تقرير: برامج الفدية كخدمة هي "صناعة ذاتية الاستدامة"

كشف تقرير جديد عن تعقيدات النظام البيئي لبرامج الفدية على الإنترنت ، وخلص إلى أن الجهات الفاعلة التي تعمل جنبًا إلى جنب مع مجموعات برامج الفدية تتطلب مزيدًا من الاهتمام أكثر مما تحصل عليه حاليًا.

يوضح التقرير بالتفصيل كيفية قيام الجهات الفاعلة بالتهديد بنشر عدد لا يحصى من تقنيات الابتزاز - في كثير من الأحيان جنبًا إلى جنب - من أجل إجبار الشركات على التفاوض ودفع الرسوم في نهاية المطاف لحماية و / أو استرداد بياناتهم.

من خلال فهم موجهات الهجوم التي تستخدمها مجموعات برامج الفدية بشكل شائع ، يمكن للشركات اتخاذ إجراءات لحماية نفسها. تعد إدارة كلمات المرور ، على سبيل المثال ، إحدى الطرق لضمان عدم قيام موظفي عملك بتوفير طريقة سهلة لاستخدام بيانات اعتماد الحساب الضعيفة.

برامج الفدية كخدمة آخذة في الازدهار

يوضح تقرير Tenable أن السبب الرئيسي وراء طفرة برامج الفدية الأخيرة هو "ظهور برامج الفدية ‑ as a ‑ service (RaaS)."

في الأساس ، RaaS هو نموذج خدمة ، تمامًا مثل البرامج كخدمة. تصنع مجموعات برامج الفدية البرنامج ، ولكن ينتهي الأمر بجهات فاعلة أخرى باقتحام الأنظمة ونشرها.

قبل ذلك ، كانت مجموعات برامج الفدية نفسها هي التي ستنفذ كل إجراء في هذه العملية ، ولكن الآن ، أصبح النظام أكثر تعقيدًا بشكل لا نهائي ، وهناك مراحل مختلفة يمكن فيها للجهات الفاعلة الصغيرة جني الأموال.

شرح النظام البيئي لبرامج الفدية

يوضح Tenable أن النظام البيئي لبرامج الفدية ، والأهم من ذلك ، لا يتكون فقط من مجموعات برامج الفدية. تعد مجموعات برامج الفدية منشئين ومالكي "المنتج" ، وتحصل بدورها على قدر كبير من الاهتمام ، ولكن بشكل عام ، تحدد الشركة ثلاثة "أدوار" رئيسية تلعب دورًا في معظم هجمات برامج الفدية: IABs ، ومجموعات الشركات التابعة ومجموعات برامج الفدية.

وسطاء الوصول المبدئي (IABs) هم "مجموعة متخصصة من مجرمي الإنترنت المسؤولين عن الوصول إلى المنظمات من خلال مجموعة متنوعة من الوسائل."

بدلاً من استخدام وصولهم غير المبرر لتنظيم هجوم برامج الفدية الخاصة بهم ، يوضح التقرير ، "تحافظ IABs على الثبات داخل شبكات المنظمات الضحايا وتبيعها لأفراد أو مجموعات أخرى داخل النظام البيئي للجرائم الإلكترونية."

بلغت قيمة سوق IABs 1.6 مليون دولار في عام 2019 ، لكنها نمت إلى 7.1 مليون دولار في عام 2021 (Group-IB). هذا رقم أصغر بكثير من الأموال المكتسبة في أي مكان آخر في سلسلة برامج الفدية ، وذلك ببساطة لأن هناك مخاطر أقل بكثير.

بلغت قيمة سوق وسطاء الوصول المبدئي (IABs) 1.6 مليون دولار في عام 2019 ، لكنها نمت إلى 7.1 مليون دولار في عام 2021 - Group-IB

بعد اقتحام IABs ، سيشتري الممثلون المعروفون باسم المسوقين بالعمولة الوصول الذي قاموا بتعدينه في أي مكان يتراوح بين بضع مئات وبضعة آلاف من الدولارات. بدلاً من ذلك ، سيستخدمون موجهات الهجوم مثل أنظمة بروتوكول سطح المكتب البعيد ذات التأثير الغاشم ، أو التصيد الاحتيالي ، أو نقاط الضعف في النظام ، أو بيانات الاعتماد المسروقة لاقتحام خوادم الشركة.

يقول التقرير إن هؤلاء الممثلين يعملون إلى حد كبير مثل المسوقين التابعين الذين يجدون عملاء متوقعين في الممارسات التجارية العادية والشرعية - فهم يصيبون النظام ويسمحون لمجموعة برامج الفدية "بإغلاق الصفقة" وبدء عملية التفاوض.

غالبًا ما يكون المسوقون بالعمولة تحت تعليمات من مجموعات برامج الفدية نفسها ، مما يساعد في اختبار إبداعاتهم والاستفادة منها.

كيف يجعل الابتزاز "المزدوج" و "الثلاثي" و "الرباعي" الشركات تدفع الثمن

تقليديًا ، تقوم مجموعات برامج الفدية بتشفير ملفات الشركة وتجعلها تدفع مقابل فك تشفيرها. لكن في الوقت الحاضر ، تمتلك معظم الشركات نسخًا احتياطية آمنة للملفات ، لذا أصبحت هذه الطريقة غير فعالة بشكل متزايد.

ولكن خلال السنوات القليلة الماضية ، أصبح "الابتزاز المزدوج" هو المعيار للعديد من مجموعات برامج الفدية. يتكون هذا من "استخراج البيانات من المنظمات الضحايا ونشر المضايقين" على منتديات الويب المظلمة ومواقع الويب المسربة. شعرت الشركات بالرعب من تسريب المعلومات الخاصة والسرية عبر الإنترنت لاحقًا.

في عام 2021 ، حصلت REvil على دفعة بقيمة 11 مليون دولار من JBS ، على الرغم من أن نظام الشركة "يعمل بكامل طاقته" في وقت الدفع.

ومع ذلك ، فإن هذا التكتيك قد مضى عليه عدة سنوات ، ويقول تينابل إنه يتم استخدام تقنيات أخرى جنبًا إلى جنب مع بعضها البعض في محاولات ابتزاز "ثلاثية" أو حتى "رباعية".

تتضمن الأساليب الاتصال بالعملاء الذين تشير إليهم البيانات المسروقة ، والتهديد ببيع البيانات المسروقة لأعلى مزايدين ، وتحذير الضحايا من الاتصال بوكالات إنفاذ القانون.

التركيز على ما وراء مجموعات برامج الفدية

يقترح التقرير أن الدور الحاسم الذي تلعبه IABs والشركات التابعة له داخل النظام البيئي لبرامج الفدية يجب أن يحظى بمزيد من الاهتمام.

مجموعات برامج الفدية ، في جوهرها ، غير دائمة. كلما حققوا نجاحًا أكبر ، زاد عدد المنتسبين الذين يريدون التمحور تجاههم واستخدام برامجهم ، ولكن بعد ذلك ، في المقابل ، تحاول وكالات إنفاذ القانون تعقبهم.

العديد من مجموعات برامج الفدية "سيئة السمعة" التي تتصدر عناوين الصحف اليوم ، مثل مجموعة Conti ، هي خلفاء لمجموعات برامج الفدية الأخرى. إذا بدأت تحقيقًا في مجموعة ، فقد لا يكون موجودًا بعد عام من الآن. ومع ذلك ، فإن IABs والشركات التابعة لها.

ما الذي يمكن أن تفعله الشركات لحماية نفسها؟

يقدم Tenable عددًا من الخطوات المخففة المختلفة التي يمكن للشركات اتخاذها للتأكد من أنهم ليسوا الضحايا التاليين لهجوم برامج الفدية الابتزازية. يتضمن ذلك استخدام المصادقة متعددة العوامل ، والتدقيق المستمر لأذونات المستخدم للحسابات ، وتصحيح الأصول المعرضة للخطر في شبكتك ، وتقوية بروتوكولات سطح المكتب البعيد ، واستخدام برامج مكافحة الفيروسات المناسبة.

تتضمن القائمة أيضًا تقوية كلمات مرور موظفيك ، وتنصح بأن "متطلبات كلمة المرور تتضمن كلمات طويلة وغير معجمية". إحدى الطرق للتأكد من أن كلمات المرور طويلة بما يكفي دون الحاجة إلى تذكرها هي استخدام مدير كلمات المرور ، والذي سيسمح أيضًا لموظفيك بإنشاء كلمات مرور فريدة لجميع الحسابات التي يمتلكونها بدلاً من إعادة استخدامها.

نظرًا لأن سوق RaaS - والمجموعات الخبيثة التي تشارك فيه - لا تظهر أي علامات على التباطؤ ، فإن اتخاذ أقصى درجات الاحتياطات فيما يتعلق ببياناتك لم يكن أكثر أهمية من أي وقت مضى.