«جروب-آي بي»: 150 شركة في الشرق الأوسط ضحية لبرامج الفدية
نشرت «جروب-آي بي»، الشركة الرائدة عالمياً في مجال الأمن السيبراني والمتخصصة في التحقيق بالجرائم الإلكترونية والوقاية منها، تقريرها الجديد اتجاهات الجرائم ذات التقنية العالية للعام 2022 / 2023، والذي يعد الإصدار الأحدث من تقرير الشركة السنوي حول التهديدات السيبرانية العالمية.
وكشف محللو وخبراء استقصاء التهديدات لدى «جروب-آي بي» في التقرير كيف أن برامج الفدية لا تزال تمثل التهديد السيبراني الأكبر للشركات والمؤسسات في جميع أنحاء العالم بين النصف الثاني من عام 2021 والنصف الأول من عام 2022، لا سيما في الشرق الأوسط وإفريقيا.
وفقًا للدراسة التي أجرتها «جروب-آي بي»، فقد ارتفع عدد الشركات التي تم تحميل معلوماتها الخاصة بها على المواقع الإلكترونية المتخصصة بتسريب البيانات بين النصف الثاني من عام 2021 والنصف الأول من عام 2022 بنسبة سنوية بلغت 22% ليبلغ عددها 2886 شركة، وهو ما يعادل تسريب بيانات 8 شركات على الإنترنت يومياً. وعلى صعيد منطقة الشرق الأوسط وإفريقيا، فقد تم تسريب معلومات 150 شركة على مواقع تسريب البيانات خلال الفترة المشمولة بالتقرير.
في منطقة دول مجلس التعاون الخليجي على وجه الخصوص 42 من الشركات نشرت بياناتها أو ملفاتها أو معلوماتها حول DLS بعد هجمات برامج الفدية. من بينها، شهدت منظمات في الإمارات العربية المتحدة (33٪) والمملكة العربية السعودية (29٪) غالبية الهجمات، تليها دول الخليج الأخرى: الكويت (21٪) وقطر (10٪) وعمان (5٪) والبحرين (2٪). من ناحية الصناعات، كانت قطاعات الطاقة والاتصالات وتكنولوجيا المعلومات والتصنيع مستهدفة بشكل متكرر.
وللسنة الثانية على التوالي، لاحظ خبراء «جروب-آي بي» التأثير المتزايد لوسطاء الوصول الأولي (IAB) على سوق برامج الفدية في منطقة الشرق الأوسط وأفريقيا وخارجها. واكتشف الباحثون لدى الشركة ما يصل إلى 2348 حالة من حالات الوصول إلى بيانات الشركات التي يتم بيعها في منتديات على شبكة الإنترنت المظلمة أو بشكل خاص من قبل وسطاء الوصول الأولي، وهو ضعف ما تم تسجيله خلال الفترة السابقة. كما ارتفع عدد الوسطاء من 262 إلى 380 وسيط، الأمر الذي أدى إلى انخفاض الأسعار وسهل من استخدام عصابات برامج الفدية والجهات الفاعلة الخبيثة لشن الهجمات.
وعلى مستوى منطقة الشرق الأوسط وأفريقيا، فقد تضاعف عدد عروض الوصول إلى الشبكة لتصل إلى 179 عرضاً خلال الفترة ما بين النصف الثاني من عام 2021 والنصف الأول من عام 2022، مما أدى إلى انخفاض في إجمالي سعر العروض بنسبة 23%.
ارتفاع وتيرة هجمات برامج الفدية
على الصعيد العالمي، تم نشر معلومات وملفات وبيانات تخص 2886 شركة على مواقع تسريب البيانات خلال الفترة ما بين النصف الثاني من عام 2021 والنصف الأول من عام 2022، بارتفاع بلغ 22% مقارنة مع 2371 شركة تأثرت خلال الفترة السابقة (النصف الثاني من 2020 حتى النصف الأول من عام 2021). وكما هو الحال مع العام السابق، بلغ عدد تسريبات البيانات المتعلقة ببرامج الفدية ذروته خلال الربع الأخير من عام 2021، حيث تمت مشاركة بيانات 881 شركة على مواقع تسريب البيانات.
وفي هذا الصدد، قال ديمتري فولكوف، الرئيس التنفيذي لدى «جروب-آي بي»: “من الهام جداً ملاحظة أن عدد الضحايا الذين تم نشر بياناتهم في أعقاب هجمات الفدية خلال الفترة ما بين النصف الثاني 2020 والنصف الأول من عام 2021 قد ارتفع بنسبة 935% مقارنة بالعام السابق. ونتيجة لذلك، يشير النمو السنوي البالغ نسبته 22% والذي تم تسجيله خلال فترة التقرير إلى أن سوق برمجيات الفدية المقدمة كخدمة قد اجتاز مرحلة النمو السريع ليصل الآن إلى مرحلة الاستقرار”.
اكتشفت «جروب-آي بي» أن الشركات التي تتخذ من أمريكا الشمالية مقراً لها (50% من الشركات التي تم تسريب بياناتها من قبل عصابات برامج الفدية) بالمقارنة مع منطقة الشرق الأوسط وإفريقيا التي كانت ثاني أقل المناطق تأثراً بتسريبات البيانات الناجمة عن هجمات برامج الفدية، حيث تم نشر بيانات 150 شركة من المنطقة على الإنترنت. ويذكر أن 5.3% فقط من التسريبات التي تمت على مواقع تسريب البيانات تحتوي على معلومات من دول من هذه المنطقة.
وكانت الدول الأكثر تضرراً هي جنوب إفريقيا بواقع 21 شركة، تلتها كل من تركيا و دولة الإمارات العربية المتحدة بواقع 14 شركة لكل منهما، والمملكة العربية السعودية بواقع 12 شركة.
وكانت أكثر عصابات برامج الفدية نشاطًا في منطقة الشرق الأوسط وإفريقيا هي عصابة Lockbit التي قامت بنشر 37% من بيانات الضحايا من المنطقة على مواقع تسريب البيانات. واحتلت عصابة Conti المرتبة الثانية في هذه القائمة وهي عصابة الفدية التي تتحدث اللغة الروسية والمسؤولة عن إطلاق حملة ARMattack المدمرة في نهاية عام 2021، والتي كانت مسؤولة عن 12% من نسبة التسريبات، واحتلت عصابة Hive المرتبة الثالثة بنسبة تسريبات بلغت 4%.
وكشف تقرير «جروب-آي بي» أنه على صعيد منطقة الشرق الأوسط وإفريقيا، نشرت جهات التهديد الفاعلة بيانات عدد من الشركات على مواقع تسريب البيانات بواقع 18 شركة متخصصة بالخدمات المالية، و12 شركة تصنيع، و7 شركات عاملة في مجال طاقة، و3 شركات عاملة في قطاع اتصالات، و3 شركات تكنولوجيا معلومات.
وتابع ديمتري فولكوف، الرئيس التنفيذي لدى مجموعة «جروب-آي بي» حديثه قائلاً: “من المتوقع أن تبقى برامج الفدية تمثل تهديداً رئيسياً للشركات والحكومات في جميع أنحاء العالم خلال عام 2023. وقد تمكنت عصابات برامج الفدية من تأسيس سوق مستقرة لمؤسساتها الإجرامية، كما أن مبالغ الفدية التي يتم طلبها من الشركات التي تتعرض للهجوم تواصل ارتفاعها بشكل سريع. لقد تحول العديد من عصابات الفدية البارزة إلى شركات إجرامية ناشئة تمتلك تسلسل هرمي قوي وتقدم حوافز ومكافآت للإنجازات والأداء المتميز. وبالرغم من التوقعات التي تشير إلى تباطؤ سوق برامج الفدية، إلا أنه من المرجح أن تشهد سوق برامج الفدية تماسكاً أكبر، وأن يتواصل الاتجاه الذي سجلته خلال الفترة ما بين النصف الثاني من عام 2021 والنصف الأول من عام 2022”.
شهية مفتوحة للوصول الأولي إلى بيانات الشركات
خلال الفترة ما بين النصف الثاني من عام 2021 والنصف الأول من عام 2022، قامت وحدة استقصاء التهديدات التابعة لمجموعة «جروب-آي بي» بتحليل الإعلانات السرية التي تصف الشبكات المخترقة، والتي قدمت 2111 حالة معلومات حول الدولة، في حين قامت 1532 حالة بتحديد القطاع الصناعي الذي تعمل به الشركات.
على مستوى منطقة الشرق الأوسط وإفريقيا، بقيت الشركات الإماراتية الأكثر استهدافاً والتي استحوذت على 26.3% من جميع عروض حالات الوصول إلى شبكات الشركات في المنطقة التي تم اكتشافها بين النصف الثاني من عام 2021 والنصف الأول من عام 2022، تلتها تركيا بواقع 19.6%، ثم باكستان بواقع 6.7%، ومصر بواقع 5.6%، وجنوب إفريقيا بواقع 5%، وإيران بواقع 4.5%، والمملكة العربية السعودية بواقع 4.5%، وكينيا بواقع 2.8% والجزائر بواقع 2.2%.
وتابع ديمتري فولكوف قائلاً: “يلعب وسطاء الوصول الأولي دور المُمول الرئيسي للاقتصاد السري بأكمله، فهم يعملون على تغذية وتسهيل عمليات المجرمين الآخرين، مثل برامج الفدية والعصابات الاجرامية التي تعمل لأهداف ولدول قومية. ومع استمرار نمو مبيعات حالات الوصول الأولي وتنويعها، تعد هجمات وسطاء الوصول الأولي من أبرز التهديدات التي يجب مراقبتها خلال العام 2023. ويجب على الشركات الخاصة والعامة في منطقة الشرق الأوسط وأفريقيا التفكير في إعداد برامج قوية لاستقصاء التهديدات لمراقبة بيانات الاعتماد المخترقة للقوى العاملة لديها”.
تماشياً مع التوجهات العالمية، انخفضت التكلفة الإجمالية لعروض الوصول الأولي إلى شبكات الشركات في منطقة الشرق الأوسط وإفريقيا المتداولة في الأسواق السرية بنسبة 23% لتصل إلى ما يقارب 281 ألف دولاراً أمريكياً. ويرجع هذا الانخفاض إلى الزيادة الكبيرة في العروض، فقد تضاعف عدد عروض الوصول إلى شبكات الشركات العاملة في منطقة الشرق الأوسط وإفريقيا بأكثر من الضعف من 88 عرضاً خلال الفترة من النصف الثاني من 2020 إلى النصف الأول من عام 2021، إلى 179 عرضاً خلال العام الماضي، وهو ما يفسر ارتفاع الهجمات باستخدام برامج الفدية في المنطقة. وشددت «جروب-آي بي» على أنه لا يتعين على الشركات أن تفكر في اعتماد الأنظمة العالمية للحماية، بل يجب عليها أن تعرف من يقف وراء الهجوم، وأن تستخدم التقنيات القائمة على التحقيقات السيبرانية والبحوث وعمليات الاستجابة للحوادث في المنطقة التي تعمل فيها.
ارتفاع شعبية سجلات البيانات المسروقة
من أبرز التغييرات التي طرأت على مشهد التهديدات العالمية هو الشعبية المتزايدة للسجلات التي تم الحصول عليها باستخدام سرقة المعلومات، وهي برامج ضارة تجمع التفاصيل الشخصية من البيانات الوصفية لمتصفح الإنترنت الخاصة بالمستخدم. ويمكن لهؤلاء المخترقين الحصول على بيانات الاعتماد والبطاقات المصرفية وملفات تعريف الارتباط وبصمات المتصفح وما إلى ذلك.
ومن بين السجلات البالغ عددها 96 مليون سجل، اكتشف خبراء «جروب-آي بي» أكثر من 400 ألف سجل للدخول الأحادي، ويعد سجل الدخول الأحادي من آليات المصادقة المؤسسية المعروفة والتي تستخدم زوجًا واحدًا فقط من بيانات الاعتماد للوصول إلى خدمات وتطبيقات متعددة، مما يجعلها من الآليات الهامة التي يحرص مجرمو الإنترنت على استهدافها لأنها تسمح لهم بالدخول إلى عدة أنظمة في وقت واحد وبجهد ضئيل.
واختتم ديمتري فولكوف، الرئيس التنفيذي لدى «جروب-آي بي» حديثه قائلاً: “إنه لأمر مقلق بشكل كبير أن نرى ما يستطيع مجرم إلكتروني يمتلك 20 دولارًا ومهارات تقنية متواضعة القيام به هذه الأيام. فمع انتشار نماذج العمل عن بُعد وخدمات الدخول الموحّد (SSO)، فقد بتنا نرى في كثير من الأحيان حالات الوصول إلى شبكات الشركات ضمن سجلات البيانات المسروقة. إن الاستفادة من بيانات موظف واحد لشن الهجمات على الشركات ستصبح واحدة من مصادر القلق الكبيرة، ولا يوجد حل سحري للتصدي لمثل هذه الهجمات، الأمر الذي يسلط الضوء على حاجة الشركات إلى تطوير قدرات الأمن السيبراني على جميع المستويات لديها، بما في ذلك تدريب الموظفين على الاستجابة والتعامل مع الهندسة الاجتماعية، وتعزيز قدرات الكشف والاستجابة، بالإضافة إلى مراقبة المجرمين الإلكترونيين تحت الأرض بحثًا عن سجلات الموظفين المخترقة والعروض المتعلقة ببيع بيانات الوصول إلى شبكاتهم”.