احتلت برامج الفدية عناوين الأخبار لسنوات متتالية. وكان المهاجمون يستهدفون كل نوع من المؤسسات تقريباً في سعيهم لتحقيق الأرباح، بدءاً من مؤسسات الرعاية الصحية والتعليم إلى مقدمي الخدمات والمؤسسات الصناعية، الأمر الذي ترك تأثيراً حقيقياً على كافة جوانب الحياة اليومية. وفي هذا العام، لا تزال هذه المجموعات قادرة على ابتكار تقنيات جديدة، كما يمكنها تبني تقنيات التي كانت تستخدمها العصابات السابقة الرئيسية الذين أوقفوا عملياتهم حالياً. وأصدرت كاسبرسكي تقريراً جديداً تراجع من خلاله توقعات برامج الفدية للعام الماضي، وتقدم معلومات حول للعام 2023.
وفي العام 2022، تمكنت حلول كاسبرسكي من اكتشاف ما يزيد على 74.2 مليون محاولة لهجمات برامج الفدية، بزيادة قدرها 20% عن العام 2021 (التي بلغت 61.7 مليون هجمة). وفي الوقت ذاته، ومنذ بداية العام 2023، شهدنا انخفاضاً طفيفاً في عدد هجمات برامج الفدية، لكنها أصبحت أكثر تعقيداً وتركيزاً في تحقيق أهدافها. وعلاوة على ذلك، تغيرت المجموعات الخمس الأولى الأكثر نفوذاً وانتشاراً لبرامج الفدية بشكل كبير خلال العام الماضي. وبعد توقف نشاط المجموعتين revil و conti اللتين احتلتا المركزين الثاني والثالث في النصف الأول من العام 2022 على التوالي من حيث عدد الهجمات التي قامتا بها في الربع الأول من عام 2023، حل مكانهما العصابتان vice society و blackcat. وكان من بين عصابات برامج الفدية المتبقية ممن استحوذت على المراكز الخمسة الأولى في الربع الأول 2023، كل من clop و royal.
وعند إلقاء نظرة على اتجاهات برامج الفدية في العام الماضي، تبين استمرارها جميعاً في الوقت الراهن. وخلال العام 2022 وبداية العام 2023، كان هناك العديد من التعديلات التي أجريت على برنامج الفدية عبر الأنظمة الأساسية بمستوى لفت انتباه الباحثين، ومنها على سبيل المثال luna و black basta. وأصبحت عصابات برامج الفدية تكتسب مستوى أعلى من المواصفات الصناعية، حيث قامت بعض المجموعات مثل blackcat بتعديل تقنياتها على مدار العام. وفي الوقت الحالي، بات يتعين على موظفي الجهات المستهدفة التحقق لمعرفة ما إذا كانت مدرجة على قوائم الجهات التي تعرضت بياناتها للسرقة، وبالتالي زيادة الضغط عليها لدفع الفدية. وشهد الوضع الجيوسياسي انحياز بعض مجموعات برامج الفدية إلى جانب أطراف النزاع، ومنها برنامح السرقة الخبيث eternity، حيث قامت المجموعة التي تقف خلفها بإنشاء منظومة كاملة، مع تطوير نسخة جديدة لبرامج الفدية.
وقدم خبراء كاسبرسكي في العام 2023 ثلاثة اتجاهات رئيسية لتطوير مشهد تهديدات برامج الفدية. ويشير الاتجاه الأول إلى وجود المزيد من الوظائف المضمنة التي تستخدمها مجموعات برامج الفدية المختلفة، مثل وظيفة النشر الذاتي أو تقليدها. ومن أهم الأمثلة على برامج الفدية التي تنتشر من تلقاء نفسها، black basta و lockbit و play.
ويتمثل الاتجاه التالي الذي ظهر مؤخراً في استغلال برنامج التعريف أو التشغيل لأغراض خبيثة، علماً أن هذه الخدعة تعتبر قديمة. وتبيّن أن مجموعتي البرامج الخبيثة avoslocker و cuba تستغلان بعض نقاط الضعف في برنامج التشغيل av. ومع ذلك، تُظهر ملاحظات خبراء كاسبرسكي أن قطاع صناعة الألعاب يمكن أن تقع أيضاً ضحية لهذا النوع من الهجمات. وحسب ما أورده التقرير، فقد تم استغلال برنامج التعريف/ التشغيل المستخدم لمكافحة الغش في لعبة genshin impact للتخلص من حماية نقطة النهاية على الجهاز المستهدف. ويستمر هذا الاتجاه في متابعة الضحايا البارزين، مثل المؤسسات الحكومية في الدول الأوروبية.
ونوّه خبراء كاسبرسكي إلى الطرق التي تتبعها أكبر عصابات برامج الفدية لتبنّي إمكانات التعليمات البرمجية المسربة أو حتى التعليمات البرمجية التي يبيعها مجرمو الإنترنت الآخرون لتحسين وظائف البرامج الخبيثة الخاصة بهم. واعتمدت مجموعة lockbbit مؤخراً رمزاً يتكون على الأقل من 25% من الكود المسرب للبرنامج الخبيث conti، ونشرت إصداراً جديداً يعتمد بالكامل عليه. وتكشف هذه الأنواع من المبادرات للشركات التابعة عن أوجه التشابه والتسهيلات لمواجهة مجموعات برامج الفدية التي اعتادوا التعامل معها سابقاً. ويمكن لمثل هذه التطورات أن تعزز قدراتها الهجومية، وهي نقطة مهمة يجب أن تؤخذ في الحسبان عند قيام الشركات بتطوير استراتيجياتها الدفاعية.
وقال ديمتري غالوف، باحث أول في مجال الأمن - فريق البحث والتحليل العالمي في كاسبرسكي: "لا تتوقف عصابات برامج الفدية عن تقديم المفاجآت، كما أنها تواصل تطوير تقنياتها وإجراءاتها. لقد رصدنا على مدى عام ونصف العام قيامهم بتطوير خدماتهم تدريجياً إلى أعمال متكاملة، وإلى مستوى يجعل المهاجمين الهواة في غاية الخطورة. ولضمان الأمن لعملك وبياناتك الشخصية، من المهم الحفاظ على تحديث خدمات الأمن السيبراني".
يمكن قراءة التقرير الكامل من خلال securelist.
ولمساعدتها في الحماية من فيروسات الفدية، تطلب كاسبرسكي المؤسسات على اتباع أفضل الممارسات، ومنها ما يلي:
• الحرص الدائم على تحديث البرامج على جميع الأجهزة التي تستخدمها لمنع المهاجمين من استغلال نقاط الضعف والتسلل إلى شبكتك.
• تركيز إستراتيجيتك الدفاعية على الكشف عن الحركات الجانبية وسحب البيانات إلى الإنترنت، والانتباه بشكل خاص من حركة المرور الصادرة لاكتشاف اتصالات مجرمي الإنترنت عبر شبكتك. قم بإعداد نسخ احتياطية في وضع عدم الاتصال بحيث لا يستطيع المتسللون العبث بها. تأكد من أنه يمكنك الوصول إليها بسرعة عند الحاجة أو في حالة طارئة.
• تمكين برامج الحماية من برامج الفدية لجميع نقاط النهاية. وهناك أداة مجاني تطرحها كاسبرسكي لمواجهة البرامج الخبيثة وتسمى kaspersky anti-ransomware للشركات، وتوفر الحماية لأجهزة الكمبيوتر والخوادم من برامج الفدية والأنواع الأخرى من البرامج الخبيثة، كما تمنع عمليات الاستغلال، وتكون متوافقة مع حلول الأمان المثبتة بالفعل.
• تثبيت حلول مواجهة التهديدات المتقدمة المستمرة وأداة كشف نقطة النهاية والاستجابة، لاكتشاف التهديدات المتقدمة، والتحقيق في الحوادث في الوقت المناسب ومعالجتها. كما يجب تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات، وتعزيز مهاراتهم بانتظام من خلال التدريب الاحترافي. ويمكن الحصول على كل ما سبق في إطار عمل kaspersky expert security framework.
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات. وتعتبر بوابة kaspersky threat intelligence portal نقطة وصول موحدة لمعلومات التهديدات من كاسبرسكي، حيث توفر بيانات الهجمات الإلكترونية والأفكار التي جمعها فريق الشركة لأكثر من 20 عاماً. ولمساعدة الشركات على تمكين الدفاعات الفعالة، أعلنت كاسبرسكي عن إتاحة الوصول المجاني إلى معلومات مستقلة يتم تحديثها باستمرار، وترتبط بمصادر عالمية حول الهجمات الإلكترونية والتهديدات المستمرة مجاناً. ويمكن توجيه طلب الوصول إليها من خلال هذا الرابط.