عصابات فيروسات الفدية تطوّر هجماتها بـ 6 تكتيكات جديدة

كشف خبراء في أمن المعلومات عن حدوث تطور جديد في أساليب وتكتيكات عصابات الجريمة الإلكترونية، المتخصصة في شن هجمات فيروسات الفدية، التي تقوم بتشفير ملفات الضحايا، وتطلب أموالاً مقابل فك تشفيرها. وتضمن التطور الجديد مراقبة سلوك ضحايا الهجوم بعد تنفيذ الهجمة، لمعرفة ما إذا كانوا سيقومون بأي من الإجراءات لتفادي دفع الفدية، وفي هذا الحالة تتبع العصابات تكتيكاتها الجديدة، أبرزها الضغط النفسي عبر الاتصال المباشر بالجهة الضحية وتهديدها بمعاودة الهجمة، أو تسريب بياناتها لمواقع الإنترنت المظلمة وعرضها للبيع، أو حذفها تماماً من الشبكة.

جاءت التحذيرات الجديدة من قبل خبراء في أمن المعلومات يعملون بالعديد من الشركات، منها «آريت أنسيدنس» المتخصصة في الاستجابة السريعة للهجمات الأمنية، و«إمسي سوفت» لنظم أمن المعلومات. ونشرت تفاصيل تلك التحذيرات على موقع «بانك أنفو سيكيورتي bankinfosecurity.com» المتخصص في أمن المعلومات.

التكتيكات الجديدة

ووفقاً لما أورده الموقع، فإن الكشف عن التكتيكات الجديدة، جاء بعد تحليل لحوادث وهجمات الفدية خلال الفترة من يوليو إلى نوفمبر 2020.

وحدد خبراء أمن المعلومات تكتيكات تلك العصابات في ستة تهديدات تشمل:

الضغط النفسي

يتصل المجرمون بالضحايا مباشرة، من مراكز اتصال مميكنة، ينشئونها لأنفسهم، أو عبر أسلوب «الاستعانة بموارد خارجية» من مراكز اتصال قائمة، لتنفيذ مكالمات، تحمل الكثير من التهديد والوعيد، بهجمات أخرى، حال اتخاذ أي إجراء يدل على نيتها عدم الدفع أو حتى تأخيره، وذلك بهدف الضغط النفسي.

وفي هذا السياق، رصد خبراء أمن المعلومات وصول مكالمات صوتية، يبدو أنها مقروءة آلياً من نص مكتوب، وذلك على غرار نص الرسالة التي قدمها الخبراء كمثال مع إزالة أسماء الضحايا.

وجاء نص الرسالة كالتالي: «نحن على علم بوجود شركة تكنولوجيا معلومات تابعة لجهة خارجية تعمل على شبكتك، نواصل المراقبة، ونعلم أنك تثبت برنامج الحماية من الفيروسات على جميع أجهزة الحاسبات لديك، لكن يجب أن تعلم أنه لن يساعدك.. إذا كنت تريد التوقف عن إضاعة وقتك واستعادة بياناتك هذا الأسبوع، نوصيك بمناقشة هذا الموقف معنا في الدردشة، وإلا فلن تنتهي مشكلات شبكتك أبداً».

تسريب وبيع البيانات

طوّرت عصابات الفدية من أساليبها، لتشمل نسخ البيانات وتسريبها وعرضها للبيع على مواقع الـ«ويب» المظلمة، وهو أسلوب كانت عصابة «ميز» رائدة في ممارسته، ثم تحول إلى أسلوب شائع، بعدما طبقته عصابة «زين»، حيث سربت أسماء الضحايا، وعينات من البيانات، وهددت بعرضها في مزاد علني لمن يدفع سعراً أعلى، إذا لم يدفع الضحايا.

حذف البيانات

يعد هذا هو التكتيك الثالث، في قائمة التطورات الأخيرة، حيث أضافت العصابات أدوات جديدة، متخصصة في حذف البيانات، جنباً إلى جنب مع أدوات تشفير البيانات، لتعمل أدوات الحذف تلقائياً بعد موعد محدد من انتهاء عمل أدوات التشفير، أو تعمل عند تلقيها الأوامر من العصابة، وذلك إذا لم تقم الضحية بالدفع.

فيروسات التشفير كخدمة

لم تعد العصابات تقتصر على القيام بالهجمات بنفسها، بل عرضت فيروسات التشفير والفدية، كخدمة مدفوعة لمن يطلبها من العصابات والهواة الآخرين على حد سواء، وتشمل العروض الدفع مقدماً، أو عبر المشاركة في الأرباح الناجمة عن الهجمة، وبحسب الخبراء فإنه هذا التكتيك يعمل على تعظيم العوائد لكلا الطرفين.

فرق التوظيف

لوحظ أن عصابات فيروسات الخدمة بدأت تلجأ إلى بناء فرق متخصصة في التوظيف، واستقطاب المجرمين والمهاجمين الأكفاء، وتلجأ في ذلك إلى الدفع لهؤلاء جزئياً في البداية، ثم تغريهم بالمشاركة في الأرباح المتحققة من وراء الهجمات بعد ذلك. وتتمثل مهام فرق التوظيف في تجنيد متخصصين في اختراق الشبكات، وتشفير البيانات، والتفاوض مع الضحايا، والعمل مع البيانات المستندة إلى السحابة.

الوصول عن بعد

وفي هذا التكتيك، تقوم العصابات بعرض كل بيانات الشبكات التي نجحت في اختراقها، وأماكن الضعف بها، على عصابات متخصصة في تنفيذ هجمات من نوع آخر، كهجمات التنصت الصامت، وهجمات اليوم صفر، وهجمات تسريب البيانات، والتحكم من البعد، وتقدم هذه العروض تحت شعار «الوصول من السهل عن بعد»، باعتبار أنها تعرض شبكات مخترقة فعلياً، وبها نقاط ضعف وثغرات أمنية واضحة وجاهزة لتنفيذ هجمات ناجحة بلا دفاعات.

زيادة «الفدية»

أفاد خبراء شركة «كوف وير» المتخصصة في الاستجابة لحوادث فيروسات الفدية، بأن عدد هجمات برامج الفدية ومقدار مدفوعات الفدية مستمر في الارتفاع، حيث كشفت تحليل لآلاف عدة من الحالات التي ساعدت الشركة في التحقيق فيها أن متوسط قيمة الفدية خلال الربع الثالث من العام الجاري بلغ 233 ألف دولار، بزيادة 31% عن الربع الثاني.