يمكن لفرق أمان المؤسسات إضافة ثلاثة أنواع أخرى من برامج الفدية إلى القائمة المتزايدة باستمرار من تهديدات برامج الفدية التي يحتاجون إلى مراقبتها.
المتغيرات الثلاثة - Vohuk و ScareCrow و AESRT - مثل معظم أدوات الفدية ، تستهدف أنظمة Windows ويبدو أنها تتكاثر بسرعة نسبيًا على الأنظمة الخاصة بمستخدمين في بلدان متعددة. وصف باحثو الأمن في FortiGuard Labs في Fortinet الذين يتتبعون التهديدات هذا الأسبوع عينات برامج الفدية بأنها تكتسب قوة دفع داخل قاعدة بيانات برامج الفدية الخاصة بالشركة.
تحليل Fortinet من بين التهديدات الثلاثة ، أظهرت أنها أدوات فدية قياسية من النوع الذي مع ذلك كان فعالًا للغاية في تشفير البيانات على الأنظمة المخترقة. لم يحدد تنبيه Fortinet كيف يقوم مشغلو عينات برامج الفدية الجديدة بتوزيع البرامج الضارة الخاصة بهم ، لكنه أشار إلى أن البريد الإلكتروني للتصيد الاحتيالي كان عادةً أكثر المتجهات شيوعًا لعدوى برامج الفدية.
عدد متزايد من المتغيرات
يقول فريد جوتيريز ، كبير مهندسي الأمن في FortiGuard Labs في FortiGuard Labs: "إذا كان نمو فيروسات الفدية في عام 2022 يشير إلى ما يخبئه المستقبل ، فيجب أن تتوقع فرق الأمن في كل مكان رؤية ناقل الهجوم هذا يصبح أكثر شيوعًا في عام 2023".
في النصف الأول من عام 2022 فقط ، زاد عدد متغيرات برامج الفدية الجديدة التي حددتها FortiGuard Labs بنسبة 100٪ تقريبًا مقارنة بفترة الستة أشهر السابقة ، كما يقول. وثق فريق FortiGuard Labs 10,666 متغيرًا جديدًا من برامج الفدية في النصف الأول من عام 2022 مقارنة بـ 5,400 فقط في النصف الثاني من عام 2021.
يقول: "هذا النمو في متغيرات برامج الفدية الجديدة يرجع أساسًا إلى استفادة المزيد من المهاجمين من برامج الفدية كخدمة (RaaS) على الويب المظلم".
ويضيف: "بالإضافة إلى ذلك ، ربما يكون الجانب الأكثر إثارة للقلق هو أننا نشهد زيادة في هجمات برامج الفدية الضارة على نطاق واسع وعبر جميع أنواع القطاعات تقريبًا ، والتي نتوقع أن تستمر حتى عام 2023."
سلالات برامج الفدية القياسية ولكنها فعالة
يبدو أن متغير Vohuk ransomware الذي حلله باحثو Fortinet في نسخته الثالثة ، مما يشير إلى أن مؤلفيه يطورونه بنشاط.
قال Fortinet إن البرنامج الضار يسقط مذكرة فدية ، "README.txt" على الأنظمة المخترقة التي تطلب من الضحايا الاتصال بالمهاجم عبر البريد الإلكتروني بمعرف فريد. تُعلم المذكرة الضحية أن المهاجم ليس له دوافع سياسية ولكنه مهتم فقط بالمكاسب المالية - على الأرجح لطمأنة الضحايا بأنهم سيستردون بياناتهم إذا دفعوا الفدية المطلوبة.
وفي الوقت نفسه ، قال Fortinet "ScareCrow هو برنامج فدية نموذجي آخر يقوم بتشفير الملفات على أجهزة الضحايا". "مذكرة الفدية الخاصة بها ، والتي تحمل أيضًا عنوان" readme.txt "، تحتوي على ثلاث قنوات على Telegram يمكن للضحايا استخدامها للتحدث مع المهاجم".
على الرغم من أن مذكرة الفدية لا تحتوي على أي مطالب مالية محددة ، إلا أنه من الآمن افتراض أن الضحايا سيحتاجون إلى دفع فدية لاستعادة الملفات التي تم تشفيرها ، على حد قول Fortinet.
أظهر بحث بائع الأمن أيضًا بعض التداخل بين ScareCrow وسيئ السمعة متغير Conti ransomware، أحد أكثر أدوات برامج الفدية انتشارًا على الإطلاق. كلاهما ، على سبيل المثال ، يستخدم نفس الخوارزمية لتشفير الملفات ، ومثل Conti ، يحذف ScareCrow النسخ الاحتياطية باستخدام أداة سطر أوامر WMI (wmic) لجعل البيانات غير قابلة للاسترداد على الأنظمة المصابة.
تشير التقديمات إلى VirusTotal إلى أن ScareCrow قد أصاب أنظمة في الولايات المتحدة وألمانيا وإيطاليا والهند والفلبين وروسيا.
وأخيرًا ، AESRT ، عائلة برامج الفدية الثالثة الجديدة التي اكتشفها Fortinet مؤخرًا في البرية ، لديها وظائف مشابهة للتهديدين الآخرين. يتمثل الاختلاف الرئيسي في أنه بدلاً من ترك رسالة فدية ، يقدم البرنامج الضار نافذة منبثقة بها عنوان البريد الإلكتروني للمهاجم ، وحقل يعرض مفتاحًا لفك تشفير الملفات المشفرة بمجرد دفع الضحية للفدية المطلوبة.
هل سيؤدي انهيار التشفير إلى إبطاء تهديد برامج الفدية؟
تضيف المتغيرات الجديدة إلى القائمة الطويلة - والمتنامية باستمرار - من تهديدات برامج الفدية التي يتعين على المؤسسات الآن التعامل معها على أساس يومي ، حيث يواصل مشغلو برامج الفدية العمل بلا هوادة على مؤسسات المؤسسات.
أظهرت البيانات المتعلقة بهجمات برامج الفدية التي حللتها شركة LookingGlass في وقت سابق من هذا العام وجود بعضها 1,133 هجومًا مؤكدًا من هجمات الفدية في النصف الأول من عام 2022 وحده - أكثر من النصف (52٪) أثر على الشركات الأمريكية. وجدت شركة LookingGlass أن أكثر مجموعات برامج الفدية نشاطًا كانت وراء متغير LockBit ، تليها مجموعات وراء Conti و Black Basta و Alphy ransomware.
ومع ذلك ، فإن معدل النشاط ليس ثابتًا. أفاد بعض بائعي خدمات الأمان بملاحظة تباطؤ طفيف في نشاط برامج الفدية خلال أجزاء معينة من العام.
في تقرير منتصف العام ، قالت شركة SecureWorks ، على سبيل المثال ، إن مشاركاتها في الاستجابة للحوادث في مايو ويونيو تشير إلى أن معدل حدوث هجمات رانسوم وير جديدة ناجحة قد تباطأ قليلاً.
حددت SecureWorks الاتجاه على أنه من المحتمل أن يفعل ، على الأقل جزئيًا ، مع تعطيل عملية Conti RaaS هذا العام وعوامل أخرى مثل التأثير التخريبي للحرب في أوكرانيا على عصابات برامج الفدية.
تقرير آخر من مركز موارد سرقة الهوية (ITRC) ، أبلغت عن انخفاض بنسبة 20٪ في هجمات برامج الفدية التي نتج عنها خرق خلال الربع الثاني من عام 2022 مقارنة بالربع الأول من العام. حددت ITRC ، مثل SecureWorks ، التراجع على أنه يتعلق بالحرب في أوكرانيا ، وبشكل ملحوظ ، بانهيار العملات المشفرة التي يفضلها مشغلو برامج الفدية للمدفوعات.
يقول بريان وير ، الرئيس التنفيذي لشركة LookingGlass ، إنه يعتقد أن انهيار التشفير يمكن أن يعيق مشغلي برامج الفدية في عام 2023.
يقول: "أدت فضيحة FTX الأخيرة إلى تخزين العملات المشفرة ، وهذا يؤثر على تسييل برامج الفدية بشكل أساسي ويجعلها غير قابلة للتنبؤ". "هذا لا يبشر بالخير لمشغلي برامج الفدية لأنهم سيضطرون إلى التفكير في أشكال أخرى من تسييل الأموال على المدى الطويل."
يقول وير الاتجاهات حول العملات المشفرة لدى بعض مجموعات برامج الفدية التي تفكر في استخدام العملات المشفرة الخاصة بها: "نحن غير متأكدين من أن هذا سيتحقق ، ولكن بشكل عام ، تشعر مجموعات برامج الفدية بالقلق بشأن كيفية تحقيق الدخل والحفاظ على مستوى معين من إخفاء الهوية في المستقبل."
