«تصاعد ناري» لهجمات برامج الفدية

بمقدار 150 % عن العام الماضي

«تصاعد ناري» لهجمات برامج الفدية
TT

«تصاعد ناري» لهجمات برامج الفدية

«تصاعد ناري» لهجمات برامج الفدية

الأخطاء البرمجية، والفيروسات الإلكترونية، وتسرّب البيانات المسروقة، هي التي تدفع إلى التصاعد النّاري لبرمجيات الفدية الذي يجعلها أكثر إيلاماً من أي وقتٍ مضى.

ازدياد هجمات الفدية

تستهدف برمجيات الفدية المزيد والمزيد من الكيانات في عام 2023؛ حيث يعمد المعتدون إلى تطوير هجماتهم بوتيرة سريعة لنشر الفوضى المدمّرة، حتى قبل أن تستطيع الضحية رصد الكارثة.

في يوليو (تموز) الفائت، نُشرت البيانات الخاصّة بما يقارب 502 شركة على مواقع التسريب، مسجّلة زيادة بمعدّل 150 في المائة مقارنة بالشهر نفسه من العام الماضي، حسب تقرير أجرته مجموعة «إن سي سي» الاستشارية الأمنية الذي نُشر في 23 أغسطس (آب). ويشهد العام الجاري نمواً مستمراً في حالات التسريب؛ حيث تشير أرقام الخروقات المنشورة على المواقع -في تكتيكك شائع يُعتمد للابتزاز المزدوج من قبل مجموعات الابتزاز- إلى ارتفاع بنسبة 79 في المائة حتّى اليوم، مقارنة بالفترة نفسها من عام 2022.

يقول مات هول، رئيس قسم التهديد الاستخباراتي في مجموعة «إن سي سي»، في حديث لمجلة «دارك ريدنغ»، إنّ عناصر مختلفة، أبرزها الثغرات في البرامج الآمنة المنظمة لنقل وتبادل الملفات، مثل برنامج «موف إت»، والخدمات المتزايدة التي تؤمّن وتتيح الدخول الأوّلي، هي التي تؤدّي إلى هذا التنامي في الاعتداءات.

ويضيف: «إذا حصل وانتشر خطأ برمجي آخر هذا العام، أو ما يشبهه، فلا شكّ في أنّنا سنرى مجموعات تسارع إلى استغلاله، مع ارتفاع هائل في نشاطات الابتزاز».

وتُظهر بيانات أخرى أنّ المجرمين الذين يستخدمون برمجيات الفدية باتوا يتحرّكون بسرعة أكبر لضرب الشركات، فور حصولهم على فرصة للاختراق؛ حيث تقلّص متوسط الفترة الزمنية لهجمة الابتزاز إلى 5 من 9 أيّام في 2022، حسب تحليل لـ80 حالة استجابة أجرته شركة «سوفوس» المتخصصة في الأمن السيبراني.

في المقابل، تتحرّك أنواعٌ أخرى من الاعتداءات ببطء؛ حيث تتطلّب الاعتداءات الإلكترونية التي لا تستخدم برامج الفدية وقتاً أطول، نحو 13 يوماً، مقارنة بـ11 في 2022، حسبما جاء في تقرير «أكتيف أدفرساري» النصفي الصادر عن «سوفوس».

من جهته، يعتبر تشيستر وايزنيسكي، مدير التقنية للبحوث التطبيقية في «سوفوس»، أنّ المعتدين يزدادون تحسّناً فيما يفعلونه، عبر صقل عملياتهم في سرقة البيانات وتشفيرها.

ويضيف: «عندما ننظر إلى فترة الخمسة أيّام التي يتطلّبها الاعتداء، نرى أنّ الأمر منطقي؛ لأنّها ببساطة الفترة الزمنية المطلوبة لإتمام اعتداء عصري وكامل باستخدام برنامج للابتزاز. يبدأ الأمر بإيجاد طريقة للدخول، ومن ثمّ اختراق الدليل النشط وترقية نفسك لتصبح مسؤولاً، وعليك أيضاً تعطيل أدوات التحوط... على الأرجح، لن تتراجع هذه الفترة عن 4 أيّام؛ لأنّها ما يحتاجه المعتدي لإتمام كلّ هذه المهام».

استراتيجية الابتزاز المزدوج

تشدّد خلاصتان لتقريرين منفصلين صدرا حديثاً على التهديد المستمرّ الذي ترتّبه برمجيات الابتزاز المشفّرة، على الرغم من أنّ بعض المجموعات المهاجمة، كـ«سي 10 بي»، استغنت عن تشفير البيانات، وباتت تكتفي بالسرقة والابتزاز. في المقابل، تصرُّ معظم المجموعات على الاستمرار في استراتيجية الابتزاز المزدوج التي تعتمد على سرقة وتشفير البيانات لإجبار الشركة على دفع الفدية المطلوبة.

حافظ القطاع الصناعي في شهر يوليو على صدارته للائحة ضحايا التسريب البياني، حسب تقرير «استخبارات التهديد السيبراني» Cyber Threat Intelligence Report الصادر عن مجموعة «إن سي سي». ثم حلّت الدوريات الاستهلاكية والصناعات التقنية في المرتبتين الثانية والثالثة، بالتبليغ عن نصف حالات الاختراق فقط.

يقول هول من مجموعة «إن سي سي»، إنّ «ما رأيناه في المجال الصناعي هو تطبيق قواعد تنظيمية أقلّ، وتخصيص ميزانيات أصغر للأمن السيبراني في السنوات القليلة الماضية. وعند مقارنته بمجال آخر، كالخدمات المالية، الذي كان الهدف الرئيسي لبرمجيات الابتزاز والمجموعات الإجرامية لنحو 5 أو 10 سنوات، نشعر وكأنّ الأخير لم يعد موجوداً في حسابات برمجيات الابتزاز».

يميل المعتدون أيضاً إلى التحرّك «جانبياً» –أو ما يسمّى «الانشقاق»– لاختراق خوادم الدليل النشط Active Directory servers، ما قد يتيح لهم الوصول إلى معظم الموارد في الشبكة الداخلية. ويتطلّب اختراق خادم الدليل النشط 16 ساعة في المتوسط، حسب خلاصة تقرير «سوفوس».

ويشير التقرير إلى أنّ «بلوغ خادم الدليل النشط يعزّز قدرات المعتدي بشكلٍ كبير؛ لأنّه عملياً الجزء الأقوى والأدسم في الشبكة، كونه الطرف الأقدر على السيطرة على هوية وسياسات منظّمة بأكملها. يستطيع المعتدون من خلاله سرقة حسابات قيّمة، وتأسيس أخرى جديدة، أو إقفال حسابات شرعية».

وأخيراً، يشير تقرير «سوفوس» إلى أنّ المعتدين يستغلّون فوارق التوقيت لصالحهم؛ حيث تحصل معظم الهجمات في منتصف الأسبوع، ولكن خارج ساعات العمل.

مجموعة اعتداء ضاربة

تسيطر مجموعة واحدة على الحصّة الأكبر من نموّ اعتداءات برمجيات الفدية، وهي «سي 10 بي» (C10p group) التي تتحرّك بسرعة شديدة لاستغلال نقاط الضعف في منصّتين لنقل الملفّات. فقد عمدت المجموعة إلى مهاجمة «موف إت» في أواخر مايو (أيار)، و«غو أنيوير إم إف تي» (GoAnywhere MFT) في أوائل يناير (كانون الثاني)، ما أدّى إلى ارتفاع عدد الهجمات الناجحة. ولكنّ مجموعة «سي 10 بي» التي تستخدم برمجيات الابتزاز تعتمد على السرقة المباشرة والابتزاز، أي سرقة البيانات ومن ثمّ التهديد بنشرها إذا رفضت الضحية دفع الفدية المطلوبة.

ويقول هول من «إن سي سي»: «نعلم أنّ بعض هذه المجموعات لا تستخدم ما يُسمّى عادة (برنامج ابتزاز) لأنّه لا يوجد تشفير للبيانات. وظهر على بعض المجموعات ما يوصف بالتحوّل العام، إن لم يكن الكامل، عن تشفير البيانات إلى التركيز على استخلاص البيانات ونشرها».

نشرت «سي 10 بي» على مواقع التسريب الخاصة بها ثلاثة أضعاف البيانات المسرّبة، مقارنة بثاني أقوى مجموعة ابتزاز، الشهيرة بـ«لوكبيت 3.0»، حسب بيانات مجموعة «إن سي سي». ويساهم نجاح المجموعة الأولى في زيادة حادة لعدد المنشورات على مواقع تسريب البيانات، الأمر الذي يؤدّي إلى ارتفاع مؤشر متابعة برمجيات الابتزاز الخاص بمجموعة «إن سي سي».

يلفت هول إلى أنّ نشاط برمجيات الابتزاز يشهد ارتفاعاً مطرداً حتّى من دون التدقيق في مناورات مجموعة «سي 10 بي». فقد حقّقت المنشورات على مواقع تسريب البيانات نمواً بنسبة 57 في المائة (من دون احتساب عمليات المجموعة الأولى) في عامٍ واحد.

وكان عام 2022 قد شهد انخفاضاً في مؤشر هجمات برمجيات الفدية، ولكنّ الأمر لم يسرِ على هذا العام؛ لأنّ المعتدين يحاولون -حسب هول- جني مزيد من المال لتعويض خسائرهم الناتجة عن حالة الانكماش العالمية.

وأخيراً، يختم هول بالقول: «مع التراجع الذي أصاب الاقتصاد العالمي العام الماضي، لا بدّ لهذه المجموعات الإجرامية من إيجاد وسيلة لجني المال؛ لأنّها بحاجة لزيادة أرباحها من جديد، ويبدو واضحاً أنّ المحرّك لهذه الغاية موجود».


مقالات ذات صلة

تقرير استخباراتي: تزايد التهديدات السيبرانية خلال الانتخابات الأميركية

تكنولوجيا حذّرت شركة «فورتينت» من تهديدات سيبرانية متزايدة استهدفت انتخابات الرئاسة الأميركية 2024 (أدوبي)

تقرير استخباراتي: تزايد التهديدات السيبرانية خلال الانتخابات الأميركية

بيّن التقرير تسجيل أكثر من 1000 نطاق وهمي جديد يحمل محتوى انتخابياً منذ بداية عام 2024، يستهدف خداع الناخبين.

نسيم رمضان (لندن)
تكنولوجيا باحثون: يمكن من خلال الذكاء الاصطناعي تحقيق توازن بين النمو والمسؤولية البيئية وضمان مستقبل أكثر استدامة (أدوبي)

ما دور الذكاء الاصطناعي في تعزيز الاستدامة بالشرق الأوسط؟

يقول خبراء إن الذكاء الاصطناعي يمكن أن يقدم حلولاً مبتكرة لتعزيز كفاءة الطاقة وتقليل الهدر وتعزيز النمو المستدام.

نسيم رمضان (دبي)
تكنولوجيا أصبحت ثقة نحو 3 أرباع المستهلكين (72%) بالشركات أقل مقارنة بعام 2023 (أدوبي)

65 % من العملاء يشعرون بأن الشركات تتعامل مع بياناتهم باستهتار وتهوّر

تظهر دراسة جديدة لشركة «سايلزفورس» تراجع الثقة بالشركات لدى 72 في المائة من العملاء حول العالم.

نسيم رمضان (لندن)
تكنولوجيا بحسب الدراسة أظهرت نماذج الذكاء الاصطناعي أنها لا تتعلم بالفعل الحقائق الكامنة عن العالم (أدوبي)

دراسة جديدة: نماذج الذكاء الاصطناعي اللغوية تفتقر لفهم حقيقي للعالم

تشير دراسة حديثة إلى أن نماذج اللغة الكبيرة تفتقر إلى فهم حقيقي للعالم، إذ تتفوق في مهام ثابتة، لكنها تتعثر مع تغييرات بسيطة، ما يثير تساؤلات حول جدواها.

نسيم رمضان (لندن)
تكنولوجيا ستحدد انتخابات 2024 كيفية تطوير التكنولوجيا وحماية خصوصية المستخدمين ومستوى التدخل الحكومي في ذلك القطاع (أدوبي)

كيف ستؤثر الانتخابات الرئاسية الأميركية على مستقبل التكنولوجيا؟

ستتأثر السياسات التكنولوجية بنتائج الانتخابات الأميركية بشكل كبير بسبب اختلاف رؤى كل مرشح حول تنظيم الذكاء الاصطناعي وخصوصية البيانات ومكافحة الاحتكار.

نسيم رمضان (لندن)

تقرير استخباراتي: تزايد التهديدات السيبرانية خلال الانتخابات الأميركية

حذّرت شركة «فورتينت» من تهديدات سيبرانية متزايدة استهدفت انتخابات الرئاسة الأميركية 2024 (أدوبي)
حذّرت شركة «فورتينت» من تهديدات سيبرانية متزايدة استهدفت انتخابات الرئاسة الأميركية 2024 (أدوبي)
TT

تقرير استخباراتي: تزايد التهديدات السيبرانية خلال الانتخابات الأميركية

حذّرت شركة «فورتينت» من تهديدات سيبرانية متزايدة استهدفت انتخابات الرئاسة الأميركية 2024 (أدوبي)
حذّرت شركة «فورتينت» من تهديدات سيبرانية متزايدة استهدفت انتخابات الرئاسة الأميركية 2024 (أدوبي)

في الوقت الذي اتجهت فيه أنظار العالم إلى الولايات المتحدة الأميركية خلال انتخاباتها الرئاسية التي فاز بها دونالد ترمب، يكشف تقرير أمن سيبراني تهديدات مرتبطة بالكيانات الأميركية والناخبين وحتى عملية الانتخابات، موضحاً أن عمليات الاحتيال الإلكترونية قد استهدفت الناخبين، كما سُجّلت نطاقات خبيثة تتنكر في شكل مرشحين. ويقدم تقرير أمن الانتخابات من مختبرات «فورتي غارد»، التابعة لشركة «فورتينت» المختصة في مجال الأمن السيبراني، بعنوان: «الجهات المهددة التي تستهدف الانتخابات الرئاسية الأميركية 2024»؛ تحليلاً معمقاً للتهديدات الملاحظة من يناير (كانون الثاني) إلى أغسطس (آب) 2024، عبر فحص مجموعة متنوعة من التهديدات الإلكترونية التي قد تؤثر في الكيانات الأميركية وعملية الانتخابات.

مواقع وهمية

بيّن التقرير تسجيل أكثر من 1000 نطاق وهمي جديد، يحمل محتوى انتخابياً منذ بداية عام 2024، يستهدف خداع الناخبين، مستغلاً الاهتمام المتزايد بالانتخابات لتنفيذ أنشطة ضارة. وحذّر التقرير من خطر تسريب البيانات الشخصية؛ إذ تُعرض مليارات السجلات الأميركية، بما في ذلك أرقام الضمان الاجتماعي والمعلومات الشخصية وكلمات المرور، للبيع على منصات السوق السوداء؛ مما يجعلها عرضة للتضليل والاحتيال واختراق الحسابات.

«فورتينت»: التهديدات الإلكترونية تتطلّب يقظة وتحليلاً دقيقاً لحماية العملية الانتخابية (أدوبي)

شبكة مظلمة

أظهرت التحليلات أن نحو 3 في المائة من المنشورات على «الشبكة المظلمة» (دارك ويب) تحتوي على بيانات حساسة تخص كيانات تجارية وحكومية أميركية. في الوقت نفسه، شهدت الهجمات الإلكترونية على المؤسسات الحكومية الأميركية نمواً ملحوظاً؛ إذ ارتفعت هجمات الفدية بنسبة 28 في المائة خلال عام 2024 مقارنة بالعام الماضي، مما جعل «الدارك ويب» بؤرة رئيسية للتهديدات السيبرانية ضد الولايات المتحدة. وذكر التقرير أن الجماعات المعادية تبادلت المعلومات قبل بدء الانتخابات، وتعاونت لتطوير أساليب جديدة لاستغلال الثغرات الأمنية؛ مما يجعل البيانات الحساسة هدفاً مغرياً للمهاجمين.

وفي هذا السياق، صرّح كبير الاستراتيجيين الأمنيين، نائب رئيس الاستخبارات العالمية للتهديدات في «فورتينت»، ديرك مانكي، بأن حدث مثل الانتخابات الرئاسية الأميركية يستلزم فهماً معمقاً للتهديدات الإلكترونية التي قد تؤثر في نزاهة العملية الانتخابية وموثوقيتها وسلامة المواطنين المشاركين فيها. وأضاف أنها تتطلّب يقظة مستمرة وتحليلاً دقيقاً للتهديدات المحتملة ونقاط الضعف لحماية العملية الانتخابية من أي محاولات تدخل إلكتروني.

خداع الناخبين

رصد فريق «فورتي غارد» عروضاً لبيع أدوات تصيد احتيالي بقيمة 1260 دولاراً لكل مجموعة، مصممة لانتحال صفة مرشحَي الرئاسة، بهدف سرقة المعلومات الشخصية للناخبين وتفاصيل بطاقات الائتمان المستخدمة في التبرعات. ومن بين أكثر من 1000 نطاق جديد يحمل مصطلحات انتخابية وأسماء شخصيات سياسية بارزة يتضمّن بعضها مواقع احتيالية تجمع تبرعات مثل «secure.actsblues.com» الذي يحاكي الموقع الشرعي «ActBlue»، وهو منصة تبرعات غير ربحية.

وبيّن التقرير أن مزودَي استضافة الإنترنت الأكثر استخداماً لهذه المواقع هما: «AMAZON - 02» و«CLOUDFLARENET»؛ إذ تستغل جهات التهديد هذه المنصات لتعزيز مصداقية نطاقاتها الضارة. كما نوهت التحليلات إلى أن عدداً كبيراً من هذه النطاقات يتركز في عناوين «IP» محدودة، مما يعكس نهجاً مركزياً تتبعه هذه الجهات لإدارة الحملات الضارة.

«فورتينت»: الهجمات على المؤسسات الحكومية الأميركية ارتفعت بنسبة 28 % عام 2024 (أدوبي)

مخاطر متصاعدة

أشار التقرير إلى وجود قواعد بيانات على «الدارك ويب» تحتوي على معلومات حساسة، تشمل هذه البيانات أكثر من 1.3 مليار مجموعة تتضمّن بيانات تسجيل الدخول، مثل: أسماء المستخدمين، وعناوين البريد الإلكتروني، وكلمات المرور، وغيرها التي يستخدمها المجرمون للوصول غير المصرح به إلى الحسابات، مما يمثّل تهديداً لنزاهة الانتخابات. بالإضافة إلى ذلك، هناك نحو 300 ألف صف لبيانات بطاقات الائتمان؛ مما يزيد من احتمالات تنفيذ عمليات احتيال مالي ضد الناخبين والعاملين في الانتخابات.

وأوضح التقرير كذلك أن هناك أكثر من ملياري صف من بيانات المستخدمين المتاحة على هذه المواقع؛ مما يزيد من خطر سرقة الهوية وهجمات التصيّد الاحتيالي. ولفتت التقديرات إلى أن 10 في المائة من المنشورات على «الدارك ويب» مرتبطة بأرقام الضمان الاجتماعي، ما يشكّل تهديداً إضافياً لأمن البيانات الشخصية.

تدابير أمنية

تُعدّ تدابير الأمن السيبراني ضرورية لحماية أي عملية انتخابية كبيرة؛ إذ يمكن أن يساعد اتباع أفضل الممارسات الأمنية في منع تأثير الحوادث السيبرانية وتقليلها. وتوصي «فورتينت» المواطنين وقادة الأعمال بالانتباه الدائم ومراقبة أي نشاط مشبوه قبل الأحداث المهمة، مع إعطاء الأولوية للأمن السيبراني، وتدريب الموظفين على الوعي بالمخاطر السيبرانية. علاوة على ذلك، يجب تطبيق سياسة التحقق متعدد العوامل، واستخدام كلمات مرور قوية، وتثبيت حلول حماية نقاط النهاية، بالإضافة إلى تحديث أنظمة التشغيل وخوادم الويب بانتظام لضمان حماية فعالة من التهديدات.