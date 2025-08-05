الذكاء الاصطناعي الحوسبة والخوادم أتمتة تكنولوجيا المعلومات

ظهور برامج الفدية الضارة كخدمة: كيف أصبحت الجرائم الإلكترونية نشاطًا تجاريًا

منظر بزاوية عالية لمبرمجي كمبيوتر يستخدمان كمبيوتر مكتبيًا في مكتب

Syed Jawwad

لقد برزت برامج الفدية كخدمة (RaaS) كنموذج أعمال يغير قواعد اللعبة، حيث يجمع المخترقون بين قدرات البرمجيات التقليدية وإمكانية الوصول إلى الخدمات السحابية. لقد ساعدتهم هذه الحركة على تحويل الابتزاز الرقمي المتطور إلى اقتصاد قائم على الاشتراك متاح لأي شخص لديه نوايا خبيثة تقريبًا.

على مر التاريخ، كانت هجمات الفدية تنفذ بصورة أساسية من قِبل عناصر التهديد ذوي المهارات التقنية الذين يطورون برامجهم الضارة بأنفسهم، ويوزعونها باستخدام التصيد الاحتيالي أو أدوات الاستغلال، ويتفاوضون مباشرة مع الضحية. ولكن في هذا النموذج التقليدي، كانت هناك قيود، مثل قابلية التوسع المحدودة، والتعرض للمخاطر، والحاجة إلى مجموعة واسعة من المهارات. 

ثم أصبحت برامج الفدية كخدمة (RaaS) جزءًا من المشهد. في هذا النموذج، يقوم مطورو برامج الفدية بإنشاء أدوات فائقة الإمكانات للبرنامج الضار ويؤجرونها لعملائهم أو شركائهم الذين ينفذون الهجمات الفعلية. يحصل المطورون على 20% إلى 40% من الأرباح، بينما يحصل الشركاء على الحصة المتبقية.

وقد أدى ذلك إلى تسهيل الوصول إلى الجرائم الإلكترونية، ما يمكن الأشخاص ذوي المهارات المحدودة من تنفيذ هجمات قوية باستخدام أدوات متقدمة. 

كيفية عمل برامج الفدية الضارة كخدمة

تُعدّ برامج الفدية كخدمة (RaaS) نموذج أعمال للجرائم الإلكترونية حيث يعمل مخترقون محترفون يُطلق عليهم اسم المطورين بإنشاء أدوات فدية جاهزة وبيعها إلى الشركاء (مجرمين آخرين) الذين يستخدمونها لتنفيذ الهجمات. هناك مراحل متعددة كما هو موضح أدناه.

1. تطوير البرنامج الضار 

يقوم المطور أو المشغل بتصميم حمولة برامج الفدية الضارة. تتضمن الميزات عادةً ما يلي:

  • خوارزميات التشفير لتشفير بيانات الضحية
  • تقنيات الحذف الذاتي
  • طرق التهرب لتجاوز دفاعات برامج مكافحة الفيروسات واكتشاف نقاط النهاية والاستجابة لها
  • قنوات الاتصال المدمجة (مثل نظام الأوامر والتحكم المستند إلى TOR)

حتى إن بعض العائلات المتطورة تشتمل على أهداف معيارية، مثل الانتشار الشبيه بالديدان، والتهرب من آلية تحديد الوصول، والتشفير متعدد الخيوط. 

2. استضافة منصة برامج الفدية كخدمة (RaaS) 

بمجرد إنشاء البرنامج الضار، يُضغط ويوفر عبر أسواق الدارك نت أو المنتديات الخاصة. تشبه هذه المنصات مواقع البرمجيات كخدمة (SaaS) المشروعة، وتتضمن الميزات التالية:

  • لوحات معلومات المستخدم لتتبع حالات الإصابة
  • بوابة الدفع وإدارة مفاتيح فك التشفير 
  • منتديات الدعم
  • التحديثات وعمليات طرح الميزات 
  • مواد تسويقية للشركاء

بعض مجموعات برامج الفدية كخدمة (RaaS) لديها حتى بوابات خدمة عملاء لمساعدة الشركاء على استكشاف أخطاء النشر وإصلاحها.

وفقًا لموقع Crowdstrike، يتم الإعلان عن مجموعات برامج الفدية كخدمة (RaaS) في أسواق الشبكة الخفية وتشمل دعمًا على مدار الساعة، وعروضًا مجمعة، وتقييمات، ومنتديات وميزات أخرى مماثلة لتلك التي يقدمها مزودو البرمجيات كخدمة (SaaS) الشرعيون.

3. توظيف الشركاء 

عادةً ما يكون الشركاء مجرمين إلكترونيين آخرين ليسوا موهوبين مثل مطوري برامج الفدية، ولكن هؤلاء المجرمين يمكنهم نشر برامج الفدية من خلال وصولهم إلى الشبكات الحقيقية.  

في عمليات برامج الفدية كخدمة (RaaS) الكبيرة، عادةً ما يتم التعامل مع التوظيف من قبل مديري الشركات التابعة أو مسؤولي التوظيف. يعمل شخص مخصص أو فريق صغير على العثور على الشركاء ويقيمهم ويضمهم إلى الفريق. في العمليات الصغيرة أو التي تم إطلاقها حديثًا في مجال عمليات برامج الفدية كخدمة (RaaS)، عادةً ما يتولى المطور أو المشغل نفسه عملية التوظيف.

وغالبًا ما يحدث التوظيف عن طريق مصادر متعددة، بما في ذلك منصات المراسلة الخاصة مثل Telegram أو Jabber، أو منتديات الشبكة الخفية، أو الدعوات للانضمام إلى مجموعات خاصة.

ويمكن للمطورين تقييم الشركاء بعناية قبل السماح لهم بالانضمام إلى المجموعة. في المقابل، يمكن للشركاء الوصول إلى برامج الفدية والوثائق والأدوات. في بعض الأحيان يستهدفون التوظيف القائم على السمعة. في حالات نادرة، قد يستخدم المهاجمون إعلانات وظائف مزيفة في مجال تكنولوجيا المعلومات أو منصات العمل الحر لتوظيف أشخاص من دون علمهم أو لاختبار مهاراتهم.

4. تسليم الحمولة 

يتولى الشركاء توزيع برامج الفدية الضارة باستخدام مصادر متعددة، من ضمنها:

  • رسائل البريد الإلكتروني الاحتيالية التي تحتوي على مرفقات خبيثة 
  • الإعلانات الخبيثة 
  • المواقع الإلكترونية المخترقة  
  • استغلال البرامج غير المصححة أو الثغرات الأمنية 
  • وسطاء الوصول الأولون (IABs) أو المتسللون الأولون (هؤلاء المجرمون الذين يبيعون نقاط الدخول المخترقة إلى الشبكات)

في بعض الحالات، ينشر الشركاء أيضًا تقنيات الابتزاز المزدوج حيث يسرقون البيانات أولاً قبل تشفيرها، ثم يهددون بنشرها إذا لم تدفع الضحية الفدية.  

5. التعامل مع الضحية للحصول على المال 

بمجرد تشفير الأنظمة، تعرض برامج الفدية الضارة رسالة تحتوي على تعليمات الدفع. عادةً ما يطلب هؤلاء المجرمون عملة مشفرة مثل البيتكوين. ويقدمون خطوات مفصلة، بما في ذلك كيفية استخدام Tor ومحافظ التشفير في مذكرة الفدية نفسها.

يحصل الضحية على روابط إلى بوابات التفاوض. تُستضاف هذه البوابات عادةً على موقع TOR. تعمل بعض مجموعات برامج الفدية كخدمة (RaaS) على أتمتة هذه المحادثات باستخدام روبوت المحادثة، بينما تقدم بعض المجموعات مشغلين بشريين من أجل التفاوض على الأسعار. 

تقسم هذه المجموعات مسؤولياتها بوضوح. يتحمل الشركاء مسؤولية نشر برامج الفدية، وتسليم مذكرة الفدية، وإقامة الاتصالات الأولية، وإدارة المفاوضات. يوفر المطور الأساسي أو فريق المطورين الأساسيين الواجهة الخلفية من خلال استضافة البوابات والتحقق من المدفوعات وتوزيع مفاتيح فك التشفير.

6. تقاسم الأرباح 

عندما تحقق هذه المجموعات أي نجاح في ابتزاز الأموال من الضحية، فإنها تقسم الأموال وفقًا لاتفاقها. يذهب المبلغ المتفق عليه إلى المطور ويحتفظ الشركاء بالمبلغ المتبقي. 

نماذج أعمال برامج الفدية كخدمة (RaaS)

هناك العديد من النماذج التي تعمل بموجبها برامج الفدية كخدمة (RaaS). وهي تشمل ما يلي:

  • الشريك/حصة الأرباح: الشركاء لا يدفعون أي تكلفة مقدمة، لكن المطورين يأخذون حصة من كل فدية. هذا هو النموذج الأكثر شيوعًا.
  • القائم على الاشتراك: يدفع الشركاء رسومًا شهرية للوصول إلى مجموعة برامج الفدية الضارة والدعم. 
  • ترخيص لمرة واحدة: رسوم ثابتة تشتري وصولاً غير محدود إلى البرنامج الضار، ولكن من دون دعم مستمر.
  • تصميم مخصص: برامج فدية مخصصة تُباع لمشترٍ واحد، وغالبًا ما تكون لهجمات عالية المستوى أو مستهدفة.

مجموعات برامج الفدية كخدمة (RaaS) في العالم الحقيقي 

بعض من أشهر عصابات برامج الفدية التي تعمل وفقًا لنموذج RaaS:

  • REvil: كانت هذه المجموعة قد عرضت معلومات مفصلة عن لوحاتها للشركاء وغالبًا ما كانت تتفاوض على الفدية نيابة عنهم قبل حلها.
  • DarkSide: تشتهر هذه المجموعة بالعلامة التجارية الاحترافية وبيانات العلاقات العامة وبوجود مدونة لقواعد السلوك.
  • Conti: عملت هذه المجموعة ككيان مؤسسي، مع رواتب ومديرين ومراجعات الأداء قبل حلها.
  • LockBit: لا تزال هذه المجموعة نشطة ومعروفة بالأساليب العدوانية ومواقع التسريبات العامة.

الاحتياطات: كيفية الدفاع عن أنفسنا ضد برامج الفدية كخدمة (RaaS)

لتجنب مخاطر برامج الفدية كخدمة (RaaS)، يجب على الشركات اختيار إستراتيجية دفاع متعددة الطبقات، بما في ذلك:

  1. وعي المستخدم: التصيد الاحتيالي هو نقطة الدخول الأكثر شيوعًا. يمكن للتدريب المنتظم أن يجعل المستخدمين على دراية بالهجمات الإلكترونية. 
  2. الكشف المبني على السلوك والاستدلال: كل يوم تطلق برامج الفدية كخدمة (RaaS) خدمات جديدة.   يمكن لمؤشرات الاختراق (IOCs) الكشف عن وجود نشاط خبيث أو دليل على حدوث اختراق أمني داخل شبكة أو نظام أو نقطة النهاية. عندما تكون كل ثانية فارقة في أثناء هجوم الفدية، يمكن لأدوات اكتشاف نقاط النهاية والاستجابة لها /الكشف والاستجابة الموسعة والكشف والاحتواء والاستجابة في الوقت الفعلي
  3. تحليل التوقيعات: تتميز كل مجموعة من برامج الفدية بتوقيعات سلوكية وخصائص حمولة متميزة. يساعد تحليل تلك التوقيعات على إنشاء المزيد من الدفاعات المستهدفة. يمكن للشركات تحديث مواجز معلومات التهديدات بانتظام ودمجها مع منصات SIEM أو SOAR. يعد إطار عمل MITRE ATT&CK أو Threat Fox جيدًا جدًا لهذا الغرض. يمكن للمستخدمين الاشتراك في خدمة تتبع اتجاهات البرامج الضارة من Any.run للحصول على تقارير منتظمة ومفصلة عن أهم أنواع البرامج الضارة أو مؤشرات الاختراق (IOCs) أو الأساليب والتقنيات والإجراءات. يمكن للمستخدمين أيضًا الاستفادة من لوحة المعلومات الخاصة بهم لرؤية معلومات مفصلة عن عائلات البرامج الضارة.
  4. مراقبة سلامة الملفات: إذا قام المستخدمون بمراقبة سلامة الملفات، فيمكنهم بسهولة اكتشاف التغييرات غير المصرح بها على الملفات والدلائل على النظام. سيتم تنبيههم عند تعديل الملفات الحساسة (مثل تكوينات النظام أو الملفات القابلة للتنفيذ) أو حذفها أو إضافتها. يساعد ذلك على تحديد علامات البرمجيات الضارة أو الأبواب الخلفية أو حتى التهديدات الداخلية في وقت مبكر.
  5. التصحيح والتحديثات: يؤدي التصحيح المنتظم دورًا رئيسيًا في الدفاع ضد برامج الفدية كخدمة (RaaS) لأن العديد من شركاء برامج الفدية كخدمة (RaaS) يبحثون عن برامج غير مصحوبة بتحديثات للوصول إليها.
  6. كشف نقطة النهاية والاستجابة لها (EDR): يحمي نشر اكتشاف نقاط النهاية والاستجابة لها من برامج الفدية كخدمة (RaaS). يعمل اكتشاف نقاط النهاية والاستجابة لها على إجراء تحليل سلوكي لاكتشاف برمجيات الفدية الضارة في مراحل التنفيذ المبكرة.
  7. بنية الثقة الصفرية: من خلال استخدام بنية الثقة الصفرية، ستكون الحركة الجانبية محدودة حتى لو تعرض النظام للاختراق.
  8. التجزئة: يساعد تجزئة الشبكة على منع التشفير الكامل للشبكة من خلال عزل الأنظمة الحيوية وتقسيمها إلى أجزاء مختلفة.
  9. نسخ احتياطية غير متصلة بالإنترنت: النسخ الاحتياطية غير المتصلة بالإنترنت محصنة ضد الإصابة، لذلك إذا اخترقت النسخ الاحتياطية الإلكترونية، يمكن للمستخدمين استعادتها بأمان من النسخ غير المتصلة بالإنترنت.
  10. الامتثال: الحفاظ على امتثال نقطة النهاية يقلل بصورة كبيرة من المخاطر التي تشكلها برامج الفدية كخدمة (RaaS). يجب على الشركات التأكد من تأمين الأنظمة وخلوها من الثغرات الأمنية وتحديثها بأحدث تعريفات مكافحة البرمجيات الضارة.

لقد نجحت برامج الفدية كخدمة في تسهيل الدخول إلى عالم الجرائم الإلكترونية، ما مكّن حتى المهاجمين ذوي المهارات المنخفضة من إطلاق حملات مدمرة. من خلال العمليات المنظمة جيدًا والشبكات التابعة ونماذج تقاسم الأرباح، تستمر برامج الفدية كخدمة (RaaS) في التطور بسرعة كبيرة. 

لمواجهة هذا التهديد، يجب على المؤسسات تبني إستراتيجية دفاعية متعددة الطبقات تتضمن تعليم المستخدم، والنسخ الاحتياطي المنتظم، واستخدام اكتشاف نقاط النهاية والاستجابة لها، والكشف والاستجابة الموسعة واستعلامات التهديدات، والاستجابة السريعة للحوادث.
