شاهد موجز Cyber Signals الرقمي حيث تُجري فاسو جاكال، نائبة الرئيس التنفيذي للأمان من Microsoft، مقابلات مع كبار خبراء التحليل الذكي للمخاطر حول تكاليف برامج الفدية الضارة وكيف يمكن للمؤسسات المساعدة في حماية نفسها.
مثلما اتجهت العديد من المجالات نحو العاملين المستقلين لتحقيق الكفاءة، يقوم مجرمو الإنترنت بتأجير أو بيع أدوات برامج الفدية الضارة الخاصة بهم مقابل جزء من الأرباح، بدلًا من تنفيذ الهجمات بأنفسهم.
تسمح خدمات برامج الفدية الضارة لمجرمي الإنترنت بشراء حق الوصول إلى حمولات برامج الفدية الضارة وتسريب البيانات بالإضافة إلى البنية الأساسية للدفع. "عصابات" برامج الفدية الضارة هي في الواقع عبارة عن خدمات برامج الفدية الضارة (RaaS) مثل Conti أو REvil، يستخدمها العديد من المستخدمين المختلفين الذين يقومون بالتبديل بين خدمات برامج الفدية الضارة (RaaS) وحمولات برامج الفدية الضارة.
تعمل خدمات برامج الفدية الضارة (RaaS) على تقليل معوقات الدخول وتحجب هوية المهاجمين الذين يستخدمون برامج الفدية الضارة. تحتوي بعض البرامج على أكثر من 50 "مُستخدم"، حيث يشيرون إلى مستخدمي خدمتهم، بوسائل وتقنيات تجسس وأهداف مختلفة. مثلما يمكن لأي شخص لديه سيارة أن يقود سيارته للحصول على خدمات النقل الخاصة، فإن أي شخص لديه جهاز كمبيوتر محمول وبطاقة ائتمان يرغب في البحث في الويب المظلم عن أدوات اختبار الاختراق أو البرامج الضارة غير التقليدية يمكنه الانضمام إلى هذا المجتمع.
أدى مجال الجرائم الإلكترونية إلى إنشاء أدوار متخصصة، مثل وسطاء الوصول الذين يبيعون الوصول إلى الشبكات. غالبًا ما يتضمن الحل الوسط الواحد العديد من مجرمي الإنترنت في مراحل مختلفة من الاختراق.
من السهل العثور على مجموعات خدمات برامج الفدية الضارة (RaaS) على الويب المظلم ويتم الإعلان عنها بنفس الطريقة التي يتم بها الإعلان عن البضائع عبر الإنترنت.
قد تتضمن مجموعة خدمات برامج الفدية الضارة (RaaS) دعم خدمة العملاء والعروض المجمعة وتقييمات المستخدمين والمنتديات وميزات أخرى. يمكن لمجرمي الإنترنت دفع سعر محدد لمجموعة خدمات برامج الفدية الضارة (RaaS) بينما تحصل المجموعات الأخرى التي تبيع خدمات برامج الفدية الضارة (RaaS) ضمن النموذج التابع لشركة حليفة على نسبة مئوية من الأرباح.
تتضمن هجمات برامج الفدية الضارة قرارات تعتمد على تكوينات الشبكات وتختلف من ضحية إلى أخرى حتى لو كانت حمولة برامج الفدية الضارة هي نفسها. تبلغ برامج الفدية الضارة ذروتها في هجوم يمكن أن يشمل نقل غير مصرّح به للبيانات وغيرها من التأثيرات الأخرى. ونظرًا للطبيعة المترابطة لتكاليف الجرائم الإلكترونية، فإن الاختراقات التي تبدو غير ذات صلة يمكن أن ترتبط بعضها البعض. يتم التعامل مع برنامج Infostealer الضار الذي يسرق كلمات المرور وملفات تعريف الارتباط بقدر أقل من الخطورة، لكن مجرمي الإنترنت يبيعون كلمات المرور هذه لتمكين القيام بهجمات أخرى.
تتبع هذه الهجمات نموذجًا للوصول الأولي عبر الإصابة بالبرامج الضارة أو استغلال ثغرة أمنية ثم سرقة بيانات الاعتماد لرفع الامتيازات والتحرك جانبيًا. يسمح هذا المجال بتنفيذ هجمات برامج الفدية الضارة العديدة والمؤثرة من قبل المهاجمين دون وجود تعقيدات أو مهارات متقدمة. منذ إيقاف تشغيل Conti، لاحظنا حدوث تحولات في طبيعة برامج الفدية الضارة. انتقلت بعض الشركات التابعة التي كانت تنشر Conti إلى استخدام حمولات من الأنظمة البيئية القائمة لخدمات برامج الفدية الضارة (RaaS) مثل LockBit وHive، بينما قامت شركات أخرى في نفس الوقت بنشر حمولات من الأنظمة البيئية المتعددة لخدمات برامج الفدية الضارة (RaaS).
تعمل خدمات برامج الفدية الضارة الجديدة (RaaS) مثل Quantum Locker وBlack Basta على سد الفجوة التي نتجت عن إغلاق Conti. نظرًا لأن معظم تغطية برامج الفدية الضارة تُركز على الحمولات بدلاً من المُستخدمين، فمن المرجح أن يؤدي التبديل إلى التركيز على الحمولات إلى إرباك الحكومات وجهات إنفاذ القانون ووسائل الإعلام والباحثين الأمنيين والمدافعين بشأن من يقف وراء الهجمات.
قد يبدو إعداد التقارير حول برامج الفدية الضارة بمثابة مشكلة توسيع لا نهاية لها؛ ومع ذلك، فإن الواقع عبارة عن مجموعة محدودة من المُستخدمين الذين يستخدمون مجموعة من التقنيات.
يتمثل الهدف وراء برامج الفدية الضارة في الابتزاز من أجل الحصول على الأموال من الضحية. تقوم معظم خدمات برامج الفدية الضارة الحالية (RaaS) والمعروفة باسم برامج الابتزاز المزدوج أيضًا بتسريب البيانات المسروقة. نظرًا لأن انقطاع الخدمة يتسبب في حدوث ردود فعل عكسية وزيادة التعطيل الحكومي لمشغلي برامج الفدية الضارة، تتخلى بعض المجموعات عن برامج الفدية الضارة وتستمر في عمليات الابتزاز بشأن البيانات.
مجموعتان تركزان على الابتزاز هما DEV-0537 (وتُعرف أيضًا باسم LAPSUS$) وDEV-0390 (جهة تابعة لبرنامج Conti السابق). تبدأ عمليات اختراق DEV-0390 من خلال البرامج الضارة ولكنها تستخدم أدوات مشروعة لتصفية البيانات والابتزاز من أجل دفع الأموال. إنهم ينشرون أدوات اختبار الاختراق مثل Cobalt Strike وBrute Ratel C4 وأداة الإدارة عن بُعد Atera الرسمية للاستمرار في الوصول إلى الضحية. سيقوم DEV-0390 بتصعيد الامتيازات عن طريق سرقة بيانات الاعتماد، وتحديد موقع البيانات الحساسة (غالبًا على النسخ الاحتياطية للشركات وخوادم الملفات)، وإرسال البيانات إلى موقع مشاركة الملفات السحابية باستخدام أداة النسخ الاحتياطي للملفات.
يستخدم DEV-0537 إستراتيجية ومهارة تجسسية مختلفة تمامًا. يتم الحصول على الوصول الأولي عن طريق شراء بيانات الاعتماد من المنظمات الإجرامية السرية أو من الموظفين في المنظمات المستهدفة.
ومن خلال فهم الطبيعة المترابطة للهويات والعلاقات المترابطة في النظم البيئية للتكنولوجيا الحديثة، فإنهم يستهدفون الاتصالات والتكنولوجيا وخدمات تكنولوجيا المعلومات وشركات الدعم للاستفادة من الوصول من مؤسسة واحدة للدخول إلى شبكات الشركاء أو الموردين. تثبت هجمات الابتزاز فقط أن المدافعين عن الشبكة يجب أن ينظروا إلى ما هو أبعد من برامج الفدية الضارة في المرحلة النهائية وأن يراقبوا عن كثب عمليات النقل غير المصرح به للبيانات والحركات الجانبية.
إذا كان أحد ممثلو المخاطر يخطط لابتزاز مؤسسة للحفاظ على خصوصية بياناتها، فإن حمولة برامج الفدية الضارة هي الجزء الأقل أهمية والأقل قيمة في استراتيجية الهجوم. في نهاية المطاف، يعود الأمر إلى المشغل لاختيار ما يختار نشره، ولا تمثل برامج الفدية الضارة دائمًا حمولات باهظة الثمن يسعى إليها كل ممثل مخاطر.
في حين أن برامج الفدية الضارة أو برامج الابتزاز المزدوج قد تبدو نتيجة حتمية لهجوم يقوم به مهاجم متطور، إلا أن برامج الفدية الضارة هي كارثة يمكن تجنبها. إن الاعتماد على الثغرات الأمنية لدى المهاجمين يعني أن الاستثمارات في مجال الأمان الإلكتروني تقطع شوطا طويلًا.
إن الرؤية الفريدة التي تتمتع بها Microsoft تمنحنا رؤية واضحة لنشاط ممثلو المخاطر. بدلًا من الاعتماد على منشورات المنتديات أو تسريبات الدردشة، يقوم فريق خبراء الأمان لدينا بدراسة أساليب برامج الفدية الضارة الجديدة وتطوير عملية التحليل الذكي للمخاطر التي تعتمد عليها حلولنا الأمنية.
تساعدنا الحماية المتكاملة من التهديدات عبر الأجهزة والهويات والتطبيقات والبريد الإلكتروني والبيانات والسحابة على تحديد الهجمات التي يمكن تصنيفها على أنها جهات فاعلة متعددة، في حين أنها في الواقع مجموعة واحدة من مجرمي الإنترنت. يواصل فريق الجرائم الرقمي لدينا، المؤلف من خبراء تقنيين وقانونيين وتجاريين، العمل مع جهات إنفاذ القانون لتعطيل الجرائم الإلكترونية
لدى Microsoft توصيات مُفصلة حول https://go.microsoft.com/fwlink/?linkid=2262350.
استمع إلى إميلي هاكر محللة في مجال التحليل الذكي للمخاطر، حول كيفية بقاء فريقها على اطلاع ببرامج الفدية الضارة باعتبارها برامج متغيرة كمجال للخدمات.
المنهجية: بالنسبة لبيانات النسخة المطابقة، قدمت أنظمة Microsoft الأساسية، بما في ذلك Defender وAzure Active Directory، ووحدة الجرائم الرقمية لدينا، بيانات مجهولة المصدر حول نشاط التهديد، مثل حسابات البريد الإلكتروني الضارة ورسائل البريد الإلكتروني التصيدية وحركة المهاجم داخل الشبكات. تم الحصول على نتائج تحليلات إضافية من 43 تريليون إشارة أمان يومية وصلت عبر Microsoft، بما في ذلك السحابة ونقاط النهاية والحافة الذكية وفرق ممارسة استرداد الأمان والكشف والاستجابة.
متابعة Microsoft