كشفت «غروب-آي بي»، الشركة العالمية الرائدة في مجال الأمن الإلكتروني، عن تقريرها السنوي الثاني الخاص بتطورات مشهد التهديدات الإلكترونية (Ransomware Uncovered) لعام 2021/2022. وتشير نتائج الإصدار الثاني من التقرير إلى أن إمبراطورية برامج الفدية الخبيثة حافظت على سلسلة انتصاراتها، حيث ارتفع متوسط الطلب على هذه البرمجيات بنسبة 45% لتبلغ قيمتها 247 ألف دولار أمريكي خلال العام 2021. كما أصبحت عصابات برامج الفدية أكثر جشعاً منذ عام 2020. فقد طلبت مجموعة “هايف” الإجرامية 240 مليون دولار (30 مليون دولار في عام 2020) من شركة “ميديا ماركت” المتخصصة بصناعة الأجهزة الإلكترونية. وخلال العام 2021، باتت مجموعة “هايف” الإجرامية إلى جانب مجموعة “غريف”، الوافدة الجديدة لمشهد هجمات برامج الفدية، ضمن أبرز 10 عصابات إجرامية من حيث عدد الضحايا الذين تم نشر بياناتهم على مواقع تسريب المعلومات المتخصصة بهجمات الفدية.
وأشار التقرير إلى أنه خلال الفترة ما بين الربع الأول من عام 2021 والربع الأول من عام 2022، تم تحميل البيانات الخاصة لما يصل إلى 147 شركة من منطقة الشرق الأوسط وأفريقيا على مواقع تسريب المعلومات المتخصصة بهجمات الفدية. وعلى مستوى دول مجلس التعاون الخليجي؛ فقد تم نشر بيانات 17 شركة من دولة الإمارات العربية المتحدة، تلتها المملكة العربية السعودية مع 15 شركة ضحية، والكويت مع 6 شركات، وقطر مع 5 شركات.
خطوط تجمع برمجيات الفدية
وقيّم التقرير الجديد أحدث الأساليب والتقنيات والإجراءات للجهات الإجرامية التي تستخدم برامج الفدية والتي تمت ملاحظتها في جميع المواقع الجغرافية بواسطة خبراء فريق التحاليل الجنائية الرقمية والاستجابة للحوادث لدى «غروب-آي بي». فإلى جانب تحليل أكثر من 700 هجمة كجزء من عمليات الاستجابة للحوادث الخاصة بشركة «غروب-آي بي» ونشاط استخبارات التهديدات الإلكترونية في عام 2021؛ نظر التقرير أيضاً في البيانات الواردة على مواقع تسريب المعلومات المتخصصة بهجمات الفدية.
في حين واصلت هجمات برامج الفدية الصادرة عن عناصر بشرية تصدرها لمشهد التهديدات العالمي بهوامش قوية على مدى السنوات الثلاث الماضية. وأصبح ظهور الوسطاء المتخصصين بعمليات الوصول الأولية للشبكات، الذين وردوا في تقرير «غروب-آي بي» لاتجاهات جرائم التكنولوجيا عالية التقنية، وتوسيع برمجيات الفدية المقدمة كخدمة (RaaS)، القوتين الرئيسيتين وراء النمو المستمر للهجمات باستخدام برامج الفدية. وقد أتاحت برمجيات الفدية المقدمة كخدمة (RaaS) لمجرمي الإنترنت ذوي المهارات المنخفضة الانضمام إلى اللعبة الأمر الذي أسهم في زيادة أعداد الضحايا في نهاية المطاف.
ووفقاً للتحليلات الخاصة بأكثر من 700 هجوم خلال العام 2021، قدر خبراء التحاليل الجنائية الرقمية والاستجابة للحوادث لدى شركة «غروب-آي بي» أن متوسط الطلب على برمجيات الفدية بلغ 247 ألف دولار في عام 2021، بزيادة قدرها 45% مقارنة بعام 2020. وتطورت برمجيات الفدية حيث باتت تمتاز بمستويات أعلى من التعقيد الأمر الذي يتجلى بوضوح في زمن تعطل أعمال ضحايا هذه الهجمات، والذي ارتفع من 18 يوماً خلال العام 2020 إلى 22 يوماً في العام 2021.
بدأت برمجيات الفدية المقدمة كخدمة (RaaS) بتزويد بخدمات تصميم وإنشاء برامج الفدية، إلى جانب أدوات مخصصة لاستخراج البيانات بهدف تبسيط العمليات وتسهيلها. وبالتالي، أصبحت تقنية الابتزاز المزدوج أكثر شيوعاً وانتشاراً، وقد تم اختراق البيانات الحساسة للضحايا كأداة ضغط للحصول على الفدية التي يتم دفعها في 63% من الحالات التي تم تحليلها بواسطة فريق التحاليل الجنائية الرقمية والاستجابة للحوادث لدى مجموعة «غروب-آي بي». وخلال الفترة ما بين الربع الأول من عام 2021 والربع الأول من عام 2022، نشرت عصابات برامج الفدية بيانات خاصة بأكثر من 3500 ضحية على مواقع تسريب المعلومات المتخصصة بهجمات الفدية. وتوزعت معظم الشركات التي تم نشر بياناتها على مواقع تسريب المعلومات من قبل مشغلي برامج الفدية في عام 2021 على عدة دول هي الولايات المتحدة (1،655 شركة)، وكندا (176 شركة)، والمملكة المتحدة (168 شركة)، وتعود معظم الشركات المتأثرة بهذه الهجمات إلى قطاعات مثل التصنيع (322 شركة) والعقارات (305 شركة) والخدمات المهنية (256 شركة).
ووفقاً للتقرير، فقد تم خلال الفترة ما بين الربع الأول من عام 2021 والربع الأول من عام 2022 نشر بيانات 147 شركة من منطقة الشرق الأوسط وإفريقيا على مواقع تسريب المعلومات المتخصصة بهجمات الفدية. وعلى صعيد منطقة دول مجلس التعاون الخليجي، تم نشر بيانات 17 شركة من دولة الإمارات العربية المتحدة على هذه المواقع، تلتها المملكة العربية السعودية مع 15 شركة، والكويت مع 6 شركات، وقطر مع 5 شركات.
وأشار التقرير إلى أن عصابة Lockbit، وConti، وPysa كانت الأكثر عدوانية باستهدافها لـ 670 شركة، و640 شركة، و186 شركة على التوالي من الشركات التي تم نشر بياناتها على مواقع تسريب المعلومات المتخصصة بضحايا هجمات الفدية.
وفي الإمارات العربية المتحدة تحديداً، كانت أكثر عصابات برامج الفدية نشاطاً خلال العام 2021 هي Lockbit التي نشرت بيانات 6 شركات على مواقع تسريب المعلومات خلال الفترة ما بين الربع الأول من عام 2021 والربع الأول من عام 2022، تلتها شركة Prometheus (شركتان)، و54bb47h (شركة واحدة)، وAvaddon (شركة واحدة)، وDarkside (شركة واحدة) وغيرها. وفيما يخص القطاعات المستهدفة، فإن أكثر الشركات المتضررة في دولة الإمارات كانت من الشركات التي تعمل في قطاع العقارات (3 شركات).
لم تعد الروبوتات (Bots) تبدو على ما هي عليه
أصبح استغلال خوادم بروتوكول سطح المكتب البعيد المواجهة للجمهور الطريقة الأكثر شيوعاً للحصول على موطئ قدم أولي داخل الشبكة المستهدفة خلال العام 2021. وبدأت 47% من جميع الهجمات التي حقق فيها خبراء التحاليل الجنائية الرقمية والاستجابة للحوادث لدى «غروب-آي بي» في اختراق خدمة خارجية عن بُعد.
واحتلت رسائل التصيد الاحتيالي الإلكترونية التي تحمل برامج خبيثة متاحة للشراء أو للتحميل بالمجان المرتبة الثانية (بنسبة 26%). وأصبحت هذه البرامج الخبيثة التي تم نشرها في المرحلة الأولية، أكثر شيوعاً بين الجهات الفاعلة في مجال برامج الفدية. ومع ذلك، أصبح إسناد هجمات برامج الفدية خلال العام 2021 أكثر تعقيداً، حيث تم استخدام العديد من برامج الروبوت مثل Emotet و Qakbot و IcedID من قبل العديد من الجهات الفاعلة لشن الهجمات، على عكس عام 2020، عندما كان لبعض عائلات البرامج الخبثة المجانية ارتباط قوي بعصابات معينة متخصصة ببرمجيات الفدية.
ولوحظ استخدام بعض العصابات المتخصصة ببرامج الفدية لأساليب متقدمة غير تقليدية، فقد استفاد عملاء مجموعة REvil الخبيثة على سبيل المثال من ثغرات “اليوم الصفر” لمهاجمة عملاء شركة Kaseya المتخصصة بإدارة البرمجيات. كما تم توزيع برمجية BazarLoader الخبيثة المستخدمة في عمليات Ryuk، عن طريق رسائل التصيد (التصيد الصوتي). واحتوت رسائل التصيد الاحتيالي على معلومات حول “الاشتراكات المدفوعة”، حيث عبرت الرسائل عن إمكانية إلغاء هذه الاشتراكات عبر الهاتف.
وبهذه المناسبة، قال أوليج سكولكين، رئيس فريق التحاليل الجنائية الرقمية والاستجابة للحوادث لدى «غروب-آي بي»: “نظراً لعمليات إعادة بناء العلامات التجارية المتعددة التي فرضتها إجراءات إنفاذ القانون، بالإضافة إلى دمج الأساليب والتقنيات والإجراءات جراء الانتقال المستمر لعملاء الجهات المزودة لبرمجيات الفدية كخدمة (RaaS) إلى جهات أخرى، فقد بات من الصعب على مسؤولي الأمن تتبع التكتيكات والأدوات المتطورة للجهات التي تنشط في استخدام برمجيات الفدية. وبهدف مساعدة مسؤولي الأمن لدى للشركات للاستعداد لهجمات برامج الفدية والتعامل معها، حددنا الاتجاهات الرئيسية والتغييرات التي شهدتها الأساليب والتقنيات والإجراءات، وقمنا بتحويلها إلى رؤى وبيانات قابلة للتنفيذ وتنظيمها وفقاً لمصفوفة MITER ATT & CK®”.
يتوفر الإصدار الثاني من تقرير (Ransomware Uncovered) لعام 2021/2022 للتحميل عبر الموقع الإلكتروني الخاص بشركة جروب-آي بي.
