الأخطاء البرمجية، والفيروسات الإلكترونية، وتسرّب البيانات المسروقة، هي التي تدفع إلى التصاعد النّاري لبرمجيات الفدية الذي يجعلها أكثر إيلاماً من أي وقتٍ مضى.
ازدياد هجمات الفدية
تستهدف برمجيات الفدية المزيد والمزيد من الكيانات في عام 2023؛ حيث يعمد المعتدون إلى تطوير هجماتهم بوتيرة سريعة لنشر الفوضى المدمّرة، حتى قبل أن تستطيع الضحية رصد الكارثة.
في يوليو (تموز) الفائت، نُشرت البيانات الخاصّة بما يقارب 502 شركة على مواقع التسريب، مسجّلة زيادة بمعدّل 150 في المائة مقارنة بالشهر نفسه من العام الماضي، حسب تقرير أجرته مجموعة «إن سي سي» الاستشارية الأمنية الذي نُشر في 23 أغسطس (آب). ويشهد العام الجاري نمواً مستمراً في حالات التسريب؛ حيث تشير أرقام الخروقات المنشورة على المواقع -في تكتيكك شائع يُعتمد للابتزاز المزدوج من قبل مجموعات الابتزاز- إلى ارتفاع بنسبة 79 في المائة حتّى اليوم، مقارنة بالفترة نفسها من عام 2022.
يقول مات هول، رئيس قسم التهديد الاستخباراتي في مجموعة «إن سي سي»، في حديث لمجلة «دارك ريدنغ»، إنّ عناصر مختلفة، أبرزها الثغرات في البرامج الآمنة المنظمة لنقل وتبادل الملفات، مثل برنامج «موف إت»، والخدمات المتزايدة التي تؤمّن وتتيح الدخول الأوّلي، هي التي تؤدّي إلى هذا التنامي في الاعتداءات.
ويضيف: «إذا حصل وانتشر خطأ برمجي آخر هذا العام، أو ما يشبهه، فلا شكّ في أنّنا سنرى مجموعات تسارع إلى استغلاله، مع ارتفاع هائل في نشاطات الابتزاز».
وتُظهر بيانات أخرى أنّ المجرمين الذين يستخدمون برمجيات الفدية باتوا يتحرّكون بسرعة أكبر لضرب الشركات، فور حصولهم على فرصة للاختراق؛ حيث تقلّص متوسط الفترة الزمنية لهجمة الابتزاز إلى 5 من 9 أيّام في 2022، حسب تحليل لـ80 حالة استجابة أجرته شركة «سوفوس» المتخصصة في الأمن السيبراني.
في المقابل، تتحرّك أنواعٌ أخرى من الاعتداءات ببطء؛ حيث تتطلّب الاعتداءات الإلكترونية التي لا تستخدم برامج الفدية وقتاً أطول، نحو 13 يوماً، مقارنة بـ11 في 2022، حسبما جاء في تقرير «أكتيف أدفرساري» النصفي الصادر عن «سوفوس».
من جهته، يعتبر تشيستر وايزنيسكي، مدير التقنية للبحوث التطبيقية في «سوفوس»، أنّ المعتدين يزدادون تحسّناً فيما يفعلونه، عبر صقل عملياتهم في سرقة البيانات وتشفيرها.
ويضيف: «عندما ننظر إلى فترة الخمسة أيّام التي يتطلّبها الاعتداء، نرى أنّ الأمر منطقي؛ لأنّها ببساطة الفترة الزمنية المطلوبة لإتمام اعتداء عصري وكامل باستخدام برنامج للابتزاز. يبدأ الأمر بإيجاد طريقة للدخول، ومن ثمّ اختراق الدليل النشط وترقية نفسك لتصبح مسؤولاً، وعليك أيضاً تعطيل أدوات التحوط... على الأرجح، لن تتراجع هذه الفترة عن 4 أيّام؛ لأنّها ما يحتاجه المعتدي لإتمام كلّ هذه المهام».
استراتيجية الابتزاز المزدوج
تشدّد خلاصتان لتقريرين منفصلين صدرا حديثاً على التهديد المستمرّ الذي ترتّبه برمجيات الابتزاز المشفّرة، على الرغم من أنّ بعض المجموعات المهاجمة، كـ«سي 10 بي»، استغنت عن تشفير البيانات، وباتت تكتفي بالسرقة والابتزاز. في المقابل، تصرُّ معظم المجموعات على الاستمرار في استراتيجية الابتزاز المزدوج التي تعتمد على سرقة وتشفير البيانات لإجبار الشركة على دفع الفدية المطلوبة.
حافظ القطاع الصناعي في شهر يوليو على صدارته للائحة ضحايا التسريب البياني، حسب تقرير «استخبارات التهديد السيبراني» Cyber Threat Intelligence Report الصادر عن مجموعة «إن سي سي». ثم حلّت الدوريات الاستهلاكية والصناعات التقنية في المرتبتين الثانية والثالثة، بالتبليغ عن نصف حالات الاختراق فقط.
يقول هول من مجموعة «إن سي سي»، إنّ «ما رأيناه في المجال الصناعي هو تطبيق قواعد تنظيمية أقلّ، وتخصيص ميزانيات أصغر للأمن السيبراني في السنوات القليلة الماضية. وعند مقارنته بمجال آخر، كالخدمات المالية، الذي كان الهدف الرئيسي لبرمجيات الابتزاز والمجموعات الإجرامية لنحو 5 أو 10 سنوات، نشعر وكأنّ الأخير لم يعد موجوداً في حسابات برمجيات الابتزاز».
يميل المعتدون أيضاً إلى التحرّك «جانبياً» –أو ما يسمّى «الانشقاق»– لاختراق خوادم الدليل النشط Active Directory servers، ما قد يتيح لهم الوصول إلى معظم الموارد في الشبكة الداخلية. ويتطلّب اختراق خادم الدليل النشط 16 ساعة في المتوسط، حسب خلاصة تقرير «سوفوس».
ويشير التقرير إلى أنّ «بلوغ خادم الدليل النشط يعزّز قدرات المعتدي بشكلٍ كبير؛ لأنّه عملياً الجزء الأقوى والأدسم في الشبكة، كونه الطرف الأقدر على السيطرة على هوية وسياسات منظّمة بأكملها. يستطيع المعتدون من خلاله سرقة حسابات قيّمة، وتأسيس أخرى جديدة، أو إقفال حسابات شرعية».
وأخيراً، يشير تقرير «سوفوس» إلى أنّ المعتدين يستغلّون فوارق التوقيت لصالحهم؛ حيث تحصل معظم الهجمات في منتصف الأسبوع، ولكن خارج ساعات العمل.
مجموعة اعتداء ضاربة
تسيطر مجموعة واحدة على الحصّة الأكبر من نموّ اعتداءات برمجيات الفدية، وهي «سي 10 بي» (C10p group) التي تتحرّك بسرعة شديدة لاستغلال نقاط الضعف في منصّتين لنقل الملفّات. فقد عمدت المجموعة إلى مهاجمة «موف إت» في أواخر مايو (أيار)، و«غو أنيوير إم إف تي» (GoAnywhere MFT) في أوائل يناير (كانون الثاني)، ما أدّى إلى ارتفاع عدد الهجمات الناجحة. ولكنّ مجموعة «سي 10 بي» التي تستخدم برمجيات الابتزاز تعتمد على السرقة المباشرة والابتزاز، أي سرقة البيانات ومن ثمّ التهديد بنشرها إذا رفضت الضحية دفع الفدية المطلوبة.
ويقول هول من «إن سي سي»: «نعلم أنّ بعض هذه المجموعات لا تستخدم ما يُسمّى عادة (برنامج ابتزاز) لأنّه لا يوجد تشفير للبيانات. وظهر على بعض المجموعات ما يوصف بالتحوّل العام، إن لم يكن الكامل، عن تشفير البيانات إلى التركيز على استخلاص البيانات ونشرها».
نشرت «سي 10 بي» على مواقع التسريب الخاصة بها ثلاثة أضعاف البيانات المسرّبة، مقارنة بثاني أقوى مجموعة ابتزاز، الشهيرة بـ«لوكبيت 3.0»، حسب بيانات مجموعة «إن سي سي». ويساهم نجاح المجموعة الأولى في زيادة حادة لعدد المنشورات على مواقع تسريب البيانات، الأمر الذي يؤدّي إلى ارتفاع مؤشر متابعة برمجيات الابتزاز الخاص بمجموعة «إن سي سي».
يلفت هول إلى أنّ نشاط برمجيات الابتزاز يشهد ارتفاعاً مطرداً حتّى من دون التدقيق في مناورات مجموعة «سي 10 بي». فقد حقّقت المنشورات على مواقع تسريب البيانات نمواً بنسبة 57 في المائة (من دون احتساب عمليات المجموعة الأولى) في عامٍ واحد.
وكان عام 2022 قد شهد انخفاضاً في مؤشر هجمات برمجيات الفدية، ولكنّ الأمر لم يسرِ على هذا العام؛ لأنّ المعتدين يحاولون -حسب هول- جني مزيد من المال لتعويض خسائرهم الناتجة عن حالة الانكماش العالمية.
وأخيراً، يختم هول بالقول: «مع التراجع الذي أصاب الاقتصاد العالمي العام الماضي، لا بدّ لهذه المجموعات الإجرامية من إيجاد وسيلة لجني المال؛ لأنّها بحاجة لزيادة أرباحها من جديد، ويبدو واضحاً أنّ المحرّك لهذه الغاية موجود».