تطور النظام البيئي للابتزاز لتسريب البيانات

تعد برامج الفدية واحدة من أكثر البرامج قضايا أمنية مقلقة في النظام البيئي للأمن السيبراني. لقد تطور منذ ظهوره لأول مرة في عام 1989، عندما كان مجرد حصان طروادة بدائي ينتشر عبر الأقراص، ويحقن أجهزة الكمبيوتر المضيفة بفيروس يقوم بتشفير الملفات وإخفاء الأدلة، والتي يتم إرجاعها فقط عندما يدفع الضحية فدية. إنها أكثر تعقيدًا وتكلفة بشكل ملحوظ الآن.

كان إصدار CryptoLocker في عام 2013 علامة فارقة في تطور برامج الفدية. على عكس سابقاتها، لا تلتزم برامج الفدية هذه بالتنمر، الأمر الذي يزيد الأمر سوءًا. يقوم بتشفير جميع الملفات الموجودة على النظام مباشرة ويطلب فدية مقابل فك تشفيرها. والآن مع أمثال Sodinokibi و Maze، تعمل سلالة برامج الفدية على نطاق واسع.

على مر السنين، قام مشغلو برامج الفدية الضارة بتوسيع نطاق الفيروس ليشمل إمكانيات خزانة الشاشة إلى جانب القدرة على الكتابة فوق سجلات بيانات التمهيد. وبفضل انتشار عائلات برامج الفدية، اليوم، تعد برامج الفدية تهديدًا عالميًا يتمتع بقدرات وأساليب ابتزاز متقدمة. ذا بيكما يستهدف مرتكبو مجموعات برامج الفدية هذه السجلات والملفات الشخصية للضحية.

لضمان الاستسلام الكامل للضحايا، تحولت الجهات الفاعلة في مجال التهديد إلى تقنيات الهجوم ذات الشقين. إذا رفضت الضحية دفع الفدية، يتم تسريب بياناتها على المجالات العامة أو مواقع تسريب البيانات.

في هذه المدونة، نشرح تطور النظام البيئي للابتزاز لتسريب البيانات من خلال التطورات التي حققتها مجموعات برامج الفدية على مدى العقود الثلاثة الماضية.

خزائن الشرطة

سيطرت أحصنة طروادة على منتصف عام 2010 والتي منعت المستخدمين من الوصول إلى شاشاتهم أو متصفحاتهم. في عام 2012، غزت عملية احتيال جديدة تضمنت أحد هذه التروجان المتصفحات. وأرسلت رسائل وتنبيهات وهمية تتنكر في هيئة وكالة إنفاذ القانون، فقط لخداع الضحايا غير المرتابين. ستدعي الرسالة أنه تم العثور على جهاز الضحية متورطًا في أنشطة غير قانونية مثل انتهاك حقوق الطبع والنشر أو المواد الإباحية للأطفال. ثم يخشى الضحايا من دفع مبلغ فدية باستخدام بطاقات مسبقة الدفع مثل MoneyPak أو Paysaf أو Ukash.

وخلال الفترة نفسها، تسبب برنامج فدية آخر انتشر متنكرًا في زي مكتب التحقيقات الفيدرالي في إيذاء الآلاف من مستخدمي الكمبيوتر. ومع ذلك، تأتي برامج الفدية هذه مع القدرة الإضافية على قفل عنوان IP للكمبيوتر المضيف وإصدار Windows والموقع واسم ISP.

كريبتو لوكر

شهد عام 2013 تكرارًا آخر للبرامج الضارة التي كانت قادرة على تشفير البيانات. كان CryptoLocker أول برنامج فدية من هذا النوع واستخدم تشفير RSA 2048 بت. كما طُلب من الضحايا دفع الفدية بعملة البيتكوين لأول مرة أو باستخدام بطاقات مسبقة الدفع. بمرور الوقت، زاد المشغلون وراء CryptoLocker طلبهم من 100 دولار إلى 600 دولار لكل جهاز كمبيوتر. أدى النجاح الحقير لبرنامج الفدية هذا إلى إطلاق برامج ضارة أخرى مثل pClock و CryptoLocker 2.0 و TorrentLocker.

ظهور برامج الفدية كخدمة (RaaS)

في عام 2015، قررت مجموعات متقدمة من مجرمي الإنترنت تحقيق الدخل من برامج الفدية من خلال منصات RaaS. في الهجمات التالية، يشتري العملاء برامج الفدية من هذه المنصات على الويب المظلم ويشاركون الأرباح مع مؤلفي برامج الفدية. تحتوي RaaS على أدوات تتبع متقدمة مضمنة كجزء من خدماتها. لقد كان السبب وراء موجة هجمات برامج الفدية في جميع أنحاء العالم.

لوكي رانسوم وير وKeRanger

قام برنامج Locky Ransomware الذي تم إصداره في عام 2016 بنشر وحدات ماكرو Microsoft Word الضارة، مما أدى إلى إصابة ملايين أجهزة الكمبيوتر حول العالم. كان برنامج الفدية الآخر الذي تم إدخاله خلال هذه الفترة هو keRanger، الذي استفاد من نظام تشفير RSA غير المتماثل لقفل بيانات الضحية. عادةً ما يطلب مشغلو KerAnger 500 دولار من الضحية مقابل فك التشفير ويطلبون من الضحايا زيارة المواقع المستضافة على Tor (شبكة إخفاء الهوية).

أريد أن أبكي ونوتبتيا

مع مرور الوقت، تم تطوير برامج الفدية لتكون أكثر خفيًا وتدميرًا. في عام 2017، كانت هناك العديد من حالات تفشي برامج الفدية، وهي WannaCry و Notpetya. لم يتم اكتشاف هذه الهجمات في البداية. واليوم، تميز الجهات الفاعلة في مجال التهديد بوضوح بين الأفراد والشركات، عندما يطلبون فدية. إنهم يعتبرون الشركات والمؤسسات أهدافًا أكثر إثارة. تم الإبلاغ عن أكبر عمليات الدفع حتى ذلك الحين، والتي كانت نتيجة لهجمات برامج الفدية، في عام 2016.

أدى انخفاض أسعار البيتكوين وتحسين الوعي الأمني بالفعل إلى إجبار مشغلي برامج الفدية على تجديد طريقة الهجوم الخاصة بهم. اليوم، تعد الحكومات المحلية والشركات الصغيرة والمتوسطة ومنظمات الرعاية الصحية والمؤسسات التعليمية أهدافًا رئيسية للجهات الفاعلة في التهديد.

تكتشف مجموعات برامج الفدية مثل Sodinokibi و Ryuk المنافذ غير الآمنة مثل منافذ RDP للوصول إلى الشبكات. تُظهر أحدث الهجمات أن الجهات الفاعلة متطورة للغاية لدرجة أنها بمجرد اختراقها لمقدمي الخدمات، فإنها تغزو شبكات المنظمات الشريكة.

المتاهة

في الآونة الأخيرة، في نوفمبر 2019، عادت Maze ransomware إلى الظهور في النظام البيئي السيبراني، واخترقت خطة لمهاجمة منظمة أمنية - Allied Universal.

قامت المجموعة التي تقف وراء الهجوم بابتزاز بيانات بحجم 7 جيجابايت، واتصلت بإدارة المنظمة، وطالبت بفدية قدرها 300 بيتكوين. حتى أن الممثلين هددوا بتسريب معلومات حساسة عن المنظمة ما لم تدفع لهم إدارة Allied Universal. عندما رفضت الإدارة الدفع، باع المشغلون حوالي 700 ميغابايت من البيانات إلى المتسللين الروس وقاموا بتحميل البيانات المتبقية في البرية.

الخاتمة

تنمو برامج الفدية بشكل مستمر وبشكل كبير، وتضيف أدوات وأساليب جديدة ومتطورة إلى ترسانتها. الشركات التي تقع فريسة لهجماتها لا تفقد الوصول إلى البيانات الهامة فحسب، بل إن الحادث بأكمله يشوه سمعتها. علاوة على ذلك، تدعو هجمات برامج الفدية إلى رفع دعاوى قضائية ومشكلات الامتثال. وللبقاء في أمان ولمواجهة الجهات الفاعلة في مجال التهديد، تحتاج المنظمات إلى وضع آليات تخفيف مناسبة. إن الاحتفاظ بنسخة احتياطية للبيانات يكسبك نصف المعركة، ولكن على المدى الطويل تحتاج المؤسسات إلى استخدام برامج أمان موثوقة مثل XviGil من كلاود سيك لمنع معظم تهديدات تشفير الملفات.