لتصنيع أشباه الموصلات (TSMC) وشركة منتجات وخدمات تكنولوجيا المعلومات CDW كانوا من بين ضحايا LockBit في عام 2023. وطالبت المجموعة بمبلغ 70 مليون دولار من TSMC و80 مليون دولار من CDW. وفي عام 2024، أعلنت الجماعة مسؤوليتها عن الهجمات على مستشفى سانت أنتوني و مستشفى لوري للأطفال في شيكاغو.
كانت عصابة Clop Ransomware Gang أيضًا لاعبًا كبيرًا في العام الماضي. وكانت المجموعة مرتبطة ب خرق MOVEit، والتي أثرت الآلاف من المنظمات والملايين من الناسبحسب شركة البرمجيات Emsisoft.
كان ALPHV/Blackcat لاعبًا بارزًا آخر في عام 2023. وقد أحدثت المجموعة موجات في الخريف عندما أبلغت عن أحد ضحايا الاختراق إلى لجنة الأوراق المالية والبورصة الأمريكية (SEC) لعدم الكشف عن الانتهاك. في ديسمبر/كانون الأول، أعلنت وزارة العدل أن مكتب التحقيقات الفيدرالي قام بتطوير وعرض أداة فك التشفير لأكثر من 500 من ضحايا ALPHV/Black Cat. أنقذت حملة التعطيل الضحايا تقريبًا 68 مليون دولار في طلبات الفدية.
يقول كريج هوفمان، الشريك ورئيس فريق الأمن السيبراني في شركة محاماة: “إننا نشهد بعض المكاسب على جانب إنفاذ القانون للمساعدة في تقليل قدرة هذه المجموعات على العمل هناك بفعالية كما كانت من قبل”. بيكر هوستتلر.
بينما تعمل سلطات إنفاذ القانون على تعطيل نشاط برامج الفدية، تستمر الجهات الفاعلة في التهديد في التطور.
“في الأصل، عندما بدأت برامج الفدية، كانت مفككة تمامًا، لكنني أعتقد أن الجهات الفاعلة أصبحت أكثر انسيابية. أعتقد أنهم يعملون بشكل أوثق معًا،” أندرو كوستيس، رئيس فرع فريق أبحاث الخصوم في هجومIQ، منصة تحسين الأمن، والأسهم.
كما تستفيد الجهات التهديدية بشكل متزايد من تسريب البيانات كوسيلة للابتزاز وتحقيق الربح: حيث تدفع الشركات إلى دفع فدية لمنع نشر البيانات الحساسة أو بيع تلك البيانات الحساسة.
ريتشارد كارالي، كبير مستشاري الأمن السيبراني في اكسيوتشير شركة إدارة أداء الأمن السيبراني إلى أن الهجمات الإلكترونية الكبرى على شركات مثل إم جي إم و 23andMe في عام 2023، تضمنت عملية استخراج البيانات. ويقول: “إن بيعها أو استخدامها لشن هجمات مستقبلية أكثر ربحًا بالنسبة لهذه المجموعات على شبكة الإنترنت المظلمة، مما أعتقد أننا ننسب إليهم الفضل فيه”.
ناقلات الهجوم الشعبية
لا تحتاج مجموعات برامج الفدية بالضرورة إلى اتباع التقنيات الأكثر تطورًا للوصول إلى ضحاياها واستغلالهم. وقد أثبتت أساليب الهندسة الاجتماعية والتصيد الاحتيالي فعاليتها. يقول كارالي: “نحن لا نولي اهتمامًا كافيًا للممارسات الأساسية والضوابط الأساسية”.
تستغل الجهات الفاعلة في مجال التهديد أيضًا ثغرات يوم الصفر، مثل تلك الموجودة في أداة نقل الملفات MOVEit، لتنفيذ هجمات برامج الفدية.
في حين أن مجموعات برامج الفدية تكون سعيدة للغاية باختيار الثمار القريبة، إلا أنها تجد أيضًا طرقًا جديدة لتنفيذ هجماتها.
“إنهم يتحولون إلى لغات برمجة مختلفة، لذلك يستخدمون أشياء مثل Rust،” يوضح بريلي. “يمكنهم ملاحقة macOS، ويمكنهم ملاحقة Linux. يمكنهم أيضًا ملاحقة بعض أنظمة تشغيل الأجهزة المحمولة هذه أيضًا.
وتستفيد الجهات الفاعلة في مجال التهديد أيضًا من تكتيكات الهندسة الاجتماعية الأكثر تقدمًا، وفقًا لكوستيس. “لذلك، على سبيل المثال، المصادقة متعددة العوامل [MFA] هجمات الإرهاق أو التصيد عبر الرسائل النصية القصيرة بدلاً من التصيد الاحتيالي التقليدي عبر البريد الإلكتروني. ومن الواضح أن الذكاء الاصطناعي والذكاء الاصطناعي التوليدي بدأا يلعبان دورًا في هذا أيضًا.
أسوأ برامج الفدية الضارة الضحايا
مجموعات برامج الفدية لها دوافع مالية؛ ويميل نشاطهم إلى أن يكون انتهازيًا.
يقول هوفمان: “إذا كنت متصلاً بالإنترنت وتستخدم شبكة VPN يعرف الأشرار أنها معرضة للخطر، فسيقومون فقط بفحص الإنترنت بحثًا عن شبكة VPN هذه”. “بطريقة ما، فإنهم لا يهتمون بمن يجدونه طالما أنهم يجدون شخصًا يمكنهم مهاجمته [becomes] شخص قد يدفع لهم.”
يتم الإبلاغ عن هجمات برامج الفدية في العديد من القطاعات المختلفة، بدءًا من التمويل والرعاية الصحية والتعليم والحكومة وغيرها. يقوم IT-ISAC بتتبع نشاط برامج الفدية عبر القطاعات الحيوية في الولايات المتحدة. يقول برالي: “عادةً ما يأتي قطاع التصنيع الحرج في المرتبة الأولى، حيث يصل إلى حوالي 15 بالمائة”.
وقد يكون ضحايا البنية التحتية الحيوية أكثر عرضة للدفع لأنهم لا يستطيعون تحمل تكاليف التوقف عن العمل، كما أنهم يقدمون للجهات الفاعلة في مجال التهديد إمكانية محيرة للحصول على بيانات قيمة. يقول كوستيس: “أعتقد أننا قد نبدأ في رؤية المزيد من هجمات برامج الفدية المستهدفة… في المستقبل”.
في ديسمبر 2023، قامت مجموعة تابعة للحرس الثوري الإسلامي التابع للحكومة الإيرانية اختراق سلطة المياه البلدية في ولاية بنسلفانيا. في الشهر السابق، كانت مرافق المياه في ولاية تكساس ضرب مع هجوم الفدية.
يقول كارالي: “إلى حد ما، يتعلق الأمر بتعطيل العمليات ونشر الخوف هناك”.
اتجاه مستمر
في عام 2024 حتى الآن، تتبعت شركة Comparitech أكثر من 60 هجومًا من برامج الفدية في قطاعات الأعمال والتعليم والحكومة والرعاية الصحية. ويشارك بريلي أن IT-ISAC شهد 185 هجومًا في يناير، مقارنة بـ 120 هجومًا في يناير الماضي. ما الذي يمكن أن يتوقعه قادة المؤسسات مع استمرار نشاط برامج الفدية؟
برامج الفدية المزدوجة هو مصدر قلق متزايد. “لم تكد الشركة تدفع فدية حتى تصاب بنوع مختلف. يقول كوستيس: “لذا، قد نشهد ارتفاعًا طفيفًا في ذلك”. من المرجح أن تستمر الجهات التهديدية في تنفيذ حملات الهندسة الاجتماعية والبحث عن ثغرات يوم الصفر لاستغلالها. إن الاستخدام المتزايد للذكاء الاصطناعي يمكن أن يؤدي إلى هجمات أكثر تعقيدًا. قد تستهدف مجموعات برامج الفدية أيضًا بشكل متزايد برامج Hypervisor.
يقول هوفمان: “إذا بدأت المجموعات في التركيز بشكل أكبر على البيئات الافتراضية – والتي تكون في بعض الأحيان أقل صلابة من الأجزاء الأخرى من شبكة الشركة – فقد ترى، على الأقل مؤقتًا حتى تتكيف الشركات، أحداث برامج فدية أكثر تأثيرًا”.
امتثال الشركات العامة ل قاعدة الإبلاغ عن حوادث الأمن السيبراني الخاصة بـ SEC والتي دخلت حيز التنفيذ في ديسمبر 2023 قد تلقي مزيدًا من الضوء على نشاط برامج الفدية. إن المزيد من الرؤية واستمرار نشاط الجهات التهديدية قد يعني أننا سنشهد رقمًا قياسيًا جديدًا من مدفوعات الضحايا المعروفين. يقول كوستيس: “لن أشعر بالصدمة إذا حصلنا على تقرير آخر بحلول نهاية العام، أو في مثل هذا الوقت من العام المقبل، برقم أعلى بكثير”.
ومع ذلك، هناك أمل للشركات ومجتمع الأمن السيبراني. يمكن للنظافة السيبرانية الأساسية وإدارة التصحيح والتحكم في الوصول أن تقطع شوطا طويلا نحو التخفيف من مخاطر برامج الفدية. يقول هوفمان: “يجب أن نرى الشركات أكثر مرونة وتحتاج إلى الدفع بشكل أقل”.
على الرغم من أن عام 2023 كان عامًا قياسيًا لمدفوعات برامج الفدية، إلا أن هوفمان يشارك اتجاهًا إيجابيًا في عمله. يقول هوفمان: “في عام 2022، فيما يتعلق ببرامج الفدية الخاصة بنا، دفع عملاؤنا حوالي 40% من الوقت، وكان ذلك نوعًا من الانقسام بين عملائنا الصغار الذين يدفعون مقابل برنامج فك التشفير وعملائنا الكبار الذين يدفعون مقابل منع النشر”. “في عام 2023، سقطنا؛ لقد دفع عملاؤنا حوالي 25% من الوقت.”
