تضاعُف هجمات الفدية وظهور أساليب وعصابات جديدة في عام 2022
تضاعفت تقريباً نسبة المستخدمين الذين تعرضوا لهجمات موجّهة شُنّت ببرمجيات الفدية خلال الأشهر العشرة الأولى من العام 2022، وذلك مقارنة بالفترة نفسها من العام 2021. ويشير هذا النمو الهائل إلى أن عصابات برمجيات الفدية، سواء العصابات سيئة السمعة أم تلك التي دخلت المشهد للتو، استمرت في إتقان العمل بأساليبها.
وكشف أحدث تقرير صادر عن كاسبرسكي حول برمجيات الجريمة الرقمية في العام 2022، في أعقاب التطورات الحاصلة في عالم برمجيات الفدية، عن قدرات جديدة أظهرتها عصابة LockBit سيئة السمعة، والعصابة القادمة حديثاً Play التي تستخدم أساليب “الانتشار الذاتي”.
ووفقاً لحلول كاسبرسكي الأمنية، شكلت نسبة المستخدمين المتأثرين بهجمات برمجيات الفدية الموجهة 0.026% من جميع المستخدمين الذين تعرضوا لهجمات بالبرمجيات الخبيثة في العام 2022، وذلك مقارنة بما نسبته 0.016% في 2021. وتُظهر هذه الأرقام عزم مجرمي الإنترنت على مواصلة التحول من الهجمات الانتهازية إلى الهجمات ببرمجيات الفدية المصممة بدقة لتحقيق أهدافهم.
وتُظهر التحقيقات التي أجرتها كاسبرسكي أن عصابات برمجيات الفدية تواصل تحسين أساليبها. وما زالت برمجيات Lockbit إحدى أكثر برمجيات الفدية انتشاراً وابتكاراً وأسرعها تطوراً. وما زال بإمكان العصابة القائمة وراءها الإيقاع بمختصّي الأمن الرقمي عبر إضافة خيارات جديدة، وممارسة طريقة الإغراق ببيانات اعتماد الدخول إلى الحسابات. ويعني هذا الأسلوب أن بإمكان العصابة الاستيلاء على نطاق الجهاز المصاب وإعادة تعيين بيانات اعتماد الدخول إلى نظام التشغيل.
ومع ذلك، تستمر الإصدارات الجديدة من برمجيات الفدية في الظهور، إذ اكتشفت كاسبرسكي خلال العام 2022 أكثر من 21,400 سلالة من برمجيات الفدية.
ويتمثل أحدث اكتشافات كاسبرسكي في برمجية الفدية الجديدة المسمى “Play” شديدة التعتيم إلى درجة يصعب معها تحليلها. ولا تشبه شيفرتها البرمجية برمجيات الفدية الأخرى، ولكنها لا تزال، لحسن الحظّ، في المراحل الأولى من التطوير. ولم ينجح الكشف عن موقع تسريب هذه البرمجية عند إجراء التحقيق فيها، فيما كان الضحايا مطالبين بالاتصال بالمجرمين عبر عنوان بريد إلكتروني ترك في مذكرة الفدية. وجذب انتباه الباحثين اشتمال Play على وظيفة النشر الذاتي، وهي وظيفة عُثر عليها حديثاً في إصدارات أخرى من برمجيات الفدية المتقدمة. وتقوم هذه الوظيفة على إيجاد بروتوكول “كتلة رسائل الخادم” (SMB) للمهاجمين، ثم يقومون بإنشاء اتصال، ومن بعدها يحاول Play نشر SMB المذكور وتوزيع برمجية الفدية وتنفيذها في النظام البعيد من خلاله.
وقال يرونت فان در فيل الخبير الأمني لدى كاسبرسكي، إن مطوري برمجيات الفدية يراقبون عمل منافسيهم عن كثب، حتى إذا نجح أحدهم في تنفيذ وظيفة معينة، فإن الآخرون يُقبلون على تنفيذها. وأضاف: “يجعل هذا الأمر برمجيات الفدية أكثر إثارة للاهتمام لدى مجموعات الشركاء، ولذا أصبح “الانتشار الذاتي” لهذه البرمجيات مثالاً واضحاً على ذلك. وقد باتت المزيد من عصابات الفدية تتبع أساليب مبتكرة تجعل هجماتها أكثر دقة وتدميراً، وهو ما أثبتت صحته إحصاءات العام الجاري. لذلك سوف نظلّ نذكّر الجميع بأهمية إجراء نُسخ احتياطية للبيانات والملفات بانتظام وتخزينها في وضع عدم الاتصال”.
يمكن التعرف على المزيد حول أحدث تقرير من كاسبرسكي عن برمجيات الجريمة الرقمية على Securelist.
وتوصي كاسبرسكي المؤسسات باتباع التدابير التالية للحماية من هجمات برمجيات الفدية:
• عدم تشغيل خدمات سطح المكتب البعيد (مثل RDP) عبر شبكات الإنترنت العامة ما لم يكن ذلك ضرورياً جداً، مع الحرص على استخدم كلمات مرور قوية لها.
• المسارعة إلى تثبيت التصحيحات البرمجية لحلول VPN التجارية، حال إتاحتها. وتتيح هذه الحلول للموظفين إمكانية الوصول عن بُعد إلى أنظمة العمل، نظراً لأنها تعمل كبوابات إلى الشبكات المؤسسية.
• تركيز الاستراتيجية الدفاعية المؤسسية على الكشف عن الحركات الجانبية ومحاولات سحب البيانات من الشبكة إلى الإنترنت، مع الانتباه إلى حركة المرور الصادرة التي قد تكشُف عن اتصالات مجرمي الإنترنت.
• إجراء نُسخ احتياطية للبيانات بشكل منتظم، والحرص على سهولة الوصول إليها بسرعة في حالات الطوارئ.
• استخدام حلول مثل Kaspersky Endpoint Detection and Response Expert وKaspersky Managed Detection and Response، للمساعدة في تحديد الهجمات وإيقافها في مراحلها المُبكرة، قبل أن يصل المهاجمون إلى أهدافهم.
• استخدام أحدث معلومات التهديدات للبقاء على الطلاع على التكتيكات والأساليب والإجراءات التي تتبعها وتستخدمها الجهات التخريبية. وتٌقدّم بوابة Kaspersky Threat Intelligence Portal مدخلاً موحداً إلى منصة معلومات التهديدات المتكاملة من كاسبرسكي، والتي تتيح بيانات الهجمات الرقمية والرؤى والمعلومات التفصيلية التي جمعها فريق الشركة على مدار 25 عاماً. وتتيح كاسبرسكي المجال أمام المؤسسات للوصول إلى معلومات مستقلة ومحدّثة باستمرار، من مصادر عالمية حول الهجمات الرقمية والتهديدات المستمرة، وذلك لمساعدة المؤسسات، مجاناً.