أصبح مجرمو الإنترنت أكثر استراتيجية واحترافية الفدية. وهم يقومون بشكل متزايد بمحاكاة كيفية عمل الشركات المشروعة، بما في ذلك الاستفادة من سلسلة التوريد المتنامية للجرائم الإلكترونية كخدمة.
توضح هذه المقالة أربعة اتجاهات رئيسية لبرامج الفدية وتقدم نصائح حول كيفية تجنب الوقوع ضحية لهذه الهجمات الجديدة.
1. IABs في صعود
أصبحت الجرائم الإلكترونية أكثر ربحية، كما يتضح من نمو وسطاء الوصول الأولي (IABs) المتخصصين في اختراق الشركات، وسرقة بيانات الاعتماد، وبيع هذا الوصول إلى مهاجمين آخرين. تعد IABs الحلقة الأولى في سلسلة القتل المتعلقة بالجرائم السيبرانية كخدمة، وهو اقتصاد الظل للخدمات الجاهزة التي يمكن لأي مجرم محتمل شراؤها لبناء سلاسل أدوات متطورة لتنفيذ أي جريمة رقمية يمكن تخيلها تقريبًا.
كبار عملاء IABs هم مشغلو برامج الفدية، الذين هم على استعداد للدفع مقابل الوصول إلى الضحايا الجاهزين بينما يركزون جهودهم على الابتزاز وتحسين برامجهم الضارة.
في عام 2021 ، كان هناك أكثر من 1,300 قائمة IAB في منتديات الجرائم الإلكترونية الكبرى التي يراقبها مركز الاستخبارات السيبرانية التابع لـ KELA، ويأتي نصفها تقريبًا من 10 IABs. وفي معظم الحالات، كان سعر الوصول يتراوح بين 1,000 دولار و10,000 دولار، بمتوسط سعر بيع قدره 4,600 دولار. من بين جميع العروض المتاحة، كانت بيانات اعتماد VPN ووصول مسؤول المجال من بين هذه العروض الأكثر قيمة.
2. الهجمات عديمة الملفات تمر تحت الرادار
يستلهم مجرمو الإنترنت التهديدات المستمرة المتقدمة (APT) ومهاجمي الدول القومية من خلال استخدام تقنيات العيش خارج الأرض (LotL) والتقنيات الخالية من الملفات لتحسين فرصهم في تجنب الكشف لنشر برامج الفدية بنجاح.
تستفيد هذه الهجمات من الأدوات البرمجية المشروعة والمتاحة للعامة والموجودة غالبًا في بيئة الهدف. على سبيل المثال، 91% من انتزاع الفدية DarkSide تضمنت الهجمات أدوات مشروعة، حيث استخدم 9٪ فقط برامج ضارة، وفقًا لـ تقرير بواسطة بيكوس الأمن. تم اكتشاف هجمات أخرى كانت خالية من الملفات بنسبة 100%.
وبهذه الطريقة، تتجنب الجهات الفاعلة في مجال التهديد الكشف عن طريق تجنب المؤشرات "السيئة المعروفة"، مثل أسماء العمليات أو تجزئات الملفات. قوائم السماح للتطبيقات، التي تسمح باستخدام التطبيقات الموثوقة، تفشل أيضًا في تقييد المستخدمين الضارين، خاصة للتطبيقات المنتشرة في كل مكان.
3. مجموعات برامج الفدية التي تستهدف أهدافًا منخفضة المستوى
رفيعة المستوى خط أنابيب المستعمرة أثر هجوم برامج الفدية في مايو 2021 على البنية التحتية الحيوية بشدة لدرجة أنه أدى إلى إطلاق حملة دولية و أعلى استجابة حكومية.
تتطلب مثل هذه الهجمات التي تتصدر العناوين الرئيسية التدقيق والجهود المتضافرة من قبل وكالات إنفاذ القانون والدفاع للعمل ضد مشغلي برامج الفدية، مما يؤدي إلى تعطيل العمليات الإجرامية، فضلاً عن الاعتقالات والملاحقات القضائية. يفضل معظم المجرمين إبقاء أنشطتهم تحت الرادار. ونظراً لعدد الأهداف المحتملة، يستطيع المشغلون أن يكونوا انتهازيين مع تقليل المخاطر التي تهدد عملياتهم. أصبحت الجهات الفاعلة في برامج الفدية أكثر انتقائية في استهدافها للضحايا، وذلك بفضل الرسوم البيانية التفصيلية والدقيقة التي توفرها IABs.
4. يتم إغراء المطلعين بقطعة من الفطيرة
اكتشف مشغلو برامج الفدية أيضًا أنه يمكنهم تجنيد موظفين مارقين لمساعدتهم في الوصول. قد يكون معدل التحويل منخفضًا، لكن المردود يستحق الجهد المبذول.
A المسح بواسطة معرف هيتاشي وجدت الدراسة التي تم إجراؤها في الفترة ما بين 7 ديسمبر 2021 و4 يناير 2022، أن 65% من المشاركين قالوا إن موظفيهم قد تواصلوا مع جهات التهديد للمساعدة في توفير الوصول الأولي. لدى المطلعين الذين يبتلعون الطُعم أسبابًا مختلفة لاستعدادهم لخيانة شركاتهم، على الرغم من أن عدم الرضا عن صاحب العمل هو الدافع الأكثر شيوعًا.
مهما كان السبب، فإن العروض المقدمة من مجموعات برامج الفدية يمكن أن تكون مغرية. في استطلاع شركة Hitachi ID، تم عرض أقل من 57 دولار على 500,000% من الموظفين الذين تم الاتصال بهم، و28% حصلوا على ما بين 500,000 دولار ومليون دولار، و1% حصلوا على أكثر من مليون دولار.
خطوات عملية لتحسين الحماية
تزيد الأساليب المتطورة التي تمت مناقشتها هنا من تهديد مشغلي برامج الفدية، ولكن هناك خطوات يمكن للمؤسسات اتخاذها لحماية نفسها:
- اتبع أفضل ممارسات الثقة المعدومة، مثل المصادقة متعددة العوامل (MFA) والوصول الأقل امتيازًا، للحد من تأثير بيانات الاعتماد المخترقة وزيادة فرصة اكتشاف النشاط الشاذ.
- التركيز على تخفيف التهديدات الداخلية، ممارسة يمكن أن تساعد في الحد من الأعمال الضارة ليس فقط من قبل الموظفين ولكن أيضًا من قبل الجهات الفاعلة الخارجية (الذين، في نهاية المطاف، يبدو أنهم من المطلعين بمجرد حصولهم على حق الوصول).
- إجراء مطاردة التهديد بشكل منتظم، والتي يمكن أن تساعد في اكتشاف الهجمات الخالية من الملفات والجهات الفاعلة التي تعمل على التهرب من دفاعاتك مبكرًا.
يبحث المهاجمون دائمًا عن طرق جديدة لاختراق أنظمة المؤسسات، ومن المؤكد أن الحيل الجديدة التي نشهدها تضيف إلى المزايا التي يتمتع بها مجرمو الإنترنت على المؤسسات غير المستعدة للهجمات. ومع ذلك، فإن المنظمات أبعد ما تكون عن العجز. من خلال اتخاذ الخطوات العملية والمثبتة الموضحة في هذه المقالة، يمكن للمؤسسات أن تجعل الحياة صعبة للغاية بالنسبة لـ IABs ومجموعات برامج الفدية، على الرغم من مجموعة تكتيكاتها الجديدة.
