التفكيك الوحشي ل طاقم برنامج الفدية LockBit و إذلال لاعبيها الرئيسيين كانت واحدة من أكثر قصص نجاح الأمن السيبراني التي تم الحديث عنها خلال الأشهر الـ 12 الماضية، ولكن بالنظر إلى البيانات الأولية، لا يبدو أنها فعلت الكثير لثني مجرمي الإنترنت.
هذا بحسب تقرير Secureworks السنوي تقرير حالة التهديد لعام 2024، والذي يسدل الستار اليوم ليكشف عن ارتفاع بنسبة 30٪ على أساس سنوي في مجموعات برامج الفدية النشطة التي تستخدم مواقع تسريب الاسم والعار، مع دخول 31 جهة فاعلة جديدة إلى النظام البيئي في الفترة من يونيو 2023 إلى يوليو 2024.
نظرا لإزالة LockBit حدث في فبراير قد لا يكون من المفاجئ معرفة أن العصابة كانت مسؤولة عن 17% من قوائم برامج الفدية خلال الفترة المذكورة، على الرغم من انخفاض هذه النسبة بنسبة 8% على أساس سنوي نظرًا للاضطراب الذي سببته الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA). الذي قاد هجوم عملية كرونوس.
كما تراجعت فرقة BlackCat/ALPHV خلال العام الماضي، والتي عانت من هزيمة مماثلة على أيدي إنفاذ القانون قبل سحب المنتج الخاص بها في عملية احتيال خروج محتملة، بينما Clop/Cl0p، الذي تم الاستفادة من حل وسط نقل الملفات MOVEit في عام 2023 لتضرب مئات الضحايا، كما أنها لم تكن نشطة في الآونة الأخيرة.
وفي الوقت نفسه، ضاعفت عصابة Play، وهي ثاني أكثر عصابات برامج الفدية نشاطًا، عدد ضحاياها على أساس سنوي RansomHub، وهي مجموعة جديدة ظهرت بعد وقت قصير من إزالة LockBit، وأصبحت في غضون بضعة أشهر فقط ثالث أكثر المجموعات نشاطًا على الساحة، مع حصة 7٪ من الضحايا المدرجين. وقد تركت شركة كيلين أيضًا بصمتها، لا سيما في هجومها البارز على شريك NHS Synnovis.
“إن برامج الفدية هي عمل تجاري لا قيمة له بدون نموذج الشركة التابعة لها. في العام الماضي، حطمت أنشطة إنفاذ القانون الولاءات القديمة، وأعادت تشكيل أعمال الجرائم الإلكترونية. كانت استجابات الجهات الفاعلة في الأصل فوضوية، إلا أنها قامت بتحسين عملياتها التجارية وكيفية عملها. وقال دون سميث، نائب رئيس قسم استخبارات التهديدات في وحدة مكافحة التهديدات في Secureworks (CTU): “النتيجة هي وجود عدد أكبر من المجموعات، مدعومًا بهجرة كبيرة للشركات التابعة”.
وقال سميث: “مع تطور النظام البيئي، لدينا إنتروبيا في مجموعات التهديد، ولكن أيضًا عدم القدرة على التنبؤ في قواعد اللعب، مما يضيف تعقيدًا كبيرًا للمدافعين عن الشبكة”.
المزيد من العصابات، وضحايا أقل
ولكن على الرغم من هذا النمو، لم تشهد أعداد الضحايا ارتفاعًا بوتيرة مماثلة حتى الآن، ربما نتيجة لمحاولة العصابات العثور على مكان لها في مشهد أكثر تشرذمًا.
لاحظ فريق CTU أيضًا الكثير من الحركات التابعة في النظام البيئي لبرامج الفدية، والتي قد تكون الدافع جزئيًا لهذا الاتجاه. وفي العديد من الحالات خلال الأشهر الـ 12 الماضية، لاحظ الباحثون عددًا من هجمات برامج الفدية حيث تم إدراج الضحايا في أكثر من موقع واحد، ربما نتيجة لبحث الشركات التابعة عن منافذ جديدة لعملهم في النظام البيئي الذي يزداد فوضوية.
ومن المؤكد أن الأشهر الـ 12 الماضية كانت فوضوية؛ قال محللو شركة Secureworks إن الاتجاه كان واضحًا في توسيع مشهد برامج الفدية، بحيث أصبح المشهد الذي كان يهيمن عليه سابقًا عدد أقل من العمليات الكبيرة الآن موطنًا لمجموعة أكثر تنوعًا من قطاع الطرق السيبرانيين.
ومع ذلك، قد يؤدي هذا إلى مشهد تهديد أكثر خطورة على غرار “الغرب المتوحش”، حيث تتمتع المجموعات الأصغر بمسؤولية وهيكل أقل من حيث كيفية عملها. على سبيل المثال، يبدو أن الانخفاض في متوسط أوقات المكوث التي لوحظت هذا العام هو نتيجة لتحرك المجرمين بسرعة وكسر الأشياء في هجمات سريعة الوتيرة والتحطيم والاستيلاء.
ومع تطور النظام البيئي الجديد واندماجه خلال الأشهر المقبلة، قالت شركة Secureworks إن المدافعين يمكن أن يتوقعوا رؤية المزيد من التنوع والتحولات في منهجيات الهجوم.
تتضمن بعض المنهجيات الجديدة التي تمت ملاحظتها بالفعل في هذا المجال ميلًا متزايدًا لعصابات برامج الفدية لسرقة بيانات الاعتماد وملفات تعريف الارتباط الخاصة بالجلسة للوصول من خلالها. العدو في الوسط (AitM)، والتي تُعرف أحيانًا باسم هجمات الرجل في الوسط (MitM)، باستخدام مجموعات التصيد مثل EvilProxy أو Tycoon2FA المتوفرة بسهولة على الويب المظلم. وقال فريق البحث إن هذا الاتجاه يجب أن يدق أجراس الإنذار للمدافعين لأنه من المحتمل أن يقلل من فعالية بعض أنواع المصادقة متعددة العوامل (MFA).
كما أن عصابات برامج الفدية ليست محصنة ضد جاذبية الذكاء الاصطناعي. منذ إطلاق ChatGPT قبل عامين تقريبًا، كانت هناك أحاديث في أوساط المجرمين حول كيفية نشر مثل هذه النماذج لأغراض شريرة – غالبًا للتصيد الاحتيالي – ولكن بعض حالات الاستخدام أكثر حداثة.
في إحدى الهجمات التي حققت فيها شركة Secureworks، قامت عصابة إجرامية إلكترونية بمراقبة اتجاهات Google بعد وفاة أحد المشاهير لتحديد الاهتمام بالنعي، ثم استخدمت الذكاء الاصطناعي التوليدي لإنشاء تحيات على المواقع الضارة التي تم التلاعب بها في أعلى عمليات بحث Google عن طريق تسميم تحسين محركات البحث (SEO). يمكن بسهولة استخدام مثل هذه المواقع كوسيلة لنشر البرامج الضارة أو برامج الفدية.
“يستمر مشهد الجريمة السيبرانية في التطور، أحيانًا يكون طفيفًا، وأحيانًا أكثر أهمية. إن الاستخدام المتزايد للذكاء الاصطناعي يمنح نطاقًا واسعًا للجهات الفاعلة في مجال التهديد، ومع ذلك فإن زيادة هجمات AitM تمثل مشكلة أكثر إلحاحًا للمؤسسات، مما يعزز تلك الهوية هي المحيط ويجب أن تسبب وقال سميث: “يجب على الشركات تقييم موقفها الدفاعي والتفكير فيه”.
