كاسبرسكي تلقي الضوء على منظومة برمجيات الفدية الخبيثة
ترِد برمجيات طلب الفدية على لسان الجميع في كل مرة تناقش فيها الشركات التهديدات الرقمية التي من المحتمل أن تواجهها في العام 2021، لا سيما بعد أن نجحت الجهات القائمة وراء هجمات الفدية في بناء أسمائها التجارية وباتت تتمتع بالجرأة في التطوير بطريقة لم يسبق لها مثيل، حتى غدَت أخبار الشركات التي تتعرض لهجمات ببرمجيات طلب الفدية تحتلّ جانبًا من أبرز عناوين الأخبار. ولكن تلك الجهات التخريبية ما زالت تُخفي التعقيدات التي تتسم بها منظومات عملها، بالرغم من حرصها على وضع نفسها في دائرة الضوء. وقد عرض أحدث تقرير صادر عن كاسبرسكي لبحث متعمق أجراه باحثوها في منتديات شبكة الإنترنت المظلمة، لمساعدة المؤسسات والشركات على فهم كيفية عمل المنظومات الخاصة ببرمجيات طلب الفدية، وكيفية محاربتها. وألقى الباحثون نظرة عميقة على عصابتي REvil وBabuk وغيرهما وكشفوا زيف بعض الخرافات الشائعة حول برمجيات طلب الفدية، كما أزالوا اللثام عن الأوجه المتعددة التي يتسم بها هذا العالم الغامض.
وتتألف منظومة برمجيات الفدية من جهات عديدة لكل منها دور تؤديه. وبخلاف الاعتقاد السائد بأن عصابات برمجيات الفدية هي في الواقع عصابات مُحكَمة على غرار عصابات المافيا، فإنها في الواقع أقرب إلى عالم فيلم The Gentlemen للمخرج غاي ريتشي، بعدد كبير من الممثلين الذين يلعبون أدوارًا مختلفة في معظم الهجمات؛ فهناك المطورون، ومسؤولو البوتات، وباعة صلاحيات الوصول، ومشغلو عمليات الفدية، وهؤلاء يقدمون الخدمات بعضهم للبعض الآخر من خلال أسواق الويب المظلمة.
ويلتقي الممثلون، أو اللاعبون، في منتديات مظلمة متخصصة يمكن للمرء فيها العثور على إعلانات محدثة بانتظام تقدم خدمات وتعرض علاقات شراكة وتعاون. ولا يكرر اللاعبون البارزون الذين يعملون بمفردهم زيارة مثل هذه المواقع كثيرًا، لكن العصابات المعروفة، مثل REvil، التي تزايد استهدافها للشركات في الفترة الماضية، تنشر عروضها وأخبارها بطريقة منتظمة باستخدام برامج حليفة. ويفترض هذا النوع من المشاركة وجود شراكة بين مشغل مجموعة برمجيات الفدية والجهات المتحالفة معها. وينال المشغل حصة أرباح تتراوح بين 20 و40%، بينما تبقى نسبة 60 إلى 80% للشركة الحليفة.
REvil أعلنت عن قدرات جديدة لتنظيم المكالمات مع وسائل الإعلام ومع شركاء لضحاياها بهدف الضغط على الضحية لدفع المال
ويُعدّ اختيار هؤلاء الشركاء عملية دقيقة الضبط ذات قواعد أساسية يضعها مشغلو برمجيات الفدية من البداية، وتشمل القيود الجغرافية وحتى الآراء السياسية. وفي الوقت نفسه، يُختار الضحايا بطريقة انتهازية.
وغالبًا ما تكون الشركات المستهدفة سهلة المنال، لا سيما تلك التي استطاع المهاجمون الوصول إليها بسهولة، نظرًا لأن أولئك الذين يصيبون الشركات وغيرهم ممن يُديرون برمجيات الفدية يتوزعون بين مجموعتين مختلفتين يجري تشكيلهما بدافع الرغبة في الربح فقط. وقد تكون إما الجهات التخريبية العاملة ضمن البرامج الحليفة أو المشغلون المستقلون، هم من يبيعون صلاحيات الوصول لاحقًا، سواء في المزاد أو بسعر ثابت، بدءًا من 50 دولارًا. هؤلاء المهاجمون، في أغلب الأحيان، هم أصحاب شبكات البوتات الذين يعملون في حملات ضخمة واسعة النطاق ويبيعون بالجملة صلاحيات الوصول إلى أجهزة الضحايا، ويصلون إلى بائعين سعيًا للعثور على ثغرات يُكشف عنها علنًا في برامج على الإنترنت، مثل أجهزة ذات منافذ VPN أو بوابات بريد إلكتروني، والتي يمكن استخدامها لاختراق الشركات.
وتعد منتديات برمجيات الفدية موطنًا لأنواع أخرى من العروض أيضًا؛ إذ يبيع بعض مشغلي برمجيات الفدية عينات من برمجيات خبيثة وأدوات لإنشاء برمجيات الفدية مقابل مبالغ تتراوح بين 300 و4,000 دولار، بينما يقدم البعض الآخر برمجيات الفدية كخدمة، ويبيعها مع دعم مستمر من مطوريها، وذلك في باقات بأسعار يمكن أن تبلغ 120 دولار شهريًا أو 1,900 دولار سنويًا.
وقال كريغ جونز مدير الجرائم الرقمية في الشرطة الدولية (إنتربول)، إن العامين الماضيين شهدا تزايدًا في جرأة مجرمي الإنترنت على استخدام برمجيات طلب الفدية، مشيرًا إلى أن الجهات التي تستهدفها مثل هذه الهجمات لا تقتصر على الشركات والمؤسسات الحكومية. وأوضح المسؤول أن مشغلي برمجيات الفدية على استعداد لضرب أية شركة بغض النظر عن حجمها، لافتًا إلى التعقيد الذي يتسم به مجال برمجيات طلب الفدية واشتمالها على العديد من الجهات النشطة التي تؤدي أدوارًا مختلفة.
وأضاف: “نحتاج من أجل محاربة هذه الجهات إلى رفع الوعي بشأن طريقة عملها، ومضافرة الجهود في سبيل التصدي لها. وتُعدّ مناسبة “يوم مكافحة برمجيات الفدية” فرصة جيدة لتسليط الضوء على هذه الحاجة وتذكير الجمهور بمدى أهمية تبني ممارسات أمنية فعالة. وقد كرسنا برنامج الإنتربول العالمي لمكافحة الجرائم الرقمية، بالتعاون مع شركائنا، للحدّ من التأثير الذي تُحدثه برمجيات الفدية في العالم، وحماية المجتمعات من الأضرار الناجمة عن هذا التهديد المتزايد”.
من جانبه، أكّد دميتري غالوف الباحث الأمني في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن منظومة برمجيات الفدية تتسم بالتعقيد، ولها العديد من المصالح، مشيرًا إلى كونها سوقًا مرن ينشط فيها العديد من اللاعبين، الذين يُعتبر بعضهم انتهازيًا تمامًا، والبعض الآخر محترفًا ومتقدمًا. وأضاف: “لا يختار اللاعبون أهدافًا محددة، فقد يلاحقون أية شركة، كبيرة كانت أم صغيرة، ما داموا يستطيعون الوصول إليها، وعلاوة على ذلك، فإن أعمالهم تزدهر ولن تختفي في أي وقت قريب. لكن الأمر المطمئن للشركات يتمثل في قدرتها على منع الخطر باتخاذ إجراءات أمنية يسيرة، لذلك فإن الممارسات القياسية مثل التحديث المنتظم لبرمجيات الأعمال والتطبيقات والنسخ الاحتياطي المعزول للبيانات والملفات تساعد في منع الخطر، وهناك الكثير الذي يمكن للشركات القيام به لحماية نفسها”.
اقرا ايضا: نصائح كاسبرسكي لاستخدام شبكات الواي فاي على متن الطائرة بأمان
من جهته، قال إيفان كوياتكوسكي الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إنه لا يمكن اتخاذ قرار بشأن الإجراءات الفعالة ضد منظومة برمجيات الفدية “إلا بعد فهم ركائزها فهمًا عميقًا”. وأضاف: “نأمل من خلال هذا التقرير في تسليط الضوء على الطريقة التي يجري بها تنظيم هجمات برمجيات الفدية، بحيث يمكن للمجتمع اتخاذ تدابير الوقاية المناسبة”.
يمكن معرفة المزيد حول منظومة برمجيات الفدية في التقرير الكامل المنشور على Securelist.
هذا، وتوصي كاسبرسكي الشركات باتباع أفضل الممارسات التي تساعدها في حماية أعمالها من برمجيات الفدية:
- حافظ دائمًا على تحديث برمجيات الأعمال والتطبيقات على جميع الأجهزة لمنع المهاجمين من التسلّل إلى شبكتك من خلال استغلال الثغرات.
- ركز استراتيجيتك الدفاعية على اكتشاف الحركات الجانبية وعمليات سحب البيانات إلى الإنترنت. وانتبه بشكل خاص لحركة البيانات الصادرة من أجل اكتشاف الاتصالات التي قد يجريها مجرمو الإنترنت. واعمل على إعداد نسخ احتياطية منعزلة بحيث لا يستطيع المتسللون العبث بها، مع التأكد من قدرتك على الوصول إليها بسرعة عند الحاجة.
- احرص على تمكين الحماية من برمجيات الفدية في جميع النقاط الطرفية. ويمكن استخدام الأداة المجانية Kaspersky Anti-Ransomware Tool for Business لحماية الحواسيب والخوادم من برمجيات الفدية وأنواع أخرى من البرمجيات الخبيثة، ومنع عمليات الاستغلال، وهي أداة متوافقة مع حلول الأمن القائمة في الشركات.
- ثبّت حلول مكافحة التهديدات المتقدمة المستمرة وحلول اكتشاف التهديدات والاستجابة لها عند النقاط الطرفية، لإتاحة إمكانات اكتشاف هذه التهديدات والتحقيق فيها ومعالجة الحوادث في الوقت المناسب. زوِّد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات وزوده بالتدريب المنتظم عبر مركز تدريب مهني متخصص. كل ما سبق متاح في منصة Kaspersky Expert Security framework.