الجهات الفاعلة التهديدات ذات الدوافع المالي-بما في ذلك فدية الطواقم – تظل أكبر مصدر للتهديد السيبراني في العالم ، حيث تمثل 55 ٪ من مجموعات التهديد النشطة التي تم تتبعها خلال عام 2024 ، بزيادة نقطتين مئويتين في 2023 و 7 ٪ في عام 2022 ، مما يدل على أن الجريمة السيبرانية تدفع إلى حد ما.
على الأقل ، هذا وفقًا لـ Google Cloud’s Mandiant ، الذي تم إصداره هذا الأسبوع أحدث تقرير لها من الاتجاهات، غوص عميق سنوي ، متعمق في عالم الأمن السيبراني.
إن هيمنة الجريمة الإلكترونية ليست في حد ذاتها مفاجأة ، ووفقًا للمجرمين على الإنترنت ، أصبح المجرمون السيبرانيون تهديدًا أكثر تعقيدًا وتنوعًا وموجودًا في هذه العملية.
وقال ستيوارت ماكنزي المدير الإداري لشركة Mandiant Consulting EMEA: “تستمر التهديدات الإلكترونية في الاتجاه نحو مزيد من التعقيد ، وكما هو الحال دائمًا ، تؤثر على مجموعة متنوعة من الصناعات المستهدفة”.
“لا تزال الهجمات ذات الدوافع المالي هي الفئة الرائدة. في حين أن رانسومواري وسرقة البيانات والابتزاز المتعدد الأوجه ، ستستمر في أن تكون مخاوفًا كبيرة من الجريمة الإلكترونية ، فإننا نتتبع ارتفاعًا في اعتماد برامج Infostealer Malware والاستغلال النامي لتكنولوجيا Web3 ، بما في ذلك العملات المشفرة.
وأضاف ماكنزي: “إن التطور المتزايد والأتمتة التي يوفرها الذكاء الاصطناعي تزيد من تفاقم هذه التهديدات من خلال تمكين المزيد من الهجمات المستهدفة والتجهيرية والموسعة. تحتاج المنظمات إلى جمع الاستخبارات المتنوعة بشكل استباقي”.
كانت أكثر الوسائل شيوعًا لممثلي التهديد للوصول إلى بيئات الضحايا الخاصة بهم العام الماضي هي الاستغلال الكشف عن نقاط الضعف – بدأ 33 ٪ من التدخلات بهذه الطريقة في جميع أنحاء العالم ، و 39 ٪ في أوروبا والشرق الأوسط وأفريقيا. في المركز الثاني ، باستخدام بيانات الاعتماد المشروعة التي تم الحصول عليها عن طريق الخداع أو السرقة ، والتي شوهدت في 16 ٪ من الحالات ، تليها التصيد الإلكتروني في البريد الإلكتروني في 14 ٪ من الحوادث ، وتنازلات على شبكة الإنترنت في 9 ٪ ، وإعادة النظر في التنازلات السابقة في 8 ٪.
اختلف المشهد في أوروبا والشرق الأوسط وأفريقيا قليلاً في هذا الأمر ، حيث فتح البريد الإلكتروني الأبواب إلى 15 ٪ من الهجمات الإلكترونية ، وهجمات القوة الغاشمة التي تمثل 10 ٪.
بمجرد الانتهاء من بيئاتهم المستهدفة وقادرة على العمل ، استغرق ممثلو التهديدات متوسطًا عالميًا يبلغ 11 يومًا لإنشاء وضع الأرض ، وإجراء الحركة الجانبية ، وتصطف على الانقلاب النهائي. كانت هذه الفترة ، المعروفة في عالم الأمن باسم الوقت للوقوف ، ارتفعت حوالي 24 ساعة في عام 2023 ، ولكن انخفض بشكل كبير في عام 2022، عندما علق مجرمو الإنترنت لمدة 16 يومًا في المتوسط. تشير الدلائل القصصية إلى أن العوامل التكنولوجية بما في ذلك ، ربما ، اعتماد الذكاء الاصطناعي من قبل Cyber ne’er-do-wells ، قد يكون لها علاقة بهذا الإسقاط.
ومن المثير للاهتمام ، أن الأوقات المتوسطة للسكن في أوروبا والشرق الأوسط وأفريقيا كانت أعلى بكثير من الرقم العالمي ، حيث سجلت في 27 يومًا ، أي خمسة أيام أطول من عام 2022.
عندما تم اكتشاف الجهات الفاعلة للتهديدات داخل عقار لتكنولوجيا المعلومات لشخص ما ، كان الضحايا يميلون إلى التعرف عليه من مصدر خارجي – مثل المتسلل الأخلاقي ، أو اختبار الاختراق أو تمرين الفريق الأحمر ، أو منظمة استخبارات التهديد مثل Mandiant ، أو في العديد من الحالات ، عصابة فدية فعلية – في 57 ٪ من الحالات. تم اكتشاف الـ 43 ٪ المتبقية داخليًا من قبل فرق الأمن وما إلى ذلك. أرقام أوروبا والشرق الأوسط وإفريقيا تختلف قليلا عن هذا.
تهديدات الدولة القومية: صاخبة ولكنها أقل تأثيرًا
تخلق ممثلو التهديدات في الدولة القومية ، أو مجموعات التهديد المستمر المتقدم (APT) الكثير من الضوضاء وتولد الكثير من الاهتمام في عالم الأمن السيبراني من قبل DINT من الرومانسية الباقفة المرتبطة بالسبع ، وبطريقة أكثر عملية ، البيئة الجيوسياسية العالمية المنقولة.
ومع ذلك ، بالمقارنة مع نظرائهم الإجراميين الإلكترونية ، فإنهم يمثلون 8 ٪ فقط من نشاط التهديد ، وهو في الواقع بضع نقاط مئوية أقل مما كانت عليه قبل عامين.
تتبعت Mandiant أربع مجموعات متطورة للتهديد المتقدم النشط (APT) في عام 2024 ، و 297 مجموعات غير مصنفة (UNC) – مما يعني أنه لا توجد معلومات كافية حقًا متاحة حقًا لجعل رهانًا قويًا على ما يصلون إليه ، لذلك يمكن أن يشمل ذلك APTs المحتملة.
في الواقع ، هناك تداخل كبير في هذا الصدد ، وقد قامت Mandiant في بعض الأحيان بترقية بعض المجموعات إلى apts الكاملة-مثل Sandworm ، الذي يمر الآن APT44 في مخطط تصنيف ممثل التهديد.
APT44 هي واحدة من الأربعة النشطين الذين لوحظوا في عام 2024. شائن لهجماتها على البنية التحتية الأوكرانية لدعم غزو روسيا ، وقد دعمت APT44 منذ فترة طويلة الأهداف الجيوسياسية للكرملين ، وكان متورطًا في بعض أكبر الهجمات السيبرانية والأكثر تدميراً حتى الآن.
كما تم تصميمه حديثًا في عام 2024 كان APT45، يعمل نيابة عن نظام كوريا الشمالية ووصفه ماندينت بأنه مشغل “متطور معتدل” نشط منذ حوالي عام 2009.
