الوضع الحالي لبرمجيات الفدية: استخدام قواعد الإفصاح كسلاح وأكثر
مع اقترابنا من نهاية عام 2024، تظل برمجيات الفدية تهديدًا رئيسيًا ومتطورًا يواجه أي مؤسسة. أصبح المجرمون الإلكترونيون أكثر تطورًا وإبداعًا من أي وقت مضى. فهم يعملون على دمج التقنيات الجديدة، واستغلال التوترات الجيوسياسية، وكذلك استخدام القوانين والتشريعات لصالحهم.
ما كان يبدو في السابق جريمة مزعجة لكنها نسبيًا بسيطة، تحوَّل الآن إلى تحدٍ متعدد المستويات وعالمي يهدد الشركات والحكومات على حد سواء.
لنلقِ نظرة على حالة برمجيات الفدية اليوم. سنركِّز على كيفية تغيير المجرمين الإلكترونيين لأساليبهم، واعتمادهم على تقنيات الذكاء الاصطناعي، واستغلالهم للأطر القانونية وغير ذلك.
واحدة من أهم التطورات في مشهد برمجيات الفدية هي استخدام الذكاء الاصطناعي لتعزيز هجمات التصيّد والهندسة الاجتماعية. تقليديًا، كانت رسائل البريد الإلكتروني الخاصة بالتصيّد غالبًا ما تحتوي على علامات واضحة للاحتيال - مثل الكلمات المُهملة، والأخطاء النحوية، والرسائل العامة. ومع ذلك، يمكن للأدوات الجديدة للذكاء الاصطناعي التوليدي صياغة رسائل بريد إلكتروني مخصصة بشكل كبير واحترافية المظهر، ما أدى إلى تغيير قواعد اللعبة بشكل جذري. وهذا يفسِّر على الأرجح سبب ارتفاع حجم هجمات التصيّد ومعدلات نجاحها، إذ أصبحت حملات التصيّد أسهل في الإنشاء وأكثر إقناعًا من أي وقت مضى.
يُتيح الذكاء الاصطناعي لعناصر التهديد استخراج كميات هائلة من البيانات لصياغة رسائل بريد إلكتروني مقنعة تستهدف أفرادًا أو مؤسسات محددة. قد تحتوي رسائل البريد الإلكتروني هذه على معلومات سياقية تجعلها تبدو مشروعة، ما يزيد بشكل كبير من احتمالية نجاحها. والقدرة على تنفيذ مثل هذه الهجمات الدقيقة هي السبب في أن برمجيات الفدية كانت مدمرة بشكل خاص لصناعات مثل الرعاية الصحية، حيث يمكن لأي اضطراب أن تكون له عواقب تهدِّد الحياة.
بالإضافة إلى ذلك، بدأت تقنيات التزييف العميق المدعومة بالذكاء الاصطناعي تؤدِّي دورًا في الهندسة الاجتماعية. يمكن للمجرمين الإلكترونيين الآن إنشاء تقنيات التزييف العميق الصوتية والمرئية لمديري الشركات لخداع الموظفين وتحفيزهم على تحويل الأموال أو الكشف عن معلومات حساسة. وقد جعل هذا الأمر اكتشاف الاحتيال أكثر صعوبة، وتجد المؤسسات صعوبة متزايدة في الحماية من مثل هذه الهجمات.
النشرة الإخبارية الخاصة بالمجال
أحدث الأخبار التقنية، مدعومة برؤى خبراء
ابقَ على اطلاع دائم على أبرز الاتجاهات في مجالات الذكاء الاصطناعي، والأتمتة، والبيانات، وغيرها الكثير من خلال رسالة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيصلك محتوى الاشتراك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك من هنا. لمزيد من المعلومات، راجع بيان خصوصية IBM.
لا تعتمد مجموعات برمجيات الفدية على الوسائل التقنية للضغط على الضحايا لدفع الفدية فحسب، بل تتلاعب باللوائح القانونية لصالحهم. ومن أبرز التطورات في عام 2024 كان تحويل قواعد الإفصاح إلى أداة هجومية، وبشكل خاص تلك الصادرة عن هيئة الأوراق المالية والبورصات الأمريكية (SEC).
تضمَّنت إحدى القضايا البارزة مؤخرًا قيام مجموعة برمجيات الفدية BlackCat/ALPHV بتقديم شكوى رسمية إلى هيئة الأوراق المالية والبورصات الأمريكية (SEC) ضد مزوِّد خدمات الإقراض الرقمي. بعد استخراج ملفات الشركة، أبلغت المجموعة لجنة الأوراق المالية والبورصات أن المزوِّد لم يلتزم باللوائح التي تُلزم المؤسسات بالكشف عن أي حادث الأمن الإلكتروني خلال أربعة أيام عمل. وقد تم تصميم هذا الأسلوب "القانوني" للضغط على الضحايا لدفع الفدية لتجنُّب العقوبات المالية أو إلحاق الضرر بالسمعة.
يُظهر هذا الحادث المقلق أن مجموعات برمجيات الفدية ستستخدم أي شيء، حتى اللوائح الحكومية، كوسيلة للضغط. تقول Ifigeneia Lella، خبيرة الأمن الإلكتروني في وكالة الاتحاد الأوروبي للأمن الإلكتروني (ENISA): "يستغل المهاجمون هذه اللوائح لزيادة الضغط على الضحايا. وهذا توجُّه مثير للاهتمام حقًا". إنه تذكير مقلق بأن الأطر القانونية، رغم أنها تهدف إلى حماية الجمهور وتعزيز الشفافية، يمكن للجهات الخبيثة استغلالها لتحقيق أجندتها الضارة.
وفقًا لتقرير ENISA Threat Landscape لعام 2024، شهد العام الماضي زيادة في استخدام تقنيات "استغلال الموارد الموجودة" (LOTL) من قِبل المجرمين الإلكترونيين. تتضمن هجمات LOTL استخدام الأدوات والبرمجيات الموجودة بالفعل داخل نظام الضحية، ما يجعل من الصعب على فِرق الأمن كشف الأنشطة الضارة. بدلًا من الاعتماد على برنامج ضار خارجي يمكن للبرامج المضادة للفيروسات اكتشافها، يستغل المهاجمون أدوات إدارية شرعية مثل PowerShell أو Windows Management Instrumentation (WMI) لتنفيذ هجماتهم.
فعلى سبيل المثال، تعتمد مجموعة الفدية متعددة أساليب الابتزاز PLAY على أدوات جاهزة مثل Cobalt Strike وEmpire وMimikatz لإجراء عمليات الاستكشاف والتحرك الجانبي داخل شبكة الهدف. ومن خلال الامتناع عن إدخال برامج جديدة مشبوهة، يستطيع المهاجمون التهرب من الاكتشاف لفترات أطول، غالبًا إلى أن يفوت الأوان على الضحية لاتخاذ رد فعل فعَّال. يمثِّل هذا التحول نحو تقنيات LOTL تحديًا مستمرًا لمتخصصي الأمن الإلكتروني، حيث أصبحت حلول مكافحة الفيروسات التقليدية أقل فعالية ضد هذه الهجمات الدقيقة.
بالإضافة إلى التقدم التكنولوجي، يتم استخدام برمجيات الفدية بشكل متزايد كأداة للتأثير الجيوسياسي وأنشطة القرصنة. لم يَعُد دافع المجرمين الإلكترونيين هو الربح المالي فقط؛ فبعضهم يستخدم البرامج الضارة لتحقيق أجندات سياسية، وزعزعة استقرار الحكومات أو بث الفوضى في مناطق معينة.
أكَّد تقرير ENISA كيف تتقاطع التوترات الجيوسياسية مع هجمات برمجيات الفدية. فعلى سبيل المثال، خلال الصراع الروسي-الأوكراني، استهدفت مجموعات برمجيات الفدية البنية التحتية الحيوية في أوكرانيا ودول أخرى حليفة لها. ولم تكن هذه الهجمات مدفوعة بالضرورة بدوافع مالية، بل كانت ذات دوافع سياسية. كان الهدف هو تعطيل العمليات الوطنية أو إعاقة القطاعات الرئيسية مثل الطاقة والسلامة والنقل.
تنضم أيضًا مجموعات أنشطة القرصنة إلى عصابات الفدية لدفع أجنداتها الأيديولوجية الخاصة. فعلى سبيل المثال، ازدادت الهجمات على قطاعات الإدارة العامة والنقل، وغالبًا ما ترتبط بأحداث سياسية معينة أو حركات عالمية. ومع تزايد الطابع السياسي للجريمة الإلكترونية، يجب على المؤسسات والحكومات إدراك أن برمجيات الفدية لم تَعُد مجرد تهديد مالي، بل أصبحت أيضًا أداة لتعطيل الأعمال على المستوى العالمي. وبالنظر إلى التوترات الجيوسياسية المتزايدة في جميع أنحاء العالم، فإن هذه الأنواع من الهجمات أصبحت شائعة بشكل متزايد.
رغم الجهود العالمية للحد من برمجيات الفدية، يواصل عدد الهجمات بالزيادة. بحسب Ransomware Tracker، ارتفع عدد الضحايا المنشورين على مواقع الابتزاز في مايو 2024 إلى 450، مقارنةً بنحو 328 في أبريل، ما جعله أحد أكثر الأشهر نشاطًا خلال السنوات القليلة الماضية.
تُعَد القطاعات مثل الرعاية الصحية والإدارة العامة والنقل والمالية من بين أكثر الصناعات المستهدفة. وتُعَد هذه القطاعات أكثر عرضة للخطر بشكل خاص بسبب اعتمادها على البنية التحتية الرقمية والعواقب الشديدة لفترات التعطل التشغيلية. فعلى سبيل المثال، أبلغت وزارة الصحة والخدمات الإنسانية الأمريكية عن زيادة بنسبة 256% في الاختراقات المتعلقة بالقرصنة في قطاع الرعاية الصحية خلال السنوات الخمس الماضية، ما يُبرز مدى ضعف هذا القطاع.
يستمر الأثر المالي لبرمجيات الفدية في النمو خلال 2024، حيث تمتد التكاليف إلى ما هو أبعد من مدفوعات الفدية. وفقًا لتقرير صناعي، يبلغ متوسط تكلفة التعافي لضحايا برمجيات الفدية في الحكومات المحلية والولائية 2.73 مليون دولار أمريكي، أي أكثر من ضعف المبلغ المسجَّل في 2023. تشمل هذه التكاليف ليس فقط دفعات الفدية، بل أيضًا النفقات المرتبطة بتوقف العمل، وفقدان البيانات، وتعطُّل العمليات، والأضرار التي تلحق بالسمعة.
كما ارتفعت طلبات الفدية نفسها بشكل كبير. يشير التقرير إلى أن متوسط طلبات الفدية لحكومات الولايات والحكومات المحلية يبلغ الآن 3.3 ملايين دولار أمريكي، مع بعض الطلبات التي تتجاوز 5 ملايين دولار أمريكي. على الصعيد العالمي، تشهد صناعات مثل الرعاية الصحية والطاقة والتعليم توجهات مماثلة. والأسوأ من ذلك، يمكن أن تؤدي طلبات الفدية المرتفعة وتكاليف الاسترداد الكبيرة إلى تعطيل أو حتى إغلاق المؤسسات الصغيرة.
يشهد مشهد برمجيات الفدية في 2024 تزايدًا في التعقيد. فمع حملات التصيّد الاحتيالي المدفوعة بالذكاء الاصطناعي، وتقنيات استغلال الموارد الموجودة، واستغلال الأطر القانونية، وتصاعد التوترات الجيوسياسية، لم تكن المخاطر يومًا أعلى من الآن. ومع ذلك، توفِّر التطورات في أدوات الأمن الإلكتروني القائمة على الذكاء الاصطناعي، وزيادة الوعي بهذه الأساليب المتطورة، سُبلًا لتحسين الدفاعات.
وبينما يتكيّف المجرمون الإلكترونيون ويبتكرون، يجب على خبراء الأمن الإلكتروني والمؤسسات مواكبة ذلك. تعد الإجراءات الاستباقية مثل إدارة الثغرات الأمنية واعتماد استراتيجيات نسخ احتياطي قوية والاستثمار في قدرات الاستجابة للحوادث، أساسية لمكافحة هذا التهديد المستمر. قد تستمر برمجيات الفدية في التطور، لكن الأدوات والاستراتيجيات المستخدمة لمكافحتها يمكن أن تتطور أيضًا.