تعرف على الانعكاس المظلم للبرامج كخدمة (SaaS): برامج الفدية كخدمة (RaaS). في حين أن شركات SaaS الشرعية تقدم اشتراكات في البرامج لمساعدة الشركات على إدارة العمليات القانونية، فإن مجموعات RaaS تقدم اشتراكات في البرامج الضارة ومجموعة من خدمات الدعم للشركات التابعة لجرائم الإنترنت.
“لقد انتشرت برامج الفدية كخدمة بشكل كبير منذ ظهور العملات المشفرة في السوق في عام 2009،” هذا ما قاله جوي بورسر، رئيس قسم تكنولوجيا المعلومات الميداني في شركة إدارة بيانات المؤسسات. الحقيقة، الصدقيقول. تعمل RaaS على تقليل الحواجز التي تحول دون دخول مجرمي الإنترنت المحتملين. بدلاً من الحاجة إلى تطوير جميع المهارات التقنية اللازمة لكتابة البرامج الضارة والوصول إلى نظام الضحية، يمكن للجهات الفاعلة في مجال التهديد شراء برامج فدية جاهزة والوصول إليها.
كيف يعمل هذا النموذج الاحترافي، ومن هم بعض اللاعبين الرئيسيين؟
اقتصاد RaaS
يجب تعزيز شعور معين بالثقة بين الجهات الفاعلة في مجال التهديد والضحايا حتى تصبح برامج الفدية مربحة. يقول روب لي، كبير مديري المناهج وقائد هيئة التدريس: “إذا اعتقد الضحايا للحظة أن دفع فدية بقيمة 50 مليون دولار أو 30 مليون دولار أو 20 مليون دولار لن يعيد لهم المفاتيح لفتح أنظمتهم، فلن يدفعوها أبدًا”. فيمعهد سانز، شركة تدريب في مجال الأمن السيبراني.
لا يدفع جميع الضحايا المبلغ، لكن الكثير منهم يدفعون. في عام 2023، حققت برامج الفدية علامة فارقة 1.1 مليار دولار من مدفوعات العملة المشفرة. تقوم مجموعات RaaS ببناء هذه الثقة لأنها تضم خبراء يقومون ببرمجة البرامج الضارة الفعالة.
“إذا كان كل شخص يقوم ببرمجة الأشياء الخاصة به، فمن المحتمل جدًا أن تقوم بإدخال الأخطاء والفرصة [of] يشرح لي أن شيئًا ما يسير على نحو خاطئ أمر رائع. “لذا، فإن أي شيء يتم ترميزه بشكل صحيح ويعمل بشكل وظيفي في كل مرة لديه فرصة أكبر للنجاح في خلق الثقة اللازمة في البيئة لنجاح برامج الفدية.”
يجتمع اللاعبون المختلفون معًا لتشكيل اقتصاد RaaS. يبيع المشغلون مجموعة متنوعة من الخدمات بدءًا من متغيرات برامج الفدية واستطلاع الضحايا وحتى الوصول الأولي ودعم التفاوض. عادةً ما تقوم مجموعات RaaS أيضًا بتشغيل مواقع التسريب وتسهيل دفع مبالغ للضحايا.
تختلف النماذج المالية لـ RaaS اعتمادًا على المجموعة. قد تدفع الشركات التابعة رسوم اشتراك شهرية، والتي يمكن أن تكون غير مكلفة نسبيًا، من المحتمل أن تتراوح بين 200 إلى 300 دولار، وفقًا لكارل ويرن، رئيس تحليل استخبارات التهديدات والعمليات المستقبلية في شركة أمن تكنولوجيا المعلومات. مايم كاست.
قد تكون رسوم الاشتراك الشهرية مصحوبة باتفاقية لتقاسم الأرباح تدفع فيها الشركة التابعة نسبة مئوية من أي فدية يتم استغلالها بنجاح إلى مجموعة RaaS. يقول بورسر: “في حالة نجاح الشركة التابعة في إصابة العملة المشفرة واستلامها فعليًا، فقد يحصل منشئ الكود على نسبة مئوية … تصل إلى 30 أو حتى 33 بالمائة من عائدات الفدية المدفوعة”.
قد تقدم بعض المجموعات أيضًا متغيرات من برامج الفدية مقابل رسوم ترخيص لمرة واحدة.
تلعب منتديات الويب المظلمة دورًا حيويًا في ربط مختلف الأطراف العاملة في اقتصاد RaaS. يقول بول مانسفيلد، كبير محللي استخبارات التهديدات السيبرانية في شركة الخدمات المهنية: “أود أن أقول إن معظم المجموعات الرئيسية تستخدم الويب المظلم للإعلان عن خدماتها وتجنيد الشركات التابعة لها”. أكسنتشر.
وكانت الرعاية الصحية والصحة العامة والتصنيع الحيوي والمرافق الحكومية هي الأكثر أهمية القطاعات الثلاثة الأولى التي تعرضت لبرامج الفدية هجمات العام الماضي، وفقًا لتقرير جرائم الإنترنت لعام 2023 الصادر عن مكتب التحقيقات الفيدرالي (FBI). لكن مجموعات برامج الفدية والشركات التابعة لها انتهازية. المنظمات في القطاعات الأخرى ليست معفاة من مخاطر برامج الفدية.
اللاعبين الرئيسيين
لقد كان LockBit أكبر اسم في RaaS خلال السنوات القليلة الماضية. في عام 2023، كانت المجموعة مسؤولة عن حوالي 25% من جميع تسريبات برامج الفديةوفقا لشركة الأمن السيبراني تريند مايكرو. وطالبت الجماعة بفدية كبيرة من بعض ضحاياها. العام الماضي، ذلك وطالب بـ 70 مليون دولار من شركة تايوان لتصنيع أشباه الموصلات (TSMC) و 80 مليون دولار من شركة منتجات وخدمات تكنولوجيا المعلومات CDW.
ان جهود الإزالة الدوليةوعطلت عملية كرونوس المجموعة في وقت سابق من هذا العام. وقد أدى نشاط إنفاذ القانون هذا إلى إحداث موجات من التموجات عبر مشهد برامج الفدية، مما أدى إلى اعتقالات وتكسير قوة RaaS.
حظي Clop بالكثير من الاهتمام في عام 2023 بسبب ارتباطه بـ خرق MOVEit. استغلت عصابة برامج الفدية ثغرة أمنية في أدوات نقل الملفات MOVEit Transfer وMOVEit Cloud، مما أدى إلى تداعيات كبيرة.
ALPHV/Blackcat هو اسم كبير آخر في مجال RaaS. “لقد استهدفوا الكثير من المنظمات المختلفة، وهذه الأهداف… كانت موجودة [industries]يقول بول لاودانسكي، مدير الأبحاث الأمنية في منصة الأمن السيبراني أونابسيس.
تصدرت المجموعة عناوين الأخبار في وقت سابق من هذا العام بـ الهجوم على تغيير الرعاية الصحية، نظام الدفع والمطالبات. وكانت تداعيات هذا الهجوم واسعة النطاق في صناعة الرعاية الصحية. ويعتقد الخبراء أن المجموعة ربما تكون قد أغلقت موقع التسريب الخاص بها كجزء من عملية احتيال بعد هذا الهجوم.
“نحن في زمن التغير. “مجرد النظر إلى منتديات الويب المظلم والمناقشات الجارية – لقد تسبب ذلك بالفعل في حدوث صدمة”، يقول مانسفيلد. “إنها… تنشر عدم الثقة والخوف بين المجتمع.”
المجموعات الناشئة
في حين تم تكثيف إجراءات إنفاذ القانون ضد مجموعات برامج الفدية، فإن النظام البيئي RaaS لا يزال حيًا وبصحة جيدة مع وجود مساحة للاعبين الجدد. يسلط مانسفيلد الضوء على ثلاث مجموعات لفتت انتباهه وفريقه.
الجديد على الساحة هو RansomHub، وهي مجموعة تدعي أن لديها ملفات من Change Healthcare. المجموعة نشر بعض تلك السجلات المسروقة على موقع التسريب الخاص بها، وفقًا لتقارير Cybernews.
يقول مانسفيلد: “توقيعهم موجود على كل منشور… إنهم يسمحون للشركات التابعة بالحصول على أموال في محفظة Bitcoin الخاصة بهم أولاً ثم يدفعون لـ RansomHub أخيرًا”. “إنهم يعرضون تقسيمًا بنسبة 90/10. لذا فإن هذا أمر غير عادي و… ربما خطوة لتقويض المعارضة وجذب الشركات التابعة.
BlackHunt 2.0 هي مجموعة أخرى على رادار مانسفيلد. إنها تضع نفسها كمجموعة RaaS محترفة. يقول مانسفيلد: “لقد وجهوا إعلاناتهم إلى الأشخاص الذين سئموا من مبالغ الفدية المنخفضة وعمليات الاحتيال والعمل غير المهني”. “يقولون إنهم موثوقون ومحترفون.”
MedusaLocker كان موجودًا منذ عام 2019، ويستهدف في المقام الأول قطاع الرعاية الصحية، وفقًا لتقرير مركز تنسيق الأمن السيبراني لقطاع الصحة (HC3). لكن المجموعة كثفت نشاطها مؤخرا، بحسب مانسفيلد.
وقد يؤدي النهج الذي تتبعه المجموعة في الدفع بالعمولة إلى جعلها شريكًا جذابًا لمجرمي الإنترنت. “إنهم يفعلون… نموذج الدفع المئوي، يبدأ من 70/30 للفدية الأصغر، مثل نصف مليون ثم… المقياس المتدرج حتى 90/10 للفدية التي تزيد عن مليون،” يشارك مانسفيلد. “من الواضح أنهم يحفزون الهجمات ضد الشركات الكبرى.”
تحصل الشركات التابعة التي تتجاوز مدفوعاتها مليون دولار على فوائد إضافية من MedusaLocker، مثل الدعم على مدار الساعة طوال أيام الأسبوع وهجمات رفض الخدمة الموزعة (DDoS) التي يتم إجراؤها على ضحاياها، وفقًا لما ذكره مانسفيلد.
المجموعات التي تستفيد من نماذج RaaS التقليدية ليست هي اللاعبين الناشئين الوحيدين. كشفت شركة الأمن السيبراني سوفوس أن التتبع 19 نوعًا مختلفًا من برامج الفدية “Junk Gun”. مصممة لتعطيل نموذج RaaS. ووفقا للتقرير، يبيع المهاجمون هذه المتغيرات غير المتطورة مقابل رسوم لمرة واحدة، بدلا من الاعتماد على النموذج التابع.
الشركات التابعة لـ RaaS
من هم الأشخاص الذين يدفعون مقابل RaaS؟
“من المحتمل أن تتورط في الجرائم الإلكترونية وبرامج الفدية دون أي مهارات فريدة بنفسك فقط عن طريق استئجار برنامج الفدية، وشراء الوصول من جهة تهديد أخرى عبر Telegram على سبيل المثال، ثم الوصول إلى حسابات المستخدمين وتحميل برنامج الفدية الخاص بك. يقول ويرن: “يمكن أن يكون الأمر بهذه البساطة”.
تعمل RaaS على تقليل حاجز الدخول إلى عالم الجرائم الإلكترونية، ولكن هذا لا يعني بالضرورة أن جميع الشركات التابعة لبرامج الفدية هي جهات تهديد غير ماهرة. تتمتع مجموعات RaaS بسمعة طيبة يجب التمسك بها، والعديد منها لديه معايير يجب على الشركات التابعة استيفائها.
“هم [affiliates] “قد يحتاج الأمر إلى تقديم معلومات حول تكوين فريقهم لأنه من الواضح أن المنتسبين يمكن أن يكونوا أكثر من شخص واحد،” يوضح مانسفيلد. “قد يحتاجون إلى دليل على العمل مع البرامج التابعة الأخرى، وبرامج RaaS الأخرى. قد يحتاجون إلى دليل على رصيد محفظة العملة المشفرة.
يعد المكسب المالي دافعًا واضحًا للأشخاص الذين يدفعون مقابل RaaS، ولكن من الممكن أيضًا أن تكون هناك عوامل أخرى، مثل النشاط القرصنة أو المشاعر السياسية، تلعب دورًا.
“قد نقرر أن الإسناد قد يذهب إلى مجموعة معينة من برامج الفدية، ولكن… لن يكون مستبعدًا أن تتمكن جهة فاعلة من دولة قومية من المرور عبر برنامج فدية كمجموعة خدمة لتتمكن من إضافة تلك الطبقة الإضافية من البرمجيات الخبيثة.” يقول لاودانسكي: “التشويش حول هويتهم الحقيقية”.
تعطيل مجموعات RaaS
كانت عمليات كرونوس بمثابة فوز كبير لإنفاذ القانون. استولى فريق العمل على موقع تسرب البيانات الخاص بـ LockBit، وقاموا بتجميد حسابات العملات المشفرة، وقاموا بتنسيق عملية اعتقال شخصين.
لكن إزالة مجموعات RaaS لا تزال تمثل تحديًا. بعد عملية الإزالة، عاد LockBit إلى الظهور. تم إصابة ALPHV/Blackcat بـ حملة تعطيل في ديسمبر 2023. لقد ردت بهجوم تغيير الرعاية الصحية بعد أشهر قليلة.
ورغم أن الاعتقالات ذات مغزى، إلا أنها تشكل تحديًا في تنفيذها. غالبًا ما تعمل جهات التهديد في أماكن، مثل روسيا، التي ليس لديها اتفاقيات تسليم مع دول مثل الولايات المتحدة والمملكة المتحدة. يمكن للجهات التهديدية أن تتفرق وتتجمع تحت نفس الشعار، أو يمكنها نقل مهاراتها إلى مجموعات أخرى من برامج الفدية.
تطبيق القانون وحده لا يكفي لمكافحة نشاط برامج الفدية. والتعاون مع القطاع الخاص أمر حيوي. كانت بورسر مديرة إقليمية لوكالة الأمن السيبراني وأمن البنية التحتية (CISA) عندما وقع هجوم برنامج الفدية Colonial Pipeline في عام 2021، وتتذكر أهمية هذا التعاون.
“أتذكر بوضوح شديد أن العديد من الوكالات الفيدرالية الأمريكية تعمل بسلاسة شديدة مع شركة Colonial Pipeline لإجراء التحاليل الجنائية السريعة للمساعدة [them] عد إلى الإنترنت واسترد بعضًا من تلك الأموال التي تم دفعها بشكل عشوائي.
إن المعركة ضد RaaS، بالإضافة إلى الأشكال الأخرى من الجرائم الإلكترونية، هي معركة مستمرة يخوضها إنفاذ القانون والضحايا المحتملون.
إدارة مخاطر RaaS
كيف يمكن لقادة المؤسسات إدارة المخاطر المرتبطة بـ RaaS؟ يقول ويرن: “إن دفاعك الرئيسي ضد برامج الفدية هو مرونة شبكتك وإمكانياتك الاحتياطية، والتي يبدو أنها لا ترقى إلى مستوى المهمة بالنسبة للعديد من الشركات في الوقت الحالي”.
إن تحقيق المرونة المطلوبة في المؤسسة يعني أن الأمن يحتاج إلى اهتمام القيادة العليا. “عليك تمكين المتخصصين في مجال الأمن ليكونوا قادرين على إجراء تحليل مناسب للمخاطر. يجب عليك تمكين المتخصصين في مجال الأمن، وفريق CISO وCISO، ليكونوا قادرين على ذلك [implement] يجادل لاودانسكي بإطار أمني.
تحتاج فرق الأمن إلى فهم ما تستخدمه المؤسسة عبر مجموعتها التكنولوجية وأين تكمن مخاطرها، داخليًا وعبر سلسلة التوريد الخاصة بها. إن اعتماد بروتوكولات الأمن السيبراني مثل المصادقة متعددة العوامل، والتصحيح المنتظم، والثقة المعدومة، والنسخ الاحتياطي للبيانات يمكن أن يخفف من هذه المخاطر.
يلعب تدريب الموظفين أيضًا دورًا مهمًا في الدفاع عن المؤسسة ضد تهديدات برامج الفدية. يحتاج كل شخص في أي مؤسسة إلى معرفة هذه التهديدات، بما في ذلك المديرين التنفيذيين. “من المفيد تدريب المديرين التنفيذيين على كيفية التعامل مع محاولات الابتزاز لأن هذا هو الاتجاه الحقيقي الذي نشهده مؤخرًا … مجموعات برامج الفدية تتجه نحو [after] المديرين التنفيذيين،” يشارك مانسفيلد.
يمكن أن يؤدي الوعي بـ RaaS إلى إعداد المؤسسات، كما تعمل سلطات إنفاذ القانون على الحد من نشاط المجرمين الإلكترونيين، لكن RaaS تظل مربحة للجهات الفاعلة في مجال التهديد. وهذا يعني أن المجموعات والشركات التابعة في هذا النظام البيئي ستستمر في استهداف الضحايا.
