قبل نهاية الربع الأول من عام 2023، أقرت شركة "فيراري" لصناعة السيارات الفاخرة أنها تعرضت لهجوم لفيروسات الفدية (رانسوموير) أضر بالمعلومات الشخصية لبعض عملائها. لم تدفن "فيراري" رأسها في الرمال مثل بقية الشركات هذه المرة، وسارع الرئيس التنفيذي للشركة "بينديتو فياجنا" لإبلاغ الخرق في رسالة إلى العملاء المتأثرين.

 

وفقا لشركة صناعة السيارات الفارهة، تمكَّن المتسللون من الوصول إلى المعلومات الشخصية للعملاء، بما في ذلك الأسماء والعناوين وعناوين البريد الإلكتروني وأرقام الهواتف. يمكن استخدام هذه المعلومات لمحاولات التصيد الاحتيالي أو سرقة الهوية أو غير ذلك من أشكال الجرائم الإلكترونية.

 

الأخطر من ذلك أنه سيكون بإمكان المخترقين بيع معلومات الضحايا من أبناء الطبقة المخملية على الويب المظلم، ما قد يعرض العملاء لمزيد من الضرر، بما يشمل هجمات الهندسة الاجتماعية التي تستخدم المعلومات الشخصية لخداع الضحايا للكشف عن معلومات حساسة إضافية أو تنفيذ إجراءات معينة، مثل تحويل الأموال إلى حساب احتيالي أو تنزيل برامج ضارة، ما قد يؤدي إلى خسائر وأضرار إضافية. (1)

بالإضافة إلى هذه المخاطر المباشرة، يمكن أن يكون لعرض المعلومات الشخصية أيضا عواقب طويلة المدى. على سبيل المثال، قد يتعرض الضحايا للإضرار بالسمعة أو الإحراج الاجتماعي، لأن معلوماتهم الشخصية أصبحت الآن في أيدي مجرمي الإنترنت. قد يضطرون أيضا إلى إنفاق الوقت والمال لإصلاح أي ضرر أو حماية أنفسهم من المزيد من الضرر، وهو قدر من الفوضى السيبرانية كان بالإمكان تجنبه على كل حال.

 

صحيح أن "فيراري" حاولت أن تنتهج الشفافية بخصوص الخرق الأخير، لكنها كانت -كالمعتاد- شفافية متأخرة. ففي أكتوبر/تشرين الأول الماضي، جرى الإبلاغ عن أن مجموعة لبرامج الفدية تسمى "RansomEXX" انتهكت شركة صناعة السيارات المرموقة، لكن الشركة نفت هذا الادعاء في ذلك الوقت. صرحت "فيراري" أيضا بأنها لم تدفع أي طلب فدية للمتسللين، لأن القيام بذلك لن يغير مدى تعرض البيانات للخطر.

 

وبينما ذكرت "فيراري" أنه لم تُسرَق أي معلومات دفع أو تفاصيل عن سيارات فيراري المملوكة أو المطلوبة، فإن الافتقار إلى الوضوح حول التفاصيل الفنية للخرق يثير مخاوف بشأن إمكانية سرقة البيانات غير المكتشفة. يُعَدُّ تحفظ الشركة في الكشف عن التفاصيل مفهوما خوفا على سمعتها في السوق، خاصة أن "فيراري" ليست الشركة الوحيدة التي خضعت لمثل هذا الابتزاز، فقد سقطت 130 شركة أخرى لم يعلن عنها جميعا ضحية لهجمات الفدية منذ بدء 2023 فقط. (2)

 

ديستوبيا الابتزاز

على سبيل المثال، أكدت سلطة مدينة تورنتو الكندية أن وصولا غير مصرح به إلى بياناتها حدث من خلال بائع (شركة مزودة لخدمة) تابع لجهة خارجية، وذكرت المدينة أنها تحقق بنشاط في الملفات المخترقة والجهة المسؤولة عن الأمر، حتى أعلنت إحدى الجماعات الإجرامية أنها المسؤولة عن الهجمات، سُميت عصابة "كلوب" (Clop).

 

أضافت عصابة "كلوب"، وهي جماعة روسية كما يبدو، عشرات المنظمات إلى موقع تسريباتها المظلم على شبكة الإنترنت، حيث تهدد بنشر الملفات المسروقة ما لم تدفع فدية مالية. أكدت شركتا "إنفيسيمو كيوبيك" (Investissement Québec) و"هيتاشي للطاقة" (Hitachi Energy) أن بعض بيانات الموظفين قد سُرقت بياناتهم في حوادث مماثلة تنطوي على أداة نقل الملفات نفسها التي سُميت "GoAnywhere".

 

منذ الهجوم في أواخر يناير/كانون الثاني أو أوائل فبراير/شباط، كشفت عصابة "كلوب" عن هوية أقل من نصف المنظمات الـ130 التي ادَّعت أنها اخترقتها عبر هذه الأداة، وهي الأداة التي يمكن استضافتها في السحابة "Cloud" أو على شبكة مؤسسة، ما يسمح للشركات بنقل مجموعات ضخمة من البيانات والملفات الكبيرة الأخرى بأمان. (3)

كل المذكور أعلاه هي مؤسسات ضخمة، بل وحتى حكومات، تمتلك من بيانات الدفع والمعلومات الشخصية ما يكفي بالتسبب في أزمات كبرى لمئات الآلاف وربما ملايين المستخدمين، وهو ما يسلط الضوء على الأزمة الكبيرة التي يواجهها العالم في التعامل مع فيروسات الفدية أو "الرانسوموير"، فقد شهد عام 2022 بالتحديد تصاعدا في هجمات برامج الفدية التي أثرت على الأفراد والمؤسسات في جميع أنحاء العالم، بل يمكن القول بثقة إننا إن كنا قد ابتلينا في 2020 بفيروس كورونا وتفشيه، فإن 2022 هي سنة الوباء لفيروسات الفدية.

 

لم تكن 2022 أسوأ سنة من الناحية الإحصائية فقط، ولكن من حيث تطور الهجمات أيضا. لقد حول المتسللون تركيزهم من الهجمات الفردية إلى المنظمات، حيث يمكنهم إحداث أكبر قدر من الضرر، وكانت الضربة الأكثر تدميرا شركة التأمين الصحي الأسترالية العملاقة "Medibank"، حيث اخترق المهاجمون النظام وحصلوا على بيانات ما يقرب من 9.7 ملايين عميل. تضمنت البيانات المسروقة ملفات حساسة تتعلق بالإجهاض والأمراض المرتبطة بالكحول. لا تسلط هذه الهجمات الضوء على تفشي برامج الفدية فحسب، بل تسلط الضوء أيضا على تأثيرها العالمي المدمر، وإليك الخبر السيئ: من المتوقع أن يستمر هذا الاتجاه في المستقبل. (4)

لا تقف الأمور عند هذا الحد. ففي الآونة الأخيرة، أصبح التأثير المالي لهجمات برامج الفدية أكثر شراسة، بعدما تسببت الهجمات على سلاسل التوريد في أضرار واسعة النطاق، فبدلا من مهاجمة ضحية واحدة، تعمل هجمات سلسلة التوريد على توسيع نطاق الأضرار. من الأمثلة البارزة على ذلك هجوم "كاسيا" (Kaseya 2021)، الذي استهدف شركة "كاسيا" الأميركية التي تزود العديد من الشركات بخدمة إدارة تكنولوجيا المعلومات، وطالت آثاره قرابة 1500 شركة وفقا للتقديرات.

 

في الماضي، كانت برامج الفدية عبارة عن مهاجمين يقومون بتشفير المعلومات الموجودة على النظام ثم المطالبة بفدية مقابل مفتاح فك التشفير. في الوقت الراهن، يجري ممارسة ما يُعرف بـ"الابتزاز المزدوج"، حيث يقوم المهاجمون أيضا بسحب البيانات إلى موقع منفصل، واستخدامها لأغراض أخرى، بما في ذلك تسريب المعلومات إلى موقع ويب عام إذا لم يستلموا أموال "الفدية".

 

وما أدى إلى تفاقم المشهد الديستوبي هو ظهور برامج الفدية المأجورة مثل خدمة "راس" (RaaS)، وهي برامج جاهزة ضارة تدفع لها مقابل الاستخدام. باستخدام "راس"، يمكن للمهاجمين الدفع مقابل استخدام نظام أساسي يوفر كود برامج الفدية المطلوبة وإطار العمل التشغيلي لبدء الهجوم. سهّل هذا النهج على الجهات الخبيثة إطلاق حملات برامج الفدية بدون خبرة فنية كبيرة، مما أدى إلى زيادة تواتر هجمات برامج الفدية ونطاقها بشكل كبير.

 

إحصاءات كارثية

يمكن للأرقام أن توضح نطاق الأزمة بشكل كبير. تشير البيانات إلى أن برامج الفدية الضارة تورطت في 25% من جميع الانتهاكات السيبرانية في عام 2022، وفقا للتقرير الصادر عن شركة "فرايزون" (Verizon) العملاقة للاتصالات، كما يُظهر تقرير "سوفوس" (Sophos) أن برامج الفدية أثرت على 66% من المؤسسات في عام 2021، بزيادة قدرها 78% عن العام السابق. (6) (7)

 

كلفت هجمات برامج الفدية 49.2 مليون دولار من الخسائر المالية، وفقا لـ3729 شكوى تلقاها مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي في عام 2021. وفي العام نفسه، كشف تقرير "سوفوس" أن متوسط مدفوعات الفدية تضاعف 3 مرات تقريبا عن العام السابق، حيث ارتفعت نسبة الضحايا الذين يدفعون فدية قدرها مليون دولار أميركي أو أكثر إلى 11% مقارنة بـ4% فقط في العام السابق 2020.

 

وعموما، يشير التقرير الذي استطلع آراء 5600 موظف لتكنولوجيا المعلومات في 31 دولة إلى أن متوسط مدفوعات الفدية تجاوز 812 ألف دولار أميركي، بزيادة قدرها 4.8 أضعاف عن متوسط عام 2020 البالغ 170 ألف دولار. وإذا غضضنا الطرف عن الفدية في حد ذاتها، فإن مدفوعات الفدية الفعلية ليست سوى جزء من التكلفة الإجمالية لهجوم برامج الفدية، التي تشمل تكاليف التأمين والحماية الإضافية وتعويضات المتضررين والخسائر الناجمة عن تسرب المعلومات وغيرها. بخلاف ذلك، تشير تقارير صادرة من شركة "IBM" إلى أن هجوم الفدية يستغرق في المتوسط ​​49 يوما أطول من الأنواع الأخرى من الهجمات حتى تتمكن المؤسسة من تحديد الانتهاك ومعالجته. (8)

 

في عام 2021 كذلك كان هناك 1.2 مليار دولار من إيداعات قانون السرية المصرفية للحوادث المتعلقة ببرامج الفدية، وفقا لتحليل شبكة إنفاذ الجرائم المالية (FinCEN) بوزارة الخزانة الأميركية، (9) فإذا كانت حكومة أكبر دولة على كوكب الأرض تتعرض أو حتى تتوقع هذه الخسائر، فكيف ستواجه الدول (والأفراد) الأقل حظا مثل هذه الهجمات؟

 

نصف عام محمل بالخطر

لقد غيرت هجمات برامج الفدية من طبيعة اللعبة السيبرانية من خلال مهاجمة الشركات بدلا من المستهلكين. هذا التغيير، الذي يجبر الشركات على دفع سعر باهظ ومباشر للخروقات الأمنية، يعني أن المديرين في هذه الشركات سيضطرون إلى التركيز بطريقة جادة وجديدة على تحسين الأمن السيبراني وحماية شبكاتهم، فالحل الأمثل والأول دائما هو الوقاية لأنها حتما أفضل من العلاج.

 

الآن بعد عام الوباء، يتوقع الكثير من مزودي خدمات الأمن السيبراني أن يكون عام 2023 عاما دسما. وفقا لشركة "غارتنر" (Gartner) للأمن السيبراني، من المرجح أن تلعب الدول القومية دورا أكثر نشاطا في سن التشريعات المتعلقة بمدفوعات برامج الفدية.

 

في عام 2021، قدَّرت "غارتنر" أن أقل من 1% من الحكومات العالمية لديها قوانين حول برامج الفدية، لكنها تتوقع أن يرتفع هذا الرقم إلى 30% بحلول عام 2025. وقد بدأت الحكومات في إدراك تأثير برامج الفدية على البنية التحتية الحيوية، وتبحث عن طرق لتقليل مخاطر هذا النوع من الهجمات. (10)

 

وفي هذا السياق، يتوقع مورد الأمان "ترند مايكرو" (Trend Micro) أنه سيكون هناك المزيد من هجمات الابتزاز المزدوج في النصف الثاني من عام 2023، مع هجمات جديدة تتضمن "برامج الفدية السحابية". من المحتمل أن تكون هذه الهجمات أكثر تعقيدا من هجمات برامج الفدية السابقة، حيث يمكن لبرامج الفدية السحابية التعرف على البيانات المخزنة في الأنظمة المستندة إلى السحابة وتشفيرها. (11)

 

سيصبح "التشفير المتقطع" (Intermittent encryption) تكتيكا شائعا، وهي طريقة جديدة داخل برامج الفدية اكتشفها مزود الأمن السيبراني "سوفوس". على عكس برامج الفدية التقليدية، التي تقوم بتشفير ملف أو نظام كامل، فإن التشفير المتقطع يشفر فقط أجزاء من الملفات، مما يجعلها تظهر على أنها بيانات تالفة. (12) يمكن أن يتجاوز هذا النهج العديد من أشكال الحماية الحالية من برامج الفدية، ومن المحتمل أن يتبنى المزيد من مهاجمي برامج الفدية هذه التقنية في المستقبل.

 

في الختام، سيظل تهديد برامج الفدية مصدر قلق للأفراد والمؤسسات على حدٍّ سواء في النصف القادم من عام 2023. ونظرا لأن هجمات برامج الفدية تصبح أكثر تعقيدا وتكرارا، فمن المهم أن تظل يقظا وتنفذ الاحتياطات اللازمة للحماية من هذه التهديدات.

_______________________________________________________

المصادر:

• 1- Data breach at Ferrari. Comment on LockBit’s current activities.
• 2- New victims come forward after mass-ransomware attack
• 3-Clop ransomware claims it breached 130 orgs using GoAnywhere zero-day
• 4- Medibank data leak extends to Australians who sought quotes from health insurance firm ahm
• 5- Kaseya: 1,500 organizations affected by REvil attacks
• 6- 2022 Data Breach Investigations Report
• 7- The State of Ransomware 2022
• 8- Cost of a data breach 2022 A million-dollar race to detect and respond
• 9- FinCEN Analysis Reveals Ransomware Reporting in BSA Filings Increased Significantly During the Second Half of 2021
• 10- Gartner Unveils the Top Eight Cybersecurity Predictions for 2022-23
• 11- TREND MICROSECURITY PREDICTIONSFOR 2023
• 12- Intermittent encryption attacks: Who’s at risk?