ارتفعت أحجام هجمات برامج الفدية المسجلة بنسبة 19% خلال أكتوبر 2024 إلى إجمالي 468 حادثًا في جميع أنحاء العالم، عدد كبير منها في الولايات المتحدة، حيث من المحتمل أن الانتخابات الرئاسية المثيرة للجدل شجعت الجهات الفاعلة الناطقة بالروسية على الهجوم، وفقًا لـ مجموعة إن سي سي الأحدث شهريا نبض التهديد تقرير.
على الرغم من النطاق الكامل للمحاولة تدخل الدولة الروسية في العملية الانتخابية الأمريكية لم يُعرف بعد بشكل كامل، قال مات هال، رئيس استخبارات التهديدات في NCC، إنه لم يكن مفاجئًا أن الأسابيع القليلة الأخيرة قبل انتخابات 5 نوفمبر شهدت كميات متزايدة من نشاط التهديد.
وقال: “أظهرت الدوافع الجيوسياسية، مثل الانتخابات الأمريكية، أن الدول القومية مثل روسيا لا تزال تتمتع بنفوذ كبير على الحجم العالمي للهجمات السيبرانية”.
وقال هال: “تُظهر البيانات أننا نشهد ديناميكيات متغيرة لمشهد التهديد، مع تعاون الدول القومية وجماعات الجريمة المنظمة بشكل متزايد”. “نظرًا لأن الجهات الفاعلة المختلفة في مجال التهديد تستفيد من موارد بعضها البعض، فمن الضروري للمؤسسات التأكد من أنها على دراية بالممارسات الأمنية الأساسية مثل إدارة كلمات المرور وأمن نقطة النهاية والمصادقة متعددة العوامل.”
والواقع أن منطقة أمريكا الشمالية، التي تشمل أيضا بلدان مثل كندا والمكسيك، بصرف النظر عن الجغرافيا، تمثل 272، أو 56%، من هجمات برامج الفدية المسجلة. وبالمقارنة، وقع 97 هجومًا، أي 20%، على مؤسسات ضحية في أوروبا، أي أن أكثر من ثلاثة أرباع جميع هجمات برامج الفدية التي شوهدت الشهر الماضي استهدفت هاتين المنطقتين.
وبطبيعة الحال، لا يعني هذا استبعاد بقية العالم، وقد أظهر هجوم واحد على وجه الخصوص بوضوح عدم وضوح الخطوط الفاصلة بين الدول القومية والجريمة المنظمة. كان هذا حادثًا حيث الأنظمة في شركة الإلكترونيات اليابانية العملاقة كاسيو تم تعطيلها بواسطة برنامج الفدية Underground، المرتبط بمجموعة الجرائم الإلكترونية الروسية Storm-0978، أو RomCom.
استهدف هجوم الابتزاز المزدوج بيانات الموظفين والمرشحين للوظائف وشركاء الأعمال، وتسبب في انقطاع الخدمة وتعطلها. من المحتمل أن الأمر بدأ عبر CVE-2023-36884، وهو ثغرة أمنية لتنفيذ التعليمات البرمجية عن بعد في Microsoft Office ومن المعروف أنه تم اختراقه مستهدفة من قبل الجهات الحكومية الروسية; ووفقًا لـ NCC، يُعتقد أن RomCom هي واحدة من عدد من العصابات التي تشن هجمات نيابة عن الكرملين.
وقالت شركة NCC إن التوتر الجيوسياسي المتزايد بين روسيا واليابان أضاف طبقة “مقنعة” إلى الحادث. ويعتقد أن روسيا، التي سيطرت على جزيرة سخالين – وهي جزء من موطن أجداد شعب آينو الأصلي في اليابان – وجزر الكوريل القريبة، منذ نهاية الحرب العالمية الثانية، تشعر بالقلق إزاء التعاون العسكري المتزايد بين اليابان وحلف شمال الأطلسي. واحتجت موسكو على التدريبات العسكرية المشتركة الأخيرة، “السيف الحري 2024″، بين الولايات المتحدة واليابان.
وكتب مؤلفو التقرير: “ربما ساهمت هذه الأنشطة العسكرية والوضع الدفاعي المعزز لليابان في زيادة التكتيكات العدوانية من قبل الكيانات السيبرانية التابعة لروسيا”.
“إن الهجمات على الشركات اليابانية يمكن أن تكون بمثابة شكل من أشكال الضغط أو الانتقام، مما يشير إلى استياء روسيا من استراتيجيات الدفاع اليابانية. ومن خلال استهداف الشركات اليابانية الرئيسية، قد تهدف روسيا، من خلال الجماعات الإجرامية السيبرانية التابعة لها، إلى تعطيل الاستقرار الاقتصادي واستعراض القوة دون مواجهة عسكرية علنية.
“يظهر الوضع مدى تعقيد الحرب السيبرانية الحديثة، حيث يمكن للمؤسسات الإجرامية والجهات الفاعلة المدعومة من الدولة تحقيق أهداف مالية واستراتيجية… وعلى هذا النحو، ينبغي للشركات أن تشمل مجموعة متنوعة من التهديدات، التقليدية والمدعومة من الدولة، في استراتيجيتها الدفاعية”.
RansomHub يحتل المركز الأول
من حيث مشغلي برامج الفدية الأكثر انتشارًا، كان الأمر كذلك RansomHub واصلت هيمنتها باعتبارها العصابة الأكثر نشاطًا في أكتوبر، حيث أعلنت مسؤوليتها عن 68 هجومًا، على الرغم من انخفاض هذا العدد قليلاً عن الشهر السابق.
المركز الثاني حصل عليه يلعبوالتي شكلت حوالي 55 هجومًا ؛ تليها Killsec، مع ما بين 30 و 40؛ ساركوما، مع حوالي 30؛ ومواء، بحوالي 25.
وكانت بقية العمليات العشر الأكثر نشاطًا في الشهر الماضي هي Fog وHunters وElDorado وMedusa و بدلة سوداء.
وفي جميع المجالات، ظل قطاع الصناعة، الذي يشمل مشغلي البنية التحتية الوطنية الحيوية (CNI)، الأكثر استهدافًا، حيث يمثل 148، أو 30٪، من الهجمات المرصودة. يليه القطاع الاستهلاكي التقديري (التجزئة) بـ 100 هجوم؛ وقطاع الرعاية الصحية يمثل 55.
وقال هال: “كما هو واضح من خلال التركيز على CNI، أصبحت الهجمات أقل عشوائية وأكثر استهدافًا للمؤسسات التي ستواجه أقصى قدر من التأثير”.
“أولئك الذين يعتمدون على “وقت التشغيل” ويمتلكون كميات كبيرة من الملكية الفكرية أو معلومات التعريف الشخصية هم أهداف عالية القيمة.”
