بقيت برمجيات الفدية أحد أبرز التهديدات في مشهد أمن المعلومات في الربع الثاني من العام الجاري 2022 في منطقة الشرق الأوسط وتركيا وإفريقيا.
وتُعدّ الهجمات على Shoprite، أكبر سلسلة متاجر في إفريقيا، من أبرز هجمات الفدية في المنطقة.
علاوة على الهجمات التي نفذتها عصابة LockBit في منطقة جنوب الصحراء الكبرى وهجمات Cl0p على جهات في دولة الإمارات.
وعلاوة على ذلك، شهد خبراء كاسبرسكي تناميًا في عصابات الفدية من حيث الهياكل الداخلية والترويج والأساليب المبتكرة المستخدمة أثناء الهجمات.
وقد ورد هذا التوجّه في تقرير “توجهات الفدية 2022” الصادر عن كاسبرسكي خلال هذا العام.
قال ماهر يموت الباحث الأمني الأول لدى كاسبرسكي إن هناك “توجهًا محددًا وواضحًا” في تطوّر عمل العصابات الفدية، مشيرًا إلى أن هجماتها باتت “أكثر تعقيدًا ودقّة”، ما يجعلها تعرّض مزيدًا من المستخدمين للتهديد.
وأضاف: “قطعت عصابات برمجيات الفدية في السنوات القليلة الماضية شوطًا طويلًا في التطوّر حتى أضحت كأنها أعمال تجارية منظمة.
بعد أن كانت عصابات صغيرة متناثرة. وقد بدأنا نشهد مزيدًا من هجمات الفدية التي تُنفّذ يدويًا بطرق تتسم بالكفاءة ولكنها تستغرق وقتًا طويلًا. مع أن هذه الطرق لم تكن مثالية للمهاجمين على نطاق صغير في السابق”.
دراسة مكثفة
وأعد فريق معلومات التهديدات لدى كاسبرسكي دراسة مكثفة لبرمجيات الفدية الحديثة، لتحسين القدرة على فهم التكتيكات والأساليب والإجراءات الأكثر شيوعًا لديها وتحليلها.
ومن شأن هذه الدراسة أن تساعد في فهم طرق عمل عصابات الفدية وأفضل سبل الحماية من هجماتها.
ويركز التحليل الذي وردت خلاصاته في الدليل الإرشادي على نشاط العصابات: Conti/Ryuk وPysa وClop (TA505) وHive وLockbit2.0 وRagnarLocker وBlackByte وBlackCat، الناشطة في الولايات المتحدة وبريطانيا وألمانيا ودول أخرى.
والتي استهدفت أكثر من 500 مؤسسة عاملة في قطاعات التصنيع وتطوير البرمجيات والشركات الصغيرة، وذلك بين مارس 2021 ومارس 2022.
وحلل خبراء كاسبرسكي سبل استخدام عصابات الفدية للأساليب والتكتيكات الموضحة في قاعدة MITER ATT&CK المعرفية.
فوجدوا الكثير من أوجه التشابه بينها وبين منظومة cyber kill chain (سلسلة الهجوم) الرقمية الأمنية.
وتبيّن أن طرق الهجوم التي تتبعها هذه العصابات يمكن التنبؤ بها، إذ اتبعت هجمات الفدية نمطًا يتضمن الشبكة المؤسسية أو حاسوب الضحية.
وإيصال برمجية خبيثة إليها، والبحث في المزيد، والوصول إلى بيانات اعتماد الدخول إلى الحسابات، وحذف النسخ الصورية والنسخ الاحتياطية. وأخيراً تحقيق الأهداف المنشودة من الهجوم.
وسلّط الباحثون الضوء على مصدر التشابه بين الهجمات:
- ظاهرة “تقديم هجمات الفدية كخدمة” Ransomware-as-a-Service (RaaS)، حيث لا تقدّم عصابات الفدية البرمجيات الخبيثة من نفسها. وإنما تتيح خدمات تشفير البيانات فقط. وتستخدم العصابات، للتيسير على أنفسها، طرقًا قائمة على النماذج الجاهزة لإيصال البرمجيات الخبيثة، أو تستخدم أدوات الأتمتة، لاكتساب قدرات النفاذ.
- إعادة استخدام الأدوات القديمة وما شابهها يسهّل على المهاجمين ويقلّل الوقت المستغرق للإعداد للهجوم.
- إعادة استخدام التكتيكات والأساليب والإجراءات الشائعة تسهّل الاختراق، بالرغم من إمكانية اكتشافها بسهولة. لكن من الصعب جدًا تعميم هذا احترازيًا على جميع نواقل التهديد المحتملة.
- البطء في تثبيت التحديثات والتصحيحات البرمجية يُضعف المستخدمين ويزيد من إمكانية تعرضهم للهجوم.
وتوصي كاسبرسكي باتباع التدابير والإجراءات التالية للحماية من هجمات الفدية:
- عدم الاتصال بسطح المكتب البعيد وخدمات الإدارة (مثل RDP وMSSQL وغيرها) عبر شبكات الإنترنت العامّة، إلا للضرورة القصوى، مع الحرص على استخدام كلمات مرور قوية واعتماد أسلوب المصادقة الثنائية وقواعد وجدران الحماية.
- المسارعة إلى تثبيت التصحيحات المتاحة لحلول VPN التجارية التي تتيح للموظفين الوصول عن بُعد، وتعمل كبوابات للشبكة المؤسسية.
- الحفاظ دائمًا على تحديث البرمجيات على جميع الأجهزة التي تستخدمها لمنع برمجيات الفدية من استغلال الثغرات الأمنية.
- تركيز الاستراتيجية الدفاعية على الكشف عن الحركات الجانبية وسحب البيانات إلى الإنترنت. مع ضرورة الانتباه لحركة المرور الصادرة لاكتشاف محاولات مجرمي الإنترنت للاتصال بالشبكة.
- النسخ الاحتياطي للبيانات بانتظام مع إيلاء استراتيجيات النسخ الاحتياطي دون اتصال بالإنترنت اهتمامًا خاصًا، والحرص على إمكانية الوصول إلى النسخ الاحتياطية بسرعة في حالات الطوارئ.
- تجنُّب تنزيل البرمجيات المقرصنة أو البرمجيات التي تتيحها مصادر غير معروفة.
- إخضاع المنافذ التي تصل منها سلاسل التوريد والخدمات المُدارة المقدمة للمؤسسة، للتقييم والتدقيق.
- إعداد خطة عمل لتفادي الأخطار التي تمسّ السمعة المؤسسية في حالات سرقة البيانات وانكشافها.
إقرأ أيضًا: