التهديدات الناشئة

لماذا يجب أن تقلق بشأن جائحة الإنترنت التي يمكن أن تستولي على الفضاء الإلكتروني

September 8, 2020

دقيقة

جدول المحتوى

مثال H2

تقع الشركات من جميع الأحجام والقطاعات فريسة لانتهاكات البيانات وهجمات برامج الفدية. يمكن للحوادث الأمنية التي تؤدي إلى تسرب البيانات أن تلطخ سمعة المنظمة المعنية، ناهيك عن المعركة القانونية التي تليها. تنفق الشركات ملايين الأموال على منتجات الأمان للوصول إلى وضع أمني شامل، لكن المهاجمين قادرون على اختراق الشبكات وسرقة البيانات. تقوم الجهات الفاعلة في مجال التهديد وكذلك الجهات الفاعلة التي ترعاها الدولة بصياغة نواقل هجوم متطورة لا يمكن اكتشافها وتطوير عمليات استغلال يوم الصفر للتطبيقات التي تستخدمها منظمات الضحايا.

في كثير من الأحيان، يتم الإعلان عن نموذج RaaS لمطوري برامج الفدية في منتديات القراصنة السرية. اليوم، يمكن لأي شخص الاستفادة من منصة RaaS وأن يصبح مشغل برامج الفدية. تدفع الشركات مبلغ الفدية، عندما يصبح الخيار الوحيد القابل للتطبيق. هذا يشجع الجهات الفاعلة في مجال التهديد على تنفيذ المزيد من الحملات ضد المنظمات.

تعتبر APTs التي ترعاها الدولة أكثر خطورة لأنها مدعومة من قبل الدول القومية. لا ينفد تمويلهم أبدًا، وهذا بدوره يمكّنهم من تطوير بنية تحتية معقدة. الهدف المستهدف هو عامل آخر يجعل APTs تبرز، لأن العوامل الجيوسياسية هي دافعها الأساسي وليس العوامل المالية.

Ransomware rate

مشهد التهديدات

تتضمن الاتجاهات الحديثة في مشهد استخبارات التهديدات الإلكترونية برامج الفدية وأحصنة طروادة المصرفية. يمكن أيضًا العثور على برامج تنزيل البرامج الضارة المعقدة متعددة المراحل في البرية. إنها تسهل المزيد من نشر برامج الفدية وبرامج التجسس/أحصنة طروادة الأخرى. تشارك بعض مجموعات برامج الفدية أيضًا في نهب العملات المشفرة من خلال اختراق بورصات العملات المشفرة.

رانسوم وير

ريوك

وقد تم رصد ريوك في العديد من الهجمات التي تستهدف مؤسسات الأعمال في جميع أنحاء العالم، مطالبًا بدفع فدية تتراوح من ١٥ إلى ٥٠ بيتكوين (BTC)؛ وهو ما يُترجم إلى ما بين ٩٧٠٠٠ دولار أمريكي و٣٢٠٠٠٠ دولار في وقت التقييم.

Fig1. Popular attack vectors — الشكل 1. متجهات الهجوم الشائعة

Ransomware targets Windows

ريفيل/ سودينوكيبي

تم اكتشاف برنامج الفدية Revil/Sodinokibi لأول مرة في عام 2019، ويستهدف قطاعي الصحة وتكنولوجيا المعلومات. في وقت لاحق، بدأت في بيع البيانات الحساسة بالمزاد العلني عبر شبكة الويب المظلمة، المسروقة من الشركات التي تستخدم شفرتها الضارة. كجزء من تكتيكاتها، تهدد مجموعة برامج الفدية هذه بالإفراج عن بيانات ضحاياها، ما لم يتم تلبية طلبات الفدية الخاصة بهم.

دارما/كريسيس

دارما تقوم برامج الفدية بإلحاق ملحقات مختلفة بالملفات المصابة وهي أحد أشكال CrySis. تم تشغيل البرامج الضارة منذ عام 2016 وتستمر الجهات الفاعلة التي تقف وراء برامج الفدية في إصدار متغيرات جديدة لا يمكن فك تشفيرها.

إيقاف/تشغيل

Djvu هو فيروس عالي الخطورة ينتمي إلى عائلة البرامج الضارة STOP. تم اكتشاف هذا الفيروس لأول مرة بواسطة Michael Gillespie، وتم تصنيفه على أنه برنامج فدية وهو مصمم لقفل (تشفير) الملفات باستخدام خوارزمية التشفير.

تم الإبلاغ عن سلالات برامج الفدية

Fig2. Ransomware strains Q1 2020 (incl. STOP) — الشكل 2. سلالات برامج الفدية في الربع الأول من عام 2020 (بما في ذلك STOP)

كما لوحظ أن التعاون بين عائلات برامج الفدية زاد مؤخرًا، مما يؤدي إلى زيادة الكفاءة في تشغيل برامج الفدية كعروض خدمة.

Fig3. Ransomware strains Q1 2020 (excl. STOP) — الشكل 3. سلالات برامج الفدية في الربع الأول من عام 2020 (باستثناء. توقف)

لعبت STOP و Dharma و Phobos و ReVil أدوارًا رئيسية في قطاع RaaS. إنهم نشيطون للغاية، حتى اليوم، ينفذون حملاتهم، وخاصة دارما وريفيل.

Phishing and ransomware

هجمات البرامج الضارة مقابل الهجمات الخالية من البرامج الضارة

هجمات البرامج الضارة هي حالات استخدام بسيطة حيث تتم كتابة ملف ضار على القرص. يمكن اكتشاف ذلك وحظره بسهولة عن طريق اكتشاف نقطة النهاية والاستجابة (EDR). الهجمات الخالية من البرامج الضارة هي المزيد من تنفيذ التعليمات البرمجية في الذاكرة وهجمات رش بيانات الاعتماد التي تتطلب آليات اكتشاف أكثر تعقيدًا. لقد شهدنا زيادة في الهجمات الخالية من البرامج الضارة كجزء من الحملات منذ عام 2019. لقد نجحوا في التهرب من الإجراءات الأمنية والدفاعات التي أنشأتها الشركات.

تكلفة هجوم رانسوم وير

تتضمن التكلفة الإجمالية لهجوم برامج الفدية مبلغ الفدية (إذا تم دفعها) وتكاليف إصلاح الشبكة والإيرادات المفقودة وتكلفة الضرر المحتمل لسمعة العلامة التجارية. تشير الاتجاهات الحديثة في الهجمات إلى استهداف المزيد من الشركات وتهديدها بالإفراج عن البيانات مقابل فدية.

يبدو أن مجموعات برامج الفدية قامت بتقييم الآثار طويلة المدى لهجومها على صورة العلامة التجارية والثقة وسمعة المنظمات التي ترفض الدفع. Ryuk ransomware مسؤولة إلى حد كبير عن الزيادة الهائلة في طلبات برامج الفدية. يطلب مشغلو برامج الفدية ما متوسطه 288,000 دولار لإصدار الأنظمة.

Ransomware affectes business

Fig4. Largest amount of ransom reported in 2019 — الشكل 4. تم الإبلاغ عن أكبر كمية من الفدية في عام 2019

Fig5. Largest avg. ransom pay-offs 2020 — الشكل 5. أكبر معدل لمدفوعات الفدية في عام 2020

إحصائيات برامج الفدية لعام 2020

ومع مراعاة الاتجاه الحالي والإحصاءات الحالية، برامج الفدية + تكاليف التعطل بالنسبة للبلدان الخمسة الأولى لعام 2020، يُقدر أن تكون:

إيطاليا: 1.1 مليار دولار - 4.3 مليار دولار
ألمانيا: 1 مليار دولار - 4 مليارات دولار
إسبانيا: 830 مليون دولار - 3.3 مليار دولار
المملكة المتحدة: 469 مليون دولار - 1.9 مليار دولار
فرنسا: 121 مليون دولار - 485 مليون دولار

التكاليف المخفية لبرامج الفدية

تعطل أنظمة المعلومات
فقدان السمعة
العقوبات/الغرامات
إجراء قانوني من المستخدم

Avg. ransom payment

الأمن السيبراني خلال COVID-19

«منظمة الصحة العالمية تبلغ عن زيادة خمسة أضعاف في الهجمات الإلكترونية، وتحث على اليقظة»

استغلت الجهات الفاعلة في مجال التهديد COVID-19 على نطاق واسع لتنفيذ هجمات التصيد الاحتيالي، متنكرة في زي منظمة الصحة العالمية والوكالات المماثلة، لتقديم رسائل بريد إلكتروني مليئة بالبرامج الضارة. ارتفعت هجمات التصيد الاحتيالي المرتبطة بـ COVID-19 بنسبة 667٪، وزادت عمليات الاحتيال بنسبة 400٪ خلال شهر مارس 2020، مما يجعل فيروس كورونا أكبر تهديد أمني على الإطلاق. ومما زاد الطين بلة، أن إرشادات التباعد الاجتماعي التي تمت ملاحظتها في جميع البلدان أجبرت المنظمات على العمل من مواقع نائية، مما يعرض أمن هذه المنظمات للخطر. أدى العمل عن بُعد إلى تعريض نقاط نهاية المستخدم للتهديدات الخارجية وكان له التأثيرات التالية:

زيادة مخاطر الأمان من العمل/التعلم عن بُعد
التأخير المحتمل في اكتشاف الهجمات الإلكترونية والاستجابة لها
خطط استمرارية الأعمال (BCP) لإبراز الأوبئة العالمية

معلومات التهديدات الفعالة

بالنسبة لشركة متوسطة تكسب 10 آلاف دولار في الساعة، وتعمل 8 ساعات في اليوم، و 5 أيام في الأسبوع، تقدر تكلفة التعطل بـ 1760،000 دولار شهريًا. متوسط وقت التعطل المقدر هو 1-2 ساعات. تبلغ تكلفة 1.6 ساعة (متوسط وقت التعطل/الأسبوع لشركة Fortune 500) حوالي 46 مليون دولار سنويًا.

يمكن أن يستمر هجوم رفض الخدمة الموزع الذي يعطل أنشطة موقع الويب مؤقتًا لبضعة أيام أو حتى لفترة أطول. وفقًا لـ تقرير IDG DDoS، 36% من الشركات التي تعرضت لأكثر من خمسة هجمات DDoS، تعاني من متوسط وقت تعطل يتراوح بين 7 و12 ساعة.

يقوم فريق استخبارات التهديدات الإلكترونية (CTI) ذو الخبرة بجمع المعلومات من مصادر مختلفة وتحويلها إلى معلومات لحماية الشركات العميلة. إذا لم تكن CTI الفعالة جزءًا من نموذج الأمان الناضج للشركة، فقد تقع فريسة لأي هجوم في أي وقت.

يمكن لفريق CTI المراقبة بنشاط وإنشاء معلومات قابلة للتنفيذ في المجالات التالية من عملك:

سلسلة الإمداد
مراقبة الويب المظلم لتسرب البيانات
أيام الصفر
نواقل هجوم ناشئة جديدة

يجب أن تكون معلومات التهديدات قابلة للتنفيذ. توفر Threat Intelligence التكتيكات والتقنيات والإجراءات (TTPs) ومؤشرات التسوية (IOCs) لفريق الأمن، وخاصة لفريق مركز العمليات الأمنية (SOC)، لاتخاذ تدابير استباقية/تفاعلية لمواجهة التهديدات السيبرانية.

مؤشرات التسوية

هذه بعض المؤشرات الشائعة للتسوية:

عناوين IP وعناوين URL وأسماء النطاقات التي تستخدمها البرامج الضارة
عناوين البريد الإلكتروني وموضوع البريد الإلكتروني والروابط والمرفقات التي تستخدمها البرامج الضارة
مفاتيح التسجيل وأسماء الملفات وتجزئات الملفات وملفات DLL للبرامج الضارة

أمثلة

الرمز البريدي: //45.142.213.230/bssd [سيكتوبرات تروجان]
الرمز البريدي: //45.142.213.230/شفرة
gorentos@bitmessage.ch
Gorentos2@firemail.cc
ef95c48e750c1a3b1af8f5446f04f54
f04d404 d84be66e64a584 d425844 b926

التكتيكات والتقنيات والإجراءات/TTPs

تحدد TTPs سلوك ممثل التهديد أو المجموعة وتشرح كيف ينفذ الفاعل هجومًا على الشبكة ويقوم بحركة جانبية داخل الإنترانت.

MITRE ATT&CK هو إطار استخبارات التهديدات المفتوح المصدر الأكثر استخدامًا لفهم تكتيكات وتقنيات الخصم. هناك 11 تكتيكًا و 291 أسلوبًا مدرجًا في هذا الإطار.

مثال على التكتيك والتقنية

تكتيك

تقنيات

الوصول الأوليT1193: مرفق التصيد الاحتيالي بالرمحالتنفيذT1059: واجهة سطر الأوامر

T1086: بوويرشيل

T1085: الجولة 32

T1064: البرمجة النصية

T1204: تنفيذ المستخدم

T1028: إدارة ويندوز عن بعد

تعد فعالية فريق CTI للتنبؤ بإمكانية حدوث ذلك وضمان التنفيذ الفعال لتدابير التخفيف أمرًا ضروريًا لبقاء أي منظمة في مجال عملياتها الحالي.

الخاتمة

ولتعزيز نواياهم الشريرة، تقوم الجهات الفاعلة في مجال التهديد بتسليح نفسها بأدوات متطورة وقدرات متقدمة. من الصعب جدًا على سلطات إنفاذ القانون وممارسي الأمن السيبراني مواكبة هذه الجهات الفاعلة. يمكن لنظام CTI الفعال مساعدة المؤسسات على احتواء الهجوم داخل الشبكة وتقليل التكاليف المرتبطة وتقليل فقدان البيانات. سيسمح الاستثمار في نظام CTI القوي لمراكز العمليات الأمنية بالتنبؤ بالهجمات والتخفيف من حدتها بشكل استباقي. ومع ذلك، فإن نظام CTI قوي فقط مثل أضعف حلقاته: البشر. يمكن أن تتسبب الأخطاء البشرية في فشل حتى أكثر أنظمة الأمان قوة والتي لا يمكن اختراقها. يقوم نظام الأمان الجيد بمراقبة أنظمة المعلومات والتطبيقات وإجراء تقييمات منتظمة للثغرات الأمنية واختبار الاختراق. لكن نظام الأمان الشامل يعطي الأولوية لتدريب الموظفين/المستخدمين وتحديثهم بشأن النظافة الإلكترونية وأفضل الممارسات.