تُعدّ من أكبر التهديدات الرقمية في الشرق الأوسط وتركيا وإفريقيا: كاسبرسكي تقدم دليلًا إرشاديًا بأهم أساليب هجمات الفدية
بقيت برمجيات الفدية أحد أبرز التهديدات في مشهد أمن المعلومات في الربع الثاني من العام الجاري 2022 في منطقة الشرق الأوسط وتركيا وإفريقيا. وتُعدّ الهجمات على Shoprite، أكبر سلسلة متاجر في إفريقيا، من أبرز هجمات الفدية في المنطقة، علاوة على الهجمات التي نفذتها عصابة LockBit في منطقة جنوب الصحراء الكبرى وهجمات Cl0p على جهات في دولة الإمارات.
وعلاوة على ذلك، شهد خبراء كاسبرسكي تناميًا في عصابات الفدية من حيث الهياكل الداخلية والترويج والأساليب المبتكرة المستخدمة أثناء الهجمات. وقد ورد هذا التوجّه في تقرير “توجهات الفدية 2022” الصادر عن كاسبرسكي خلال هذا العام.
وبهذه المناسبة، قال ماهر يموت الباحث الأمني الأول لدى كاسبرسكي إن هناك “توجهًا محددًا وواضحًا” في تطوّر عمل العصابات الفدية، مشيرًا إلى أن هجماتها باتت “أكثر تعقيدًا ودقّة”، ما يجعلها تعرّض مزيدًا من المستخدمين للتهديد. وأضاف: “قطعت عصابات برمجيات الفدية في السنوات القليلة الماضية شوطًا طويلًا في التطوّر حتى أضحت كأنها أعمال تجارية منظمة ، بعد أن كانت عصابات صغيرة متناثرة. وقد بدأنا نشهد مزيدًا من هجمات الفدية التي تُنفّذ يدويًا بطرق تتسم بالكفاءة ولكنها تستغرق وقتًا طويلًا، مع أن هذه الطرق لم تكن مثالية للمهاجمين على نطاق صغير في السابق”.
وأعد فريق معلومات التهديدات لدى كاسبرسكي دراسة مكثفة لبرمجيات الفدية الحديثة، لتحسين القدرة على فهم التكتيكات والأساليب والإجراءات الأكثر شيوعًا لديها وتحليلها. ومن شأن هذه الدراسة أن تساعد في فهم طرق عمل عصابات الفدية وأفضل سبل الحماية من هجماتها.
ويركز التحليل الذي وردت خلاصاته في الدليل الإرشادي على نشاط العصابات: Conti/Ryuk وPysa وClop (TA505) وHive وLockbit2.0 وRagnarLocker وBlackByte وBlackCat، الناشطة في الولايات المتحدة وبريطانيا وألمانيا ودول أخرى، والتي استهدفت أكثر من 500 مؤسسة عاملة في قطاعات التصنيع وتطوير البرمجيات والشركات الصغيرة، وذلك بين مارس 2021 ومارس 2022.
وحلل خبراء كاسبرسكي سبل استخدام عصابات الفدية للأساليب والتكتيكات الموضحة في قاعدة MITER ATT&CK المعرفية، فوجدوا الكثير من أوجه التشابه بينها وبين منظومة cyber kill chain (سلسلة الهجوم) الرقمية الأمنية. وتبيّن أن طرق الهجوم التي تتبعها هذه العصابات يمكن التنبؤ بها، إذ اتبعت هجمات الفدية نمطًا يتضمن الشبكة المؤسسية أو حاسوب الضحية، وإيصال برمجية خبيثة إليها، والبحث في المزيد، والوصول إلى بيانات اعتماد الدخول إلى الحسابات، وحذف النسخ الصورية والنسخ الاحتياطية، وأخيراً تحقيق الأهداف المنشودة من الهجوم.
وسلّط الباحثون الضوء على مصدر التشابه بين الهجمات:
- ظاهرة “تقديم هجمات الفدية كخدمة” Ransomware-as-a-Service (RaaS)، حيث لا تقدّم عصابات الفدية البرمجيات الخبيثة من نفسها، وإنما تتيح خدمات تشفير البيانات فقط. وتستخدم العصابات، للتيسير على أنفسها، طرقًا قائمة على النماذج الجاهزة لإيصال البرمجيات الخبيثة، أو تستخدم أدوات الأتمتة، لاكتساب قدرات النفاذ.
- إعادة استخدام الأدوات القديمة وما شابهها يسهّل على المهاجمين ويقلّل الوقت المستغرق للإعداد للهجوم.
- إعادة استخدام التكتيكات والأساليب والإجراءات الشائعة تسهّل الاختراق، بالرغم من إمكانية اكتشافها بسهولة، لكن من الصعب جدًا تعميم هذا احترازيًا على جميع نواقل التهديد المحتملة.
- البطء في تثبيت التحديثات والتصحيحات البرمجية يُضعف المستخدمين ويزيد من إمكانية تعرضهم للهجوم.
ويمكن الاطلاع على النسخة العامة من تقرير توجهات الفدية على موقع Securelist.com.
وتوصي كاسبرسكي باتباع التدابير والإجراءات التالية للحماية من هجمات الفدية:
- عدم الاتصال بسطح المكتب البعيد وخدمات الإدارة (مثل RDP وMSSQL وغيرها) عبر شبكات الإنترنت العامّة، إلا للضرورة القصوى، مع الحرص على استخدام كلمات مرور قوية واعتماد أسلوب المصادقة الثنائية وقواعد وجدران الحماية.
- المسارعة إلى تثبيت التصحيحات المتاحة لحلول VPN التجارية التي تتيح للموظفين الوصول عن بُعد، وتعمل كبوابات للشبكة المؤسسية.
- الحفاظ دائمًا على تحديث البرمجيات على جميع الأجهزة التي تستخدمها لمنع برمجيات الفدية من استغلال الثغرات الأمنية.
- تركيز الاستراتيجية الدفاعية على الكشف عن الحركات الجانبية وسحب البيانات إلى الإنترنت. مع ضرورة الانتباه لحركة المرور الصادرة لاكتشاف محاولات مجرمي الإنترنت للاتصال بالشبكة.
- النسخ الاحتياطي للبيانات بانتظام مع إيلاء استراتيجيات النسخ الاحتياطي دون اتصال بالإنترنت اهتمامًا خاصًا، والحرص على إمكانية الوصول إلى النسخ الاحتياطية بسرعة في حالات الطوارئ.
- تجنُّب تنزيل البرمجيات المقرصنة أو البرمجيات التي تتيحها مصادر غير معروفة.
- إخضاع المنافذ التي تصل منها سلاسل التوريد والخدمات المُدارة المقدمة للمؤسسة، للتقييم والتدقيق.
- إعداد خطة عمل لتفادي الأخطار التي تمسّ السمعة المؤسسية في حالات سرقة البيانات وانكشافها.
- استخدام حلول مثل Kaspersky Endpoint Detection and Response Expert وخدمة Kaspersky Managed Detection and Response التي تساعد على تحديد الهجوم وإيقافه في المراحل المبكرة، قبل أن يصل المهاجمون إلى أهدافهم المنشودة من الهجوم.
- الحرص على توعية الموظفين لحماية البيئة المؤسسية. وبوسع الدورات التدريبية التخصصية، كتلك المتاحة في Kaspersky Automated Security Awareness Platform أن تساعد في هذا الجانب.
- استخدام حلّ أمني موثوق به لحماية النقاط الطرفية، مثل Kaspersky Endpoint Security for Business المدعوم بمزايا منع الاستغلال واكتشاف السلوك الخبيث وبمحرك إصلاح قادر على إلغاء الإجراءات الخبيثة، فيما لديه أيضًا آليات حماية ذاتية لمنع مجرمي الإنترنت من إزالته.
- استخدام أحدث معلومات التهديدات للبقاء على الطلاع على التكتيكات والأساليب والإجراءات التي تتبعها وتستخدمها الجهات التخريبية. وتقدّم بوابة Kaspersky Threat Intelligence Portal مدخلًا موحدًا إلى منصة معلومات التهديدات المتكاملة من كاسبرسكي، والتي تتيح بيانات الهجمات الرقمية والرؤى والمعلومات والتفصيلية التي جمعها فريق الشركة على مدار 25 عامًا. وتتيح كاسبرسكي المجال أمام المؤسسات للوصول إلى معلومات مستقلة ومحدّثة باستمرار من مصادر عالمية حول الهجمات الرقمية والتهديدات المستمرة، وذلك لمساعدة المؤسسات، مجانًا، على تعزيز دفاعاتها الأمنية في وسط الأوقات الصعبة التي يمرّ بها العالم حاليًا.