يبدو أن التغيير يجري على قدم وساق في مشهد التهديدات، وفقًا لما ذكره مجموعة إن سي سي الأحدث شهريا نبض التهديد تقرير لشهر نوفمبر، والذي يكشف عن نظرة ثاقبة لسلالة برامج الفدية الناشئة التي تسمى Ymir والتي توضح كيف تعمل الجهات الفاعلة في مجال التهديد بشكل تعاوني بشكل متزايد.
قد يكون ظهور سلالة من برامج الفدية تسمى Ymir دليلاً ظاهريًا على ذلك. تم توثيقه لأول مرة خلال فصل الصيف، حيث تستهدف يمير الضحايا أولاً مع RustyStealer infostealer – يُستخدم عادةً للحصول على بيانات الاعتماد وكبرنامج تجسس قبل نشر الخزانة الخاصة به.
في هجوم يمير الوحيد الذي لدينا الكثير من التفاصيل عنه – تم الحصول عليه عبر كاسبيرسكي، الذي قام بتحليل هجوم في كولومبيا – نفذ الطاقم المرحلة الأخيرة من هجومه بسرعة كبيرة، متجنباً انتباه المدافعين.
خزانتها الجديدة تمامًا قابلة للتكوين على نطاق واسع ومصممة خصيصًا للضحية. ويبدو أنها تركز فقط على منهجية الابتزاز الفردي التقليدية، أي أنها تقوم فقط بتشفير البيانات، ولا تسرقها، ولا يبدو أن مشغلي Ymir، أيًا كانوا، لديهم موقع للتسريب – وهو تطور غير عادي إلى حد ما. .
يمكن العثور على دليل دقيق وغير عادي إلى حد ما حول جنسية العضو الأساسي في استخدام سلسلة تعليقات مكتوبة بلغة اللينجالا، المستخدمة في أنغولا والكونغو وجمهورية الكونغو الديمقراطية.
والجدير بالذكر أن استخدام Ymir لـ RustyStealer ووقت الاستجابة السريع بشكل ملحوظ قد أدى إلى انقسام المعلقين حول ما إذا كان قد تصرف بشكل مستقل أم لا أو ما إذا كان قد تعاون مع شخص آخر في هذه الحالة.
وقال مات هال، رئيس قسم استخبارات التهديدات في شركة NCC: “على الرغم من التركيز المستمر على القطاع، إلا أن هناك صورة مثيرة للاهتمام يمكن رسمها عندما يتعلق الأمر بأنماط عمل مجموعات التهديد”. “إن التعاون بين مجموعات التهديد وعدم وضوح الخطوط الفاصلة بين الأنشطة الإجرامية والأنشطة التي ترعاها الدولة، والتي ترتبط غالبًا بالتوترات الجيوسياسية، يخلق مشهدًا ديناميكيًا للتهديد حيث قد يكون من الصعب تمييز الدوافع وراء الهجمات. وقد تم تسليط الضوء على هذا بشكل أكبر في التحذيرات الصادرة عن NCSC في المملكة المتحدة في الآونة الأخيرة المراجعة السنوية“.
مشهد التهديد
وقال هال إن ظهور يمير أثار محادثات أوسع نطاقاً حول الروابط بين عصابات برامج الفدية والجهات الفاعلة الأخرى في مجال التهديد، والسيولة الحالية لمشهد التهديد.
لقد شهدت الأشهر الاثني عشر الماضية العديد من الحوادث التي كانت فيها هذه الخطوط غير واضحة إلى حد ما ــ على سبيل المثال، الانتقال الناجح ظاهرياً لعملية KillSec من مجموعة من الناشطين في مجال القرصنة الإلكترونية. لعملية الفديةأو أنشطة عصابة القرصنة الأوكرانية المعروفة باسم فرقة الفوضى السيبرانية التي أعلنت مسؤوليتها عن سلسلة من الهجمات المدمرة لبرامج الفدية على أهداف روسية.
وفي أماكن أخرى، قالت شركة NCC، إن نشطاء القرصنة المتحالفين مع فريق Turk Hack Team ضربوا أهدافًا في الفلبين مع خزانة LockBit 3.0 المسربة. والتعاون الواضح بين كوريا الشمالية ثاب الحوت APT كما تشكل عصابة Play Ransomware – التي ربما عمل فيها الكوريون الشماليون كوسيط وصول أولي لمجرمي الإنترنت – سابقة مثيرة للاهتمام ومثيرة للقلق.
وكتب مؤلفو التقرير: “من المرجح أن يستمر انتشار برامج الفدية من مجموعة واسعة من الجهات الفاعلة مما رأيناه سابقًا حتى عام 2025”.
“لقد شهدت برامج الفدية نموًا وتطورًا وأصبحت أكثر تعقيدًا بشكل مطرد في السنوات القليلة الماضية، ومن المؤكد أن الجهات الفاعلة الأخرى قد لاحظت أنه يمكن استخدام برامج الفدية كوسيلة للتدمير من قبل نشطاء القرصنة كإجراء إضافي إلى جانب هجمات DDoS الأكثر نموذجية، ومساعدة نشطاء القرصنة تجني العمليات الأموال لتمويل المزيد من حملات القرصنة، أو حتى تكون بمثابة ستار من الدخان لإخفاء الأنشطة الحقيقية لاقتحام الشبكة من خلال التهديدات المستمرة المتقدمة (APT) المعادية.
ارتفاع حجم برامج الفدية
ارتفع إجمالي حجم هجمات برامج الفدية بنسبة 16% في نوفمبر 2024 مقارنة بالشهر السابق، حيث سجل القياس عن بعد لشركة NCC إجمالي 565 هجومًا، أثر أكثر من ثلاثة أرباعها على مؤسسات تقع في أوروبا وأمريكا الشمالية.
وتسببت الزيادة في الهجمات في تغيير “المخطط” الشهري لبرامج الفدية، حيث خرج RansomHub من المركز الأول بـ 80 هجومًا منسوبًا، ليحل محله Akira، الذي استحوذ على 87 هجومًا. وElDorado، بـ 43 هجومًا، وKillsec، بـ 33 هجومًا. كما كانت نشطة للغاية خلال هذه الفترة. ومن خلال تقسيمها حسب القطاع، ظلت الصناعات هي القطاع الأكثر استهدافًا، تليها المنتجات الاستهلاكية التقديرية وتكنولوجيا المعلومات.
وقالت شركة NCC إنها لاحظت أيضًا زيادة “مستمرة” في الهجمات التي تشنها جهة التهديد المستمر المتقدم (APT) الروسية. Sandworm، والتي تمت ترقيتها رسميًا إلى مجموعة مستقلة – APT44 – بواسطة Mandiant في وقت سابق من هذا العام، وقد شارك في عدد كبير من الهجمات السيبرانية الحكومية الروسية رفيعة المستوى، بما في ذلك ليس بيتيا.
تركز هجمات الدودة الرملية إلى حد كبير على الأهداف الأوكرانية تماشيا مع المهام العسكرية الروسية الحاليةولكن مع حلول فصل الشتاء في جميع أنحاء أوروبا، هناك أدلة على ذلك تكثيف استهداف البنية التحتية للطاقة.
وقال هال: “لقد أصبح النشاط المستمر لمختلف الجهات الفاعلة في مجال التهديد السيبراني أمرًا شائعًا، لكن التركيز على القطاع الصناعي، وخاصة المنظمات التي تعمل كجزء من البنية التحتية الوطنية الحيوية، يظل مصدر قلق حقيقي”.
وقال: “مع اقتراب عام 2024 من نهايته، لا يزال التهديد العالمي المباشر لبرامج الفدية لا يزال قائماً، لذلك نحث الشركات على أن تكون أكثر يقظة من أي وقت مضى عند الحماية من الهجمات”. “ومع دخولنا فترة العطلة، يرجى البقاء آمنًا والانتباه إلى التدفق الموسمي المعتاد لرسائل الاحتيال ورسائل البريد الإلكتروني التصيدية التي تؤثر علينا جميعًا شخصيًا في هذا الوقت من العام.”
