شهد العامان الماضيان تحوّلًا في أسلوب الهجمات التي تُشنّ على نطاق واسع بهدف طلب الفدية من الضحايا؛ فبعد أن كان مجرمون الإنترنت يستهدفون ببرمجياتهم الخبيثة تشفير البيانات على جهاز الضحية والاحتفاظ بها طلبًا للفدية المالية، أضحت هجماتهم أكثر توجيهًا ودقة باستهداف منشآت وقطاعات محددة، حيث لا يكتفون بتشفير البيانات وإنما ينشرون على الإنترنت معلومات سرية تمتلكها تلك المنشآت. وقد لاحظ باحثو كاسبرسكي هذا التوجه في تحليل لعائلتين بارزتين من عائلات برمجيات الفدية؛ هما Ragnar Locker وEgregor.
وتعتبر هجمات برامج الفدية أحد أخطر أنواع التهديدات التي تواجه المنشآت، إذ تعطّل العمليات التجارية المهمة، وقد تؤدي إلى وقوع خسائر مالية هائلة، في حين أنها أحدثت في وقائع معينة حالات إفلاس للمنشآت بسبب الغرامات والدعاوى القضائية الناتجة عن انتهاك القوانين واللوائح التنظيمية الخاصة بالتعامل مع البيانات. ويُقدر أن هجمات WannaCry، على سبيل المثال، تسبّبت في حدوث خسائر مالية تزيد عن 4 مليارات دولار.
وتعمل حملات برمجيات الفدية الأحدث، مع ذلك، على تعديل طريقة عملها؛ إذ تهدّد الجهات المستهدفة بنشر بياناتها بعد سرقتها. وتُعدّ عائلتا Ragnar Locker وEgregor من أبرز عائلات برمجيات الفدية التي تمارس أسلوب الابتزاز الجديد هذا. وكانت عائلة Ragnar Locker اكتشفت أول مرة في العام 2019، لكنها اكتسبت شهرتها في النصف الأول من 2020 عندما رُصدت وهي تهاجم منشآت كبيرة، في حين اتسمت هجماتها بالتركيز وكانت كل عينة عُثر عليها مصممة خصيصًا لتناسب الجهة المستهدفة، التي إذا رفضت سداد الفدية المالية تُنشر بياناتها السرية في قسم يُدعى "جدار العار" في موقع التسريبات الخاص بها. كذلك ينشر المجرمون الحوار الذي يدور بينهم وبين الضحية إذا تحدثوا معها ورفضت السداد.
وينصبّ تركيز هجمات Ragnar Locker على أهداف في الولايات المتحدة تعمل في مختلف القطاعات، وفي يوليو الماضي، صرّحت بأنها انضمّت إلى تحالف خاص بطلب الفدية يُدعى Maze، ما يعني تبادل المعلومات المسروقة والتعاون الإجرامي، خاصة أن Maze أصبحت واحدة من أكثر عائلات برمجيات الفدية شُهرة في العام 2020. أما Egregor، فهي عائلة أحدث بكثير اكتشفت في سبتمبر الماضي، لكنها تتشارك مع Ragnar Locker في العديد من التكتيكات، ومع Maze في الشيفرة البرمجية.
ويجري إيصال البرمجية الخبيثة إلى الجهاز الضحية عن طريق اختراق الشبكة، لتُمنح الضحية 72 ساعة لسداد الفدية قبل نشر المعلومات المسروقة على الملأ. وإذا رفض الضحية السداد، ينشر المجرمون اسمه ورابطًا لتنزيل البيانات السرية للمنشأة على موقع التسريبات الخاص بهم. وتُعدّ هجمات Egregor أوسع وأشمل من الهجمات التي تشنها Ragnar Locker، وقد شوهدت الأولى تستهدف ضحايا في أمريكا الشمالية وأوروبا وأجزاء من منطقة آسيا المحيط الهادي.
واعتبر ديمتري بيستوزيف رئيس فريق البحث والتحليل العالمي التابع لكاسبرسكي في أمريكا اللاتينية، المستجدات الحاصلة في هجمات طلب الفدية "الفصل الثاني من هذا النوع من الهجمات"، مطلقًا عليها الاسم "طلب الفدية 2.0"، موضحًا: "أصبحت الهجمات أكثر توجيهًا ولم يعُد التركيز منصبًا على التشفير، وإنما تعتمد عملية الابتزاز على نشر البيانات السرية على الإنترنت، وهو أمر تأثيره لا ينحصر في تعريض سمعة المنشآت للخطر، بل يمتدّ لتعريضها لدعاوى قضائية إذا كانت البيانات المنشورة تنتهك لوائح مثل "قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة" (HIPAA) و"النظام الأوروبي العام لحماية البيانات" (GDPR)، ما يضعُ الكثير من الأمور الحساسة على المحكّ".
ورأى فيدور سينيتسين الخبير الأمني لدى كاسبرسكي، من جانبه، أن المنشآت بحاجة إلى أخذ التهديدات التي تنطوي عليها برمجيات الفدية على محمل الجدّ، مشيرًا إلى أن هذه البرمجيات غالبًا ما تمثل المرحلة الأخيرة من اختراق الشبكة. وقال: "بحلول وقت تفعيل برمجيات الفدية، يكون المهاجم قد انتهى من استطلاع الشبكة وحدّد البيانات السرية وتسلل إليها، ما يجعل المنشآت مُطالبة بتنفيذ مجموعة كاملة من أفضل التدابير والممارسات المتبعة في الأمن الرقمي، فتحديد الهجوم في مرحلة مبكرة قبل أن يصل المهاجمون إلى هدفهم النهائي، يمكن أن يوفر الكثير من المال". يمكن الاطلاع على تقرير كاسبرسكي بشأن "طلب الفدية 2.0" في مدونة Securelist.
ويوصي خبراء كاسبرسكي باتباع التدابير التالية لحماية المؤسسات من أنواع هجمات برمجيات الفدية:
1. تجنب تعريض خدمات الوصول عن بُعد إلى سطح المكتب (مثل RDP) لشبكات الإنترنت العامة، ما لم يكن ذلك ضروريًا للغاية، مع الحرص على استخدام كلمات مرور قوية دائمًا.
2. الحرص دائمًا على تحديث التطبيقات على جميع الأجهزة، واستخدام أدوات يمكنها الكشف تلقائيًا عن الثغرات وتنزيل التصحيحات المناسبة لها وتثبيتها، لمنع برمجيات الفدية من استغلال الثغرات الأمنية.
3. المسارعة إلى تثبيت التصحيحات المتاحة لحلول VPN التجارية التي تتيح للموظفين الوصول عن بُعد إلى منصات العمل بوصفها بوابات إلى الشبكة المؤسسية.
4. التعامل بحذر مع مرفقات البريد الإلكتروني والرسائل الواردة من مجهولين، والامتناع عن فتحها في حالة الشك.
5. استخدام حلول مثل Kaspersky Endpoint Detection and Response وKaspersky Managed Detection and Response لتحديد الهجوم وإيقافه في مرحلة مبكرة، قبل وصول المهاجمين إلى هدفهم.
6. الحرص على توعية الموظفين بهدف حماية بيئة المنشأة؛ وتتاح لهذا الغرض دورات تدريبية تخصصية على منصة Kaspersky Automated Security Awareness Platform. ويمكن الحصول على حصة مجانية حول كيفية الحماية من هجمات برمجيات الفدية.
7. استخدام حلّ أمني موثوق به لحماية الأجهزة الشخصية، مثل Kaspersky Total Security ، الذي يحمي من البرمجيات الخبيثة التي تشفّر الملفات ويعكس التغييرات التي تجريها التطبيقات الخبيثة.
8. تعزيز حماية المنشآت باستخدام أداة مكافحة برمجيات الفدية المجانية من كاسبرسكي Anti-Ransomware Tool for Business. وتحتوي الإصدارة المحدثة أخيرًا من هذا الحلّ على ميزة منع الاستغلال لمنع برمجيات الفدية والتهديدات الأخرى من استغلال الثغرات الأمنية في التطبيقات البرمجية، ما يفيد العملاء الذين يستخدمون النظام Windows 7، خاصة وأن مايكروسوفت سوف تتوقف عن تصحيح الثغرات الأمنية المكتشفة في هذا النظام مع انتهاء دعمه.
9. استخدام حل أمني للنقاط الطرفية، مثل Kaspersky Endpoint Security for Business، المجهز بقدرات منع الاستغلال واكتشاف السلوك غير المألوف، وبمحرّك إصلاح قادر على عكس تأثير الإجراءات التخريبية لضمان الحماية الفائقة.