تتطور فيروسات برامج الفدية، مثل الأنواع الأخرى من البرامج الضارة، وتتغير على مر السنين - بدءًا من الخزائن البسيطة التي تمنع المستخدم من تسجيل الدخول إلى النظام، وبرامج الفدية "البوليسية" التي تهدد بالملاحقة القضائية بسبب الانتهاكات الوهمية للقانون، وصولاً إلى برامج التشفير. تقوم هذه البرامج الضارة بتشفير الملفات الموجودة على محركات الأقراص الثابتة (أو محركات الأقراص بأكملها) وتطلب فدية ليس مقابل إعادة الوصول إلى النظام، ولكن مقابل عدم حذف معلومات المستخدم أو بيعها على الإنترنت المظلم أو عرضها للعامة عبر الإنترنت. . علاوة على ذلك، فإن دفع الفدية لا يضمن على الإطلاق استلام المفتاح لفك تشفير الملفات. لا، لقد حدث هذا بالفعل منذ مائة عام، لكنه لا يزال يمثل تهديدًا حاليًا.
ونظرًا لنجاح المتسللين وربحية هذا النوع من الهجمات، يعتقد الخبراء أن تواترهم وبراعتهم سيزدادان في المستقبل. بواسطة Cybersecurity Ventures، في عام 2016، هاجمت فيروسات برامج الفدية الشركات مرة واحدة كل 40 ثانية تقريبًا، وفي عام 2019 يحدث هذا مرة واحدة كل 14 ثانية، وفي عام 2021 سيرتفع التكرار إلى هجوم واحد كل 11 ثانية. ومن الجدير بالذكر أن الفدية المطلوبة (خاصة في الهجمات المستهدفة على الشركات الكبيرة أو البنية التحتية الحضرية) عادة ما تكون أقل بعدة مرات من الأضرار الناجمة عن الهجوم. وهكذا، فإن الهجوم الذي استهدف المباني الحكومية في مدينة بالتيمور بولاية ميريلاند في شهر مايو/أيار الماضي، قد تسبب في أضرار بلغت أكثر من حيث بلغت قيمة الفدية التي أعلنها المتسللون 76 ألف دولار بما يعادل عملة البيتكوين. أ ، جورجيا، كلفت المدينة 2018 مليون دولار في أغسطس 17، مع فدية مطلوبة قدرها 52 ألف دولار.
قام متخصصو تريند مايكرو بتحليل الهجمات باستخدام فيروسات برامج الفدية في الأشهر الأولى من عام 2019، وفي هذا المقال سنتحدث عن الاتجاهات الرئيسية التي تنتظر العالم في النصف الثاني.
فيروس الفدية: ملف مختصر
معنى فيروس الفدية واضح من اسمه: التهديد بتدمير (أو على العكس من ذلك، نشر) معلومات سرية أو قيمة للمستخدم، ويستخدمه المتسللون للمطالبة بفدية مقابل إعادة الوصول إليه. بالنسبة للمستخدمين العاديين، يعد مثل هذا الهجوم مزعجًا، ولكنه ليس بالغ الأهمية: فالتهديد بفقدان مجموعة موسيقية أو صور من الإجازات على مدار السنوات العشر الماضية لا يضمن دفع فدية.
يبدو الوضع مختلفًا تمامًا بالنسبة للمنظمات. كل دقيقة من توقف العمل تكلف المال، لذا فإن فقدان الوصول إلى النظام أو التطبيقات أو البيانات لشركة حديثة يساوي الخسائر. ولهذا السبب تحول تركيز هجمات برامج الفدية في السنوات الأخيرة تدريجياً من قصف الفيروسات إلى تقليل النشاط والانتقال إلى الغارات المستهدفة على المنظمات في مجالات النشاط التي تكون فيها فرصة الحصول على فدية وحجمها أكبر. وفي المقابل، تسعى المؤسسات إلى حماية نفسها من التهديدات بطريقتين رئيسيتين: من خلال تطوير طرق لاستعادة البنية التحتية وقواعد البيانات بشكل فعال بعد الهجمات، ومن خلال اعتماد أنظمة دفاع سيبراني أكثر حداثة تكتشف البرامج الضارة وتدمرها على الفور.
للبقاء على اطلاع دائم وتطوير حلول وتقنيات جديدة لمكافحة البرامج الضارة، تقوم Trend Micro باستمرار بتحليل النتائج التي تم الحصول عليها من أنظمة الأمن السيبراني الخاصة بها. وفقا لترند مايكرو يبدو الوضع مع هجمات برامج الفدية في السنوات الأخيرة كما يلي:
اختيار الضحية في عام 2019
من الواضح أن مجرمي الإنترنت أصبحوا هذا العام أكثر انتقائية في اختيارهم للضحايا: فهم يستهدفون المنظمات الأقل حماية والمستعدة لدفع مبلغ كبير لاستعادة العمليات الطبيعية بسرعة. ولهذا السبب، منذ بداية العام، تم بالفعل تسجيل العديد من الهجمات على الهياكل الحكومية وإدارة المدن الكبرى، بما في ذلك ليك سيتي (فدية - 530 ألف دولار أمريكي) وشاطئ ريفييرا (فدية - 600 ألف دولار أمريكي). .
إذا تم تقسيمها حسب الصناعة، تبدو نواقل الهجوم الرئيسية كما يلي:
— 27% — الجهات الحكومية؛
— 20% — الإنتاج;
— 14% — الرعاية الصحية؛
— 6% — تجارة التجزئة؛
— 5% — التعليم.
غالبًا ما يستخدم مجرمو الإنترنت OSINT (استخبارات المصادر العامة) للتحضير للهجوم وتقييم ربحيته. ومن خلال جمع المعلومات، فهم يفهمون بشكل أفضل نموذج أعمال المنظمة والمخاطر التي قد تتعرض لها سمعتها من أي هجوم. يبحث المتسللون أيضًا عن أهم الأنظمة والأنظمة الفرعية التي يمكن عزلها أو تعطيلها تمامًا باستخدام فيروسات برامج الفدية - وهذا يزيد من فرصة الحصول على فدية. أخيرًا وليس آخرًا، يتم تقييم حالة أنظمة الأمن السيبراني: لا يوجد أي معنى لشن هجوم على شركة يستطيع متخصصو تكنولوجيا المعلومات لديها احتمالية كبيرة لصده.
وفي النصف الثاني من عام 2019، سيظل هذا الاتجاه ذا صلة. سيجد المتسللون مجالات جديدة للنشاط يؤدي فيها تعطيل العمليات التجارية إلى الحد الأقصى من الخسائر (على سبيل المثال، النقل والبنية التحتية الحيوية والطاقة).
طرق الاختراق والعدوى
التغييرات تحدث أيضًا باستمرار في هذا المجال. تظل الأدوات الأكثر شيوعًا هي التصيد الاحتيالي والإعلانات الضارة على مواقع الويب وصفحات الإنترنت المصابة، فضلاً عن عمليات الاستغلال. وفي الوقت نفسه، لا يزال "الشريك" الرئيسي في الهجمات هو المستخدم الموظف الذي يفتح هذه المواقع ويقوم بتنزيل الملفات عبر الروابط أو من البريد الإلكتروني، مما يثير المزيد من العدوى لشبكة المنظمة بأكملها.
ومع ذلك، في النصف الثاني من عام 2019، ستتم إضافة هذه الأدوات إلى:
- الاستخدام الأكثر نشاطًا للهجمات باستخدام الهندسة الاجتماعية (هجوم يقوم فيه الضحية طوعًا بتنفيذ الإجراءات التي يريدها المتسلل أو تقديم معلومات، معتقدًا، على سبيل المثال، أنه يتواصل مع ممثل الإدارة أو عميل المنظمة)، مما يبسط عملية جمع المعلومات عن الموظفين من المصادر المتاحة للعامة؛
- استخدام بيانات الاعتماد المسروقة، على سبيل المثال، تسجيلات الدخول وكلمات المرور لأنظمة الإدارة عن بعد، والتي يمكن شراؤها على الإنترنت المظلم؛
- القرصنة والاختراق المادي الذي سيسمح للمتسللين في الموقع باكتشاف الأنظمة المهمة وهزيمة الأمان.
طرق إخفاء الهجمات
بفضل التقدم في مجال الأمن السيبراني، بما في ذلك Trend Micro، أصبح اكتشاف عائلات برامج الفدية الكلاسيكية أسهل بكثير في السنوات الأخيرة. تساعد تقنيات التعلم الآلي والتحليل السلوكي في تحديد البرامج الضارة قبل أن تخترق النظام، لذلك يتعين على المتسللين التوصل إلى طرق بديلة لإخفاء الهجمات.
تهدف التقنيات المعروفة بالفعل للمتخصصين في مجال أمن تكنولوجيا المعلومات والتقنيات الجديدة لمجرمي الإنترنت إلى تحييد صناديق الحماية لتحليل الملفات المشبوهة وأنظمة التعلم الآلي، وتطوير برامج ضارة خالية من الملفات واستخدام البرامج المرخصة المصابة، بما في ذلك البرامج من بائعي الأمن السيبراني والخدمات البعيدة المختلفة التي يمكنها الوصول إلى شبكة المنظمة.
الاستنتاجات والتوصيات
بشكل عام، يمكننا القول أنه في النصف الثاني من عام 2019، هناك احتمال كبير لهجمات مستهدفة على المنظمات الكبيرة القادرة على دفع فدية كبيرة لمجرمي الإنترنت. ومع ذلك، لا يقوم المتسللون دائمًا بتطوير حلول القرصنة والبرامج الضارة بأنفسهم. البعض منهم، على سبيل المثال، فريق GandCrab سيئ السمعة، والذي قام بالفعل ، بعد أن كسبت حوالي 150 مليون دولار أمريكي، تواصل العمل وفقًا لمخطط RaaS (برامج الفدية كخدمة، أو "فيروسات برامج الفدية كخدمة"، قياسًا على برامج مكافحة الفيروسات وأنظمة الدفاع السيبراني). وهذا يعني أن توزيع برامج الفدية وخزائن التشفير الناجحة هذا العام لا يتم من قبل منشئيها فحسب، بل أيضًا من قبل "المستأجرين".
في مثل هذه الظروف، تحتاج المؤسسات إلى تحديث أنظمة الأمن السيبراني وخطط استعادة البيانات الخاصة بها باستمرار في حالة وقوع هجوم، لأن الطريقة الفعالة الوحيدة لمكافحة فيروسات برامج الفدية هي عدم دفع فدية وحرمان مؤلفيها من مصدر الربح.
المصدر: www.habr.com