خسائر بالملايين وتشويه سمعة.. كيف أشعلت فيروسات الفدية النيران في عالم التقنية؟

قبل نهاية الربع الأول من عام 2023، أقرت شركة “فيراري” لصناعة السيارات الفاخرة أنها تعرضت لهجوم لفيروسات الفدية (رانسوموير) أضر بالمعلومات الشخصية لبعض عملائها. لم تدفن “فيراري” رأسها في الرمال مثل بقية الشركات هذه المرة، وسارع الرئيس التنفيذي للشركة “بينديتو فياجنا” لإبلاغ الخرق في رسالة إلى العملاء المتأثرين.

وفقا لشركة صناعة السيارات الفارهة، تمكَّن المتسللون من الوصول إلى المعلومات الشخصية للعملاء، بما في ذلك الأسماء والعناوين وعناوين البريد الإلكتروني وأرقام الهواتف. يمكن استخدام هذه المعلومات لمحاولات التصيد الاحتيالي أو سرقة الهوية أو غير ذلك من أشكال الجرائم الإلكترونية.

الأخطر من ذلك أنه سيكون بإمكان المخترقين بيع معلومات الضحايا من أبناء الطبقة المخملية على الويب المظلم، ما قد يعرض العملاء لمزيد من الضرر، بما يشمل هجمات الهندسة الاجتماعية التي تستخدم المعلومات الشخصية لخداع الضحايا للكشف عن معلومات حساسة إضافية أو تنفيذ إجراءات معينة، مثل تحويل الأموال إلى حساب احتيالي أو تنزيل برامج ضارة، ما قد يؤدي إلى خسائر وأضرار إضافية. (1)

بالإضافة إلى هذه المخاطر المباشرة، يمكن أن يكون لعرض المعلومات الشخصية أيضا عواقب طويلة المدى. على سبيل المثال، قد يتعرض الضحايا للإضرار بالسمعة أو الإحراج الاجتماعي، لأن معلوماتهم الشخصية أصبحت الآن في أيدي مجرمي الإنترنت. قد يضطرون أيضا إلى إنفاق الوقت والمال لإصلاح أي ضرر أو حماية أنفسهم من المزيد من الضرر. فوضى سيبرانية كان يمكن تجنبها.

في حين تم الإبلاغ عن أن مجموعة برامج الفدية تسمى “RansomEXX” انتهكت شركة صناعة السيارات في أكتوبر المنصرم، لكن الشركة نفت هذا الادعاء في ذلك الوقت. صرحت “فيراري” أيضا بأنها لم تدفع أي طلب فدية للمتسللين، لأن القيام بذلك لن يغير مدى تعرض البيانات للخطر، لكنها لم تكن واضحة منذ البداية، والذي بدوره أخَّر وصول المساعدة وهي عبارة عن توظيف “فيراري” شركة أمن سيبراني تابعة لطرف ثالث للتحقيق في الهجوم.

بينما ذكرت “فيراري” أنه لم تتم سرقة أي معلومات دفع أو تفاصيل عن سيارات فيراري المملوكة أو المطلوبة، فإن الافتقار إلى الوضوح حول التفاصيل الفنية للخرق يثير مخاوف بشأن إمكانية سرقة البيانات غير المكتشفة، مجددا، الوضوح غائب عن المشهد. تصرفات الشركات الفاخرة والرائدة مثل “فيراري” مفهوم لما فيه من تشويه كبير لسمعتها في السوق، و”فيراري” ليست الوحيدة التي خضعت لمثل هذا الابتزاز، سقطت 130 شركة أخرى لم يعلن عنها جميعا ضحية لهجمات الفدية منذ بدء 2023 فقط. (2)

ديستوبيا الابتزاز

على سبيل المثال، أكدت مدينة تورنتو الكندية أن الوصول غير المصرح به إلى بياناتها حدث من خلال بائع (شركة مزودة لخدمة) تابع لجهة خارجية، وأن الوصول كان مقصورا على الملفات التي لا يمكن معالجتها من خلال نظام نقل الملفات الآمن الخاص بهذا البائع، وذكرت المدينة أنها تحقق بنشاط في الملفات المحددة، حتى أعلنت إحدى الجماعات الإجرامية أنها المسؤولة عن الهجمات، التي سُميت عصابة “كلوب”.

أضافت عصابة “كلوب” (Clop)، التي عندما يُذكر اسمها تُذكر روسيا، عشرات المنظمات إلى موقع تسريبها المظلم على شبكة الإنترنت، حيث تهدد بنشر ملفات مسروقة ما لم تدفع فدية مالية. أكدت شركتا “إنفيسيمو كيوبيك” (Investissement Québec) و”هيتاشي للطاقة” (Hitachi Energy) أن بعض بيانات الموظفين قد سُرقت في حوادث مماثلة تنطوي على أداة نقل الملفات نفسها التي سُميت “GoAnywhere”.

منذ الهجوم في أواخر يناير/كانون الثاني أو أوائل فبراير/شباط، كشفت عصابة “كلوب” عن أقل من نصف المنظمات الـ130 التي ادعت أنها اخترقتها عبر هذه الأداة، وهي الأداة التي يمكن استضافتها في السحابة أو على شبكة مؤسسة، ما يسمح للشركات بنقل مجموعات ضخمة من البيانات والملفات الكبيرة الأخرى بأمان. (3)

كل المذكور أعلاه هي مؤسسات ضخمة، بل وحتى حكومات، تمتلك من بيانات الدفع الكفيلة بالتسبب في أزمات على المستوى النفسي والمادي لمستخدمي خدماتها، والحقيقة أن هذا الواقع الجديد مؤلم على مستويات عدة ولشرائح كثيرة من المجتمع، إذ لن تتوانى إحدى العصابات الإجرامية بإيقاف الكهرباء عن المستشفيات، بما فيها أجهزة الإنعاش، أو إيقاف السيارات الكهربائية في منتصف مكان يعلم الله وحده أنك إن ضللت طريقك فيه قد تستغرق عودتك أربعين عاما تائها مثل تيه اليهود في الصحراء.

التيه الأشبه بتيه اليهود فعليا هو الوضع العالمي المتأزم للمشهد “الرانسومويري”. شهد عام 2022 بالتحديد تصاعدا في هجمات برامج الفدية التي أثرت على الأفراد والمؤسسات في جميع أنحاء العالم، بل يمكن القول بثقة إن كنا قد ابتلينا في 2020 بفيروس كورونا وتفشيه، فإن 2022 هي سنة الوباء لضحايا فيروسات الفدية.

لم تكن أسوأ سنة من الناحية الإحصائية فقط، إنها أسوأ سنة عموما. لقد حول المتسللون تركيزهم من الخدمات المالية إلى المنظمات، حيث يمكنهم إحداث الخراب وإحداث أكبر قدر من الضرر، لكن الضربة الأكثر تدميرا تم التعامل معها من قبل شركة التأمين الصحي الأسترالية العملاقة “Medibank”، حيث اخترق المهاجمون النظام وحصلوا على بيانات ما يقرب من 9.7 ملايين عميل. تضمنت البيانات المسروقة ملفات حساسة تتعلق بالإجهاض والأمراض المرتبطة بالكحول. لا تسلط هذه الهجمات الضوء على تفشي برامج الفدية فحسب، بل تسلط الضوء أيضا على تأثيرها العالمي المدمر، وإليك الخبر السيئ: من المتوقع أن يستمر هذا الاتجاه في المستقبل. (4)

الآن، أصبح التأثير المالي لهجمات برامج الفدية أكثر وضوحا، حيث تسببت الهجمات على سلاسل التوريد في أضرار واسعة النطاق، فبدلا من مهاجمة ضحية واحدة، تعمل هجمات سلسلة التوريد على توسيع نطاق الانفجار. من الأمثلة البارزة على هجوم برامج الفدية هجوم “كاسيا” (Kaseya 2021)، الذي أثر على 1500 من عملاء مزودي الخدمة المُدارين، (5) أو استخدام الابتزاز المزدوج (Double extortion) لتسلل البيانات إلى موقع منفصل.

في الماضي، كانت برامج الفدية عبارة عن مهاجمين يقومون بتشفير المعلومات الموجودة على النظام ثم المطالبة بفدية مقابل مفتاح فك التشفير. مع الابتزاز المزدوج، يقوم المهاجمون أيضا بسحب البيانات إلى موقع منفصل. هناك، يمكن استخدامه لأغراض أخرى، بما في ذلك تسريب المعلومات إلى موقع ويب عام إذا لم يتم استلام دفعة.

وما أدى إلى تفاقم المشهد الديستوبي هو ظهور برامج الفدية مثل خدمة “راس” (RaaS)، وهي برامج جاهزة ضارة تدفع لها مقابل الاستخدام، حيث لم تعد الطريقة التقليدية لكتابة تعليمات برمجية مخصصة لبرامج الفدية وتنفيذ مجموعات متميزة من الأنشطة هي القاعدة، باستخدام “راس”، يمكن للمهاجمين الدفع مقابل استخدام نظام أساسي يوفر كود برامج الفدية المطلوبة وإطار العمل التشغيلي لبدء عملية برامج الفدية والحفاظ عليها. سهّل هذا النهج على الجهات الخبيثة إطلاق حملات برامج الفدية بدون خبرة فنية كبيرة، مما أدى إلى زيادة تواتر هجمات برامج الفدية ونطاقها بشكل كبير.

إحصاءات كارثية

أما عن الأرقام، فهي تتحدث لغة الويلات. تُظهر الإحصائيات التالية حجم تهديدات برامج الفدية، حيث تورطت برامج الفدية الضارة في 25% من جميع الانتهاكات في عام 2022، وفقا لـ”تقرير تحقيقات خرق بيانات “فرايزون” (Verizon)”، كما يُظهر تقرير “سوفوس” (Sophos) “وضع برامج الفدية في 2022” أن برامج الفدية أثرت على 66% من المؤسسات في عام 2021، بزيادة قدرها 78% عن العام السابق. (6) (7)

وكلفت هجمات برامج الفدية 49.2 مليون دولار من الخسائر المالية، وفقا لـ3729 شكوى تلقاها مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي في عام 2021. أما عن عام الوباء 2022، في تقرير “تكلفة خرق البيانات 2022″، كشفت شركة “آي بي إم” (IBM) عن متوسط ​​دفع فدية قدره 81,2360 دولارا.

وإذا غضضنا الطرف عن الفدية في حد ذاتها، فإن مدفوعات الفدية الفعلية ليست سوى جزء من التكلفة الإجمالية لهجوم برامج الفدية، التي تربطها شركة “آي بي إم” بمتوسط ​​4.5 ملايين دولار. كما أشار عملاق التقنية إلى أن الأمر يستغرق في المتوسط ​​49 يوما أطول من الأنواع الأخرى من الهجمات حتى تتمكن المؤسسة من تحديد انتهاكات برامج الفدية ومعالجتها. (8)

في عام 2021، كان هناك 1.2 مليار دولار في إيداعات قانون السرية المصرفية للحوادث المتعلقة ببرامج الفدية، وفقا لتحليل شبكة إنفاذ الجرائم المالية (FinCEN) بوزارة الخزانة الأميركية، (9) فإذا كانت حكومة أكبر دولة على كوكب الأرض تتعرض أو حتى تتوقع هذه الخسائر، فكيف ستواجه ذلك الدول (والأفراد) الأقل حظا؟ هل يمكن لسوء الحظ أن ينقلب إلى نقيضه؟

نصف عام محمل بالخطر

لقد غيرت هجمات برامج الفدية من طبيعة اللعبة السيبرانية من خلال مهاجمة الشركات بدلا من المستهلكين. هذا التغيير، الذي يجبر الشركات على دفع سعر باهظ ومباشر للأمن المتراخي، يعني أن المديرين في هذه الشركات سيضطرون إلى التركيز بطريقة جادة وجديدة على تحسين الأمن السيبراني وحماية شبكاتهم، فالحل الأمثل والأول دائما هو الوقاية لأنها حتما أفضل من العلاج.

الآن بعد عام الوباء، يتوقع الكثير من مزودي خدمات الأمن السيبراني أن يكون عام 2023 عاما دسما. وفقا لشركة “غارتنر” (Gartner) للأمن السيبراني، من المرجح أن تلعب الدول القومية دورا أكثر نشاطا في سن التشريعات المتعلقة بمدفوعات برامج الفدية.

في عام 2021، قدرت “غارتنر” أن أقل من 1% من الحكومات العالمية لديها قوانين حول برامج الفدية، لكنها تتوقع أن يرتفع هذا الرقم إلى 30% بحلول عام 2025. وقد بدأت الحكومات في إدراك تأثير برامج الفدية على البنية التحتية الحيوية، وتبحث عن طرق تقليل مخاطر هجمات برامج الفدية. (10)

وفي هذا السياق، يتوقع مورد الأمان “ترند مايكرو” (Trend Micro) أنه سيكون هناك المزيد من هجمات الابتزاز المزودج في النصف الثاني من عام 2023، مع هجمات جديدة تتضمن “برامج الفدية المدركة للسحابة”. من المحتمل أن تكون هذه الهجمات أكثر تعقيدا من هجمات برامج الفدية السابقة، حيث يمكن لبرامج الفدية السحابية التعرف على البيانات المخزنة في الأنظمة المستندة إلى السحابة وتشفيرها. (11)

سيصبح التشفير المتقطع (Intermittent encryption) تكتيكا شائعا، وهي طريقة جديدة داخل برامج الفدية اكتشفها مزود الأمن السيبراني “سوفوس”. على عكس برامج الفدية التقليدية، التي تقوم بتشفير ملف أو نظام كامل، فإن التشفير المتقطع يشفر فقط أجزاء من الملفات، مما يجعلها تظهر على أنها بيانات تالفة. (12) يمكن أن يتجاوز هذا النهج العديد من أشكال الحماية الحالية من برامج الفدية واكتشافها، ومن المحتمل أن يتبنى المزيد من مهاجمي برامج الفدية هذه التقنية في المستقبل.

في الختام، سيظل تهديد برامج الفدية مصدر قلق للأفراد والمؤسسات على حدٍّ سواء في النصف القادم من عام 2023. ونظرا لأن هجمات برامج الفدية تصبح أكثر تعقيدا وتكرارا، فمن المهم أن تظل يقظا وتنفذ الاحتياطات اللازمة للحماية من هذه التهديدات.

_______________________________________________________

المصادر: