إبراهيم البلوشي متابعات
شهد العامان الماضيان تحوّلًا في أسلوب الهجمات التي تُشنّ على نطاق واسع بهدف طلب الفدية من الضحايا؛ فبعد أن كان مجرمون الإنترنت يستهدفون ببرمجياتهم الخبيثة تشفير البيانات على جهاز الضحية والاحتفاظ بها طلبًا للفدية المالية، أضحت هجماتهم أكثر توجيهًا ودقة باستهداف منشآت وقطاعات محددة، حيث لا يكتفون بتشفير البيانات وإنما ينشرون على الإنترنت معلومات سرية تمتلكها تلك المنشآت. وقد لاحظ باحثو كاسبرسكي هذا التوجه في تحليل لعائلتين بارزتين من عائلات برمجيات الفدية؛ هما Ragnar Locker وEgregor.
وتعتبر هجمات برامج الفدية أحد أخطر أنواع التهديدات التي تواجه المنشآت، إذ تعطّل العمليات التجارية المهمة، وقد تؤدي إلى وقوع خسائر مالية هائلة، في حين أنها أحدثت في وقائع معينة حالات إفلاس للمنشآت بسبب الغرامات والدعاوى القضائية الناتجة عن انتهاك القوانين واللوائح التنظيمية الخاصة بالتعامل مع البيانات. ويُقدر أن هجمات WannaCry، على سبيل المثال، تسبّبت في حدوث خسائر مالية تزيد عن 4 مليارات دولار. وتعمل حملات برمجيات الفدية الأحدث، مع ذلك، على تعديل طريقة عملها؛ إذ تهدّد الجهات المستهدفة بنشر بياناتها بعد سرقتها.
وتُعدّ عائلتا Ragnar Locker وEgregor من أبرز عائلات برمجيات الفدية التي تمارس أسلوب الابتزاز الجديد هذا.
وكانت عائلة Ragnar Locker اكتشفت أول مرة في العام 2019، لكنها اكتسبت شهرتها في النصف الأول من 2020 عندما رُصدت وهي تهاجم منشآت كبيرة، في حين اتسمت هجماتها بالتركيز وكانت كل عينة عُثر عليها مصممة خصيصًا لتناسب الجهة المستهدفة، التي إذا رفضت سداد الفدية المالية تُنشر بياناتها السرية في قسم يُدعى “جدار العار” في موقع التسريبات الخاص بها. كذلك ينشر المجرمون الحوار الذي يدور بينهم وبين الضحية إذا تحدثوا معها ورفضت السداد. وينصبّ تركيز هجمات Ragnar Locker على أهداف في الولايات المتحدة تعمل في مختلف القطاعات، وفي يوليو الماضي، صرّحت بأنها انضمّت إلى تحالف خاص بطلب الفدية يُدعى Maze، ما يعني تبادل المعلومات المسروقة والتعاون الإجرامي، لا سيما وأن Maze أصبحت واحدة من أكثر عائلات برمجيات الفدية شُهرة في العام 2020.
أما Egregor، فهي عائلة أحدث بكثير اكتشفت في سبتمبر الماضي، لكنها تتشارك مع Ragnar Locker في العديد من التكتيكات، ومع Maze في الشيفرة البرمجية. ويجري إيصال البرمجية الخبيثة إلى الجهاز الضحية عن طريق اختراق الشبكة، لتُمنح الضحية 72 ساعة لسداد الفدية قبل نشر المعلومات المسروقة على الملأ. وإذا رفض الضحية السداد، ينشر المجرمون اسمه ورابطًا لتنزيل البيانات السرية للمنشأة على موقع التسريبات الخاص بهم.
وتُعدّ هجمات Egregor أوسع وأشمل من الهجمات التي تشنها Ragnar Locker، وقد شوهدت الأولى تستهدف ضحايا في أمريكا الشمالية وأوروبا وأجزاء من منطقة آسيا المحيط الهادي.
واعتبر ديمتري بيستوزيف رئيس فريق البحث والتحليل العالمي التابع لكاسبرسكي في أمريكا اللاتينية، المستجدات الحاصلة في هجمات طلب الفدية “الفصل الثاني من هذا النوع من الهجمات”، مطلقًا عليها الاسم “طلب الفدية 2.0″، وأضاف موضحًا: “أصبحت الهجمات أكثر توجيهًا ولم يعُد التركيز منصبًا على التشفير، وإنما تعتمد عملية الابتزاز على نشر البيانات السرية على الإنترنت، وهو أمر تأثيره لا ينحصر في تعريض سمعة المنشآت للخطر، بل يمتدّ لتعريضها لدعاوى قضائية إذا كانت البيانات المنشورة تنتهك لوائح مثل “قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة” (HIPAA) و”النظام الأوروبي العام لحماية البيانات” (GDPR)، ما يضعُ الكثير من الأمور الحساسة على المحكّ”.
ورأى فيدور سينيتسين الخبير الأمني لدى كاسبرسكي، من جانبه، أن المنشآت بحاجة إلى أخذ التهديدات التي تنطوي عليها برمجيات الفدية على محمل الجدّ، مشيرًا إلى أن هذه البرمجيات غالبًا ما تمثل المرحلة الأخيرة من اختراق الشبكة. وقال: “بحلول وقت تفعيل برمجيات الفدية، يكون المهاجم قد انتهى من استطلاع الشبكة وحدّد البيانات السرية وتسلل إليها، ما يجعل المنشآت مُطالبة بتنفيذ مجموعة كاملة من أفضل التدابير والممارسات المتبعة في الأمن الرقمي، فتحديد الهجوم في مرحلة مبكرة قبل أن يصل المهاجمون إلى هدفهم النهائي، يمكن أن يوفر الكثير من المال”.
يمكن الاطلاع على تقرير كاسبرسكي بشأن “طلب الفدية 2.0” في مدونة Securelist.
ويوصي خبراء كاسبرسكي باتباع التدابير التالية لحماية المنشأة من أنواع هجمات برمجي…