ما هي برامج الفدية الضارة؟

طلبت هجمات برامج الفدية الخبيثة الأولى ببساطة فدية مقابل مفتاح التشفير اللازم لاستعادة الوصول إلى البيانات المتضررة أو استخدام الجهاز المتضرر. ومن خلال إجراء نسخ احتياطي منتظم أو مستمر للبيانات، يمكن للمؤسسة الحد من التكاليف الناجمة عن هذه الأنواع من هجمات برامج الفدية وغالبًا ما تتجنب دفع طلب الفدية.

في السنوات الأخيرة، تطورت هجمات برامج الفدية لتشمل أساليب الابتزاز المزدوج والابتزاز الثلاثي التي تزيد من المخاطر بشكل كبير. حتى الضحايا الذين يحتفظون بنسخ احتياطية دقيقة للبيانات أو يدفعون الفدية الأولي هم معرضون للخطر.

تضيف هجمات الابتزاز المزدوج خطر سرقة بيانات الضحية وتسريبها عبر الإنترنت. كما تضيف هجمات الابتزاز الثلاثي خطر استخدام البيانات المسروقة لمهاجمة عملاء الضحية أو شركاء العمل.

تُعد برامج الفدية أحد أكثر أشكال البرامج الضارة شيوعًا، ويمكن أن تكلف هجمات برامج الفدية المؤسسات المتضررة ملايين الدولارات.

بلغت نسبة برامج الفدية 20% من جميع الهجمات الإلكترونية التي سجلها مؤشر IBM ® X-Force ® Threat Intelligence Index في عام 2023. وسرعان ما تتطور هذه الهجمات. عندما يتمكن المتسللون من الوصول إلى شبكة ما، يستغرق الأمر أقل من أربعة أيام لنشر برامج الفدية. وتمنح هذه السرعة المؤسسات القليل من الوقت لاكتشاف الهجمات المحتملة والتصدي لها.

يتردد ضحايا برامج الفدية والمفاوضون في الكشف عن مدفوعات الفدية، لكن الجهات الفاعلة في مجال التهديد غالبًا ما تطلب مبالغ من سبعة أرقام وثمانية أرقام. ومدفوعات الفدية ليست سوى جزء من التكلفة الإجمالية لفيروسات برامج الفدية. وفقًا لتقرير تكلفة اختراق أمن  البيانات لشركة IBM، يبلغ متوسط تكلفة اختراق برامج الفدية 5.68 ملايين دولار أمريكي، وهذا لا يشمل مدفوعات الفدية.

ومع ذلك، أصبحت فرق الأمن الإلكتروني أكثر مهارة في مكافحة برامج الفدية. وجد مؤشر X-Force Threat Intelligence Index أن الإصابات ببرامج الفدية الخبيثة قد انخفضت بنسبة 11.5% بين عامي 2022 و2023، ويرجع ذلك على الأرجح إلى التحسينات في اكتشاف التهديدات والوقاية منها.

هناك نوعان شائعان من برامج الفدية الخبيثة. النوع الأكثر شيوعًا، يُسمى تشفير برامج الفدية أو برامج الفدية المشفرة، يحتفظ ببيانات الضحية رهينة عن طريق تشفيرها. ثم يطلب المهاجم فدية مقابل توفير مفتاح التشفير اللازم لفك تشفير البيانات.

والنوع الأقل شيوعًا من برامج الفدية، الذي يُسمى برامج الفدية غير المشفرة أو برامج الفدية التي تقفل الشاشة، يغلق جهاز الضحية بالكامل عادة عن طريق حظر الوصول إلى نظام التشغيل. فبدلاً من بدء التشغيل كالمعتاد، يعرض الجهاز شاشة تطلب الفدية.

يندرج هذان النوعان الشائعان في هذه الفئات الفرعية التالية:

البرامج المسربة أو البرامج الضارة هي برامج الفدية التي تسرق البيانات الحساسة أو تستولي عليها وتهدد بنشرها. في حين أن الأشكال السابقة من البرامج المسربة أو البرامج الضارة غالبًا ما تسرق البيانات من دون تشفيرها، فإن الأشكال الحالية عادةً ما تفعل كليهما.

تتضمن برامج الفدية الضارة للأجهزة المحمولة جميع برامج الفدية الضارة التي تؤثر في الأجهزة المحمولة. حيث يتم تقديم معظم برامج الفدية للأجهزة المحمولة من خلال التطبيقات الضارة أو التنزيلات من محرك الأقراص، وهي برامج فدية غير مشفرة. يفضل المهاجمون برامج قفل الشاشة للهجمات على الأجهزة المحمولة لأن النسخ الاحتياطية المؤتمتة للبيانات السحابية، وهي قياسية في العديد من الأجهزة المحمولة، تجعل من السهل صد هجمات التشفير.

تهدد برامج مسح البيانات أو برامج الفدية المدمرة بتدمير البيانات إذا لم تدفع الضحية الفدية. وفي بعض الحالات، تدمر برامج الفدية البيانات حتى لو دفعت الضحية الفدية. وغالبًا ما يتم نشر هذا النوع من برامج الفدية الخبيثة من خلال الجهات الفاعلة في الدولة أو المهاجمين بدلاً من المجرمين الإلكترونيين العاديين.

البرمجيات الخبيثة هي بالضبط ما يوحي به اسمها - برمجيات الفدية التي تحاول تخويف المستخدمين ودفعهم إلى دفع فدية. قد يتخفّى Scareware في صورة رسالة من جهة إنفاذ قانون، تتّهم الضحية بارتكاب جريمة وتطالبه بدفع غرامة. أو قد يُحاكي إشعارًا حقيقيًا بإصابة الجهاز بفيروس، ويحثّ الضحية على شراء برمجيات فدية تتنكّر في هيئة برنامج مضاد للفيروسات.

وفي بعض الأحيان، يكون Scareware هو نفسه برمجيات الفدية، حيث يقوم بتشفير البيانات أو قفل الجهاز. وفي حالات أخرى، يكون مجرد وسيلة لنشر برمجيات الفدية، فلا يُشفِّر شيئًا لكنه يُجبر الضحية على تنزيل البرمجيات الضارة.

يمكن أن تستخدم هجمات برامج الفدية الخبيثة عدة طرق أو نواقل لإصابة شبكة أو جهاز. تتضمن بعض أبرز نواقل فيروس برامج الفدية ما يلي:

تعتمد هجمات الهندسة الاجتماعية على خداع الضحايا لدفعهم إلى تنزيل ملفات قابلة للتنفيذ وتشغيلها، والتي تتبيّن لاحقًا أنها برمجيات فدية. فعلى سبيل المثال، قد تحتوي رسالة تصيّد احتيالي على مرفق ضار يبدو وكأنه ملف آمن من نوع .pdf، أو مستند Microsoft Word أو ملف آخر.

قد تجذب هجمات الهندسة الاجتماعية المستخدمين أيضًا لزيارة موقع ويب ضار أو مسح رموز QR الضارة التي تمرر برامج الفدية عبر متصفح الويب الخاص بالمستخدم.

وغالبًا ما يستغل المجرمون الإلكترونيون الثغرات الأمنية الموجودة مسبقًا لحقن برمجيات ضارة في جهاز أو شبكة.

وتُعد الثغرات الأمنية الفورية (Zero-day)، وهي الثغرات غير المعروفة لمجتمع الأمن الإلكتروني، أو المُكتشفة ولكن لم يتم تصحيحها بعد — تهديدًا بالغ الخطورة. وتقوم بعض مجموعات برمجيات الفدية بشراء معلومات عن هذه الثغرات من مخترقين آخرين لاستخدامها في تخطيط هجماتهم. وقد استخدم المخترقون أيضًا ثغرات سبق تصحيحها كوسائل للهجوم، كما حدث في هجوم WannaCry عام 2017.

كما يمكن للمخترقين سرقة بيانات اعتماد المستخدمين المُصرّح لهم، أو شراؤها من الشبكة الخفية، أو كشفها من خلال هجمات القوة الغاشمة. وبعد حصولهم على بيانات الاعتماد، يستخدمونها لتسجيل الدخول إلى الشبكة أو الجهاز وتنفيذ برمجيات الفدية مباشرةً.

يُعد بروتوكول سطح المكتب البعيد (RDP)، وهو بروتوكول Microsoft خاص يسمح للمستخدمين بالوصول إلى جهاز كمبيوتر عن بُعد، هدفًا شائعًا لسرقة بيانات الاعتماد بين مهاجمي برامج الفدية.

وغالبًا ما يستخدم المخترقون برمجيات ضارة تم تطويرها لهجمات أخرى لتوصيل برمجيات الفدية إلى الأجهزة. فقد استخدم عناصر التهديد حصان طروادة Trickbot، الذي صُمم في الأصل لسرقة بيانات اعتماد المصارف، لنشر نسخة Conti من برمجيات الفدية طوال عام 2021.

ويمكن للمخترقين أيضًا استخدام مواقع إلكترونية لتمرير برمجيات الفدية إلى الأجهزة دون علم المستخدمين. تستغل مجموعات الأدوات الهجومية (Exploit Kits) المواقع المخترقة لمسح متصفحات الزوار بحثًا عن ثغرات في تطبيقات الويب يمكن استخدامها لحقن البرمجيات الضارة.

يمكن أيضًا للإعلانات الخبيثة - الإعلانات الرقمية المشروعة التي اخترقها المهاجمون - إدخال برامج الفدية في الأجهزة، حتى إذا لم ينقر المستخدم على الإعلان.

لا يحتاج المجرمون الإلكترونيون بالضرورة إلى تطوير برامج الفدية الخاصة بهم لاستغلال هذه النواقل. بعض برامج الفدية تطور ويتقاسمون كودها البرمجي للمرء الإلكتروني الساروخي عبر اتفاقيات برامج الفدية كخدمة (RaaS).

يستخدم المجرم الإلكتروني، أو "الشركة التابعة"، التعليمات البرمجية لتنفيذ هجوم ويقسم دفع الفدية مع المصمم. إنها علاقة متبادلة المنفعة. يمكن للشركات التابعة الاستفادة من الابتزاز من دون الحاجة إلى تطوير البرامج الضارة الخاصة بهم، ويمكن للمصممين زيادة أرباحهم من دون شن المزيد من الهجمات الإلكترونية.

يمكن لموزعي برامج الفدية بيع برامج الفدية من خلال الأسواق الرقمية على الشبكة الخفية. ويمكنهم أيضًا تجنيد الشركات التابعة مباشرة من خلال المنتديات عبر الإنترنت أو الطرق المماثلة. استثمرت مجموعات برامج الفدية الكبيرة مبالغ كبيرة من المال في جهود التوظيف لجذب الشركات التابعة. 

عادةً ما يتم تنفيذ هجوم برامج الفدية من خلال هذه المراحل.

حتى الآن، حدد باحثو الأمن الإلكتروني الآلاف من متغيرات أو "عائلات" برامج الفدية المتميزة - سلالات فريدة تحمل توقيعات ووظائف التعليمات البرمجية الخاصة بها. 

تتميز العديد من سلالات برامج الفدية بشكل خاص بمدى تدميرها، ومدى تأثيرها في تطوير برامج الفدية أو التهديدات التي تشكلها اليوم.

ظهر CryptoLocker لأول مرة في سبتمبر 2013، ويُنسب إليه الفضل على نطاق واسع في بدء العصر الحديث لبرامج الفدية الضارة. 

انتشر CryptoLocker من خلال الروبوتات (شبكة من أجهزة الكمبيوتر المخترقة)، وكان CryptoLocker من أوائل مجموعات برامج الفدية الخبيثة التي تشفر ملفات المستخدمين بقوة. ونهب ما يقدر بنحو 3 ملايين دولار قبل أن توقفه جهود إنفاذ القانون الدولية في عام 2014.

أدى نجاح CryptoLocker إلى ظهور العديد من المقلدين ومهد الطريق لأشكال مثل WannaCry وRyuk وPetya.

هاجمت أول دودة تشفير رفيعة المستوى- وهي برامج الفدية التي يمكن أن تنتشر إلى أجهزة أخرى على الشبكة - WannaCry أكثر من 200,000 جهاز كمبيوتر في 150 دولة. كانت الحواسيب المتأثرة معرضة للخطر لأن المسؤولين أهملوا تصحيح ثغرة EternalBlue من Microsoft Windows.

إلى جانب تشفير البيانات الحساسة، هدد برنامج الفدية WannaCry بمسح الملفات إذا لم يرسل الضحايا المدفوعات في غضون سبعة أيام. ولا يزال هذا الهجوم أحد أكبر هجمات برامج الفدية الخبيثة حتى الآن، حيث تُقدَّر تكاليفه بنحو 4 مليارات دولار أمريكي.

على عكس برامج الفدية المشفرة الأخرى، تقوم برمجية Petya بتشفير جدول نظام الملفات بدلاً من تشفير الملفات الفردية، ما يجعل الكمبيوتر المصاب غير قادر على تشغيل Windows.

وقد استُخدمت نسخة معدّلة بشكل كبير من NotPetya لتنفيذ هجوم إلكتروني واسع النطاق، ضد أوكرانيا بشكل أساسي في عام 2017. كان برنامج NotPetya برنامج مسح بيانات غير قادر على فتح الأنظمة حتى بعد أن يدفع الضحايا.

شاعت هجمات ”Ryuk“ التي ظهرت لأول مرة في عام 2018، وهي هجمات "برمجيات الفدية الخبيثة الكبيرة" ضد أهداف محددة عالية القيمة، حيث بلغ متوسط طلبات الفدية أكثر من مليون دولار أمريكي. يمكن لبرنامج Ryuk تحديد ملفات النسخ الاحتياطي وميزات استعادة النظام وتعطيلها. ظهرت سلالة جديدة بقدرات برامج cryptoworm في عام 2021.

DarkSide، الذي تديره مجموعة يُشتبه في أنها تعمل من روسيا، هو شكل برمجيات الفدية الذي هاجم خط أنابيب كولونيال في 7 مايو 2021 فيما يعتبره الكثيرون أسوأ هجوم إلكتروني على البنية التحتية الحيوية في الولايات المتحدة حتى الآن، أغلقت DarkSide خط الأنابيب الذي يزود 45% من وقود الساحل الشرقي مؤقتًا.

وإلى جانب شن الهجمات المباشرة، تقوم مجموعة DarkSide أيضًا بترخيص برامج الفدية الخبيثة للشركات التابعة لها من خلال ترتيبات برامج الفدية كخدمة.

Locky هو برنامج فدية مشفر ذو طريقة مميزة للإصابة - فهو يستخدم وحدات الماكرو المخفية في مرفقات البريد الإلكتروني (ملفات Microsoft Word) متخفية في شكل فواتير شرعية. وعندما يقوم المستخدم بتنزيل مستند Microsoft Word وفتحه، تقوم وحدات الماكرو الضارة بتنزيل حمولة برامج الفدية سرًا على جهاز المستخدم.

ساعدت برمجية REvil، المعروفة أيضًا باسم Sodin أو Sodinokibi، في نشر نهج برامج الفدية كخدمة لتوزيع برامج الفدية الخبيثة.

اشتهرت REvil باستخدامها في صيد الطرائد الكبيرة وهجمات الابتزاز المزدوج، وكانت وراء هجمات 2021 ضد JBS USA وKaseya Limited. دفعت JBS فدية قدرها 11 مليون دولار بعد أن عطل المهاجمون عملية معالجة لحوم البقر الأمريكية بالكامل. وأثرت فترة التعطل الكبيرة على أكثر من 1,000 من عملاء برامج Kaseya.

أفاد جهاز الأمن الفيدرالي الروسي أنه فكك REvil واتهم العديد من أعضائه في مطلع عام 2022.

رُصدت عصابة Conti لأول مرة في عام 2020، حيث كانت عصابة Conti تدير مخططًا واسع النطاق لبرامج الفدية كخدمة تدفع فيه أجورًا منتظمة للمهاجمين مقابل استخدام برامج الفدية. استخدمت Conti شكلاً فريدًا من أشكال الابتزاز المزدوج حيث هددت العصابة ببيع الوصول إلى شبكة الضحية إلى مهاجمين آخرين إذا لم تدفع الضحية.

تم حل Conti بعد تسريب سجلات المحادثة الداخلية للعصابة في عام 2022، لكن العديد من الأعضاء السابقين ما زالوا نشطين في عالم الجرائم الإلكترونية. وفقًا لمؤشر X-Force Threat Intelligence Index، تم ربط شركاء Conti السابقين ببعض أكثر أنواع برامج الفدية انتشارًا اليوم، بما في ذلك BlackBasta وRoyal وZeon. 

ُعد LockBit أحد أكثر متغيرات برامج الفدية شيوعًا في عام 2023 وفقًا لمؤشر X-Force Threat Intelligence Index، و يتميز بالسلوك التجاري لمطوريه. من المعروف أن مجموعة LockBit تكتسب سلالات أخرى من البرامج الضارة بنفس الطريقة التي تستحوذ بها الشركات المشروعة على شركات أخرى.

بينما استولت سلطات إنفاذ القانون على بعض مواقع LockBit في فبراير 2024 وفرضت الحكومة الأمريكية عقوبات على أحد كبار قادة العصابة، تواصل LockBit مهاجمة الضحايا. 

تختلف طلبات الفدية على نطاق واسع، ويختار العديد من الضحايا عدم الإفصاح عن المبلغ الذي دفعوه، لذا من الصعب تحديد متوسط مبلغ دفع الفدية. ومع ذلك، فإن معظم التقديرات تشير إلى أن المبلغ يتراوح بين ستة أرقام وسبعة أرقام. وقد طالب المهاجمون بدفع فدية تصل إلى 80 مليون دولار أمريكي وفقًا لدليل IBM النهائي لبرامج الفدية.

الأهم من ذلك أن نسبة الضحايا الذين يدفعون أي فدية على الإطلاق قد انخفضت بشكل حاد في السنوات الأخيرة. ووفقًا لشركة Coveware للاستجابة لحوادث الابتزاز الإلكتروني، فإن 37% فقط من الضحايا دفعوا فدية في عام 2023، مقارنة بنسبة 70% في عام 2020.¹

يشير الخبراء إلى تعزيز التجهيزات للجرائم الإلكترونية - بما في ذلك زيادة الاستثمار في النسخ الاحتياطية للبيانات وخطط الاستجابة للحوادث وتقنيات منع التهديدات واكتشافها - كمحرك محتمل وراء هذا الانعكاس.

وافقت وكالات إنفاذ القانون الفيدرالية الأمريكية بالإجماع على منع ضحايا برامج الفدية من دفع طلبات الفدية. وفقًا لفريق العمل الوطني للتحقيق الإلكتروني المشترك (NCIJTF)، وهو تحالف مكون من 20 وكالة فيدرالية أمريكية شريكة مُكلفة بالتحقيقات في التهديدات الإلكترونية:

"مكتب التحقيقات الفيدرالي لا يشجع على دفع فدية للجهات الإجرامية. فقد يشجع دفع الفدية الخصوم على استهداف مؤسسات إضافية، وتشجيع الجهات الإجرامية الأخرى على الانخراط في توزيع برامج الفدية و/ أو تمويل الأنشطة غير المشروعة. كما أن دفع الفدية لا يضمن استرداد ملفات الضحية".

توصي وكالات إنفاذ القانون بأن يبلغ ضحايا برامج الفدية عن الهجمات إلى السلطات المختصة، مثل مركز شكاوى جرائم الإنترنت (IC3) التابع لمكتب التحقيقات الفيدرالي، قبل دفع الفدية.

بعض ضحايا هجمات برامج الفدية ملزمون قانونًا بالإبلاغ عن إصابات برامج الفدية بغض النظر عما إذا كانوا يدفعون فدية أم لا. على سبيل المثال، يتطلب الامتثال لقانون نقل التأمين الصحي والمساءلة (HIPAA) عمومًا من كيانات الرعاية الصحية الإبلاغ عن أي اختراق أمني للبيانات، بما في ذلك هجمات برامج الفدية، إلى وزارة الصحة والخدمات الإنسانية.

في ظل ظروف معينة، قد يكون دفع الفدية أمرًا غير قانوني.

صرح مكتب مراقبة الأصول الأجنبية الأمريكي (OFAC) أن دفع فدية للمهاجمين من البلدان الخاضعة للعقوبات الاقتصادية الأمريكية - مثل كوريا الشمالية أو إيران - ينتهك اللوائح التنظيمية لمكتب مراقبة الأصول الأجنبية. ويمكن أن يواجه المنتهكون عقوبات مدنية أو غرامات أو تهم جنائية.

جعلت بعض الولايات الأمريكية، مثل فلوريدا ونورث كارولينا، دفع الفدية أمرًا غير قانوني بالنسبة إلى الهيئات الحكومية في الولاية.

يوصي خبراء الأمن الإلكتروني والوكالات الفيدرالية مثل وكالة الأمن الإلكتروني وأمن البنية التحتية (CISA) والخدمة السرية الأمريكية بأن تتخذ المؤسسات تدابير احترازية للدفاع ضد تهديدات برامج الفدية. يمكن أن تشمل هذه التدابير ما يلي:

• الاحتفاظ بنسخ احتياطية للبيانات الحساسة وصور النظام، ويُفضّل أن يكون ذلك على محركات أقراص صلبة أو أجهزة أخرى يمكن لفريق تقنية المعلومات فصلها عن الشبكة في حال وقوع هجوم برامج الفدية.
  
  
• تطبيق التصحيحات بانتظام للمساعدة على صد هجمات برامج الفدية الخبيثة التي تستغل الثغرات في البرامج وأنظمة التشغيل.
  
  
• يمكن لأدوات الأمن الإلكتروني مثل برامج مكافحة البرامج الضارة وأدوات مراقبة الشبكة ومنصات اكتشاف نقاط النهاية والاستجابة (EDR) ومعلومات الأمان وأنظمة إدارة الأحداث (SIEM) مساعدة فرق الأمان على التصدي لبرامج الفدية في الوقت الفعلي.
  
  
• يمكن أن يساعد تدريب الموظفين على الأمن الإلكتروني المستخدمين على التعرف على التصيد الاحتيالي والهندسة الاجتماعية والتكتيكات الأخرى التي يمكن أن تؤدي إلى الإصابة ببرامج الفدية وتجنبها.
  
  
• يمكن أن يؤدي تنفيذ سياسات التحكم في الوصول بما في ذلك المصادقة متعددة العوامل وتجزئة الشبكة والتدابير المماثلة إلى منع برامج الفدية من الوصول إلى البيانات الحساسة. ويمكن لضوابط إدارة الهوية والوصول (IAM) أيضًا منع الديدان المشفرة من الانتشار إلى الأجهزة الأخرى على الشبكة.
  
  
• تمكّن خطط الاستجابة الرسمية للحوادث فرق الأمن من التصدي للاختراقات ومعالجتها في وقت أقل. كشف تقرير تكلفة اختراق أمن البيانات أن المؤسسات التي لديها خطط رسمية وفرق مخصصة للاستجابة للحوادث تحدد الاختراقات بشكل أسرع بمقدار 54 يومًا من المؤسسات التي ليس لديها أي منهما. هذا الوقت الأسرع في الكشف يؤدي إلى خفض تكاليف المعالجة، مما يوفر للمنظمات في متوسط حوالي مليون دولار أمريكي.

رغم أن أدوات فك التشفير لبعض متغيرات برامج الفدية متاحة للعامة من خلال مشاريع مثل No More Ransomware^2، إلا أن معالجة فيروسات برامج الفدية النشطة تتطلب غالبًا نهجًا متعدد الأوجه. 

راجع دليل IBM Security النهائي إلى برامج الفدية الضارة للاطلاع على مثال لخطة الاستجابة لحوادث برامج الفدية المصممة على غرار دورة حياة الاستجابة للحوادث الخاصة بالمعهد الوطني للمعايير والتكنولوجيا (NIST). 

1989: أول برامج الفدية الخبيثة الموثقة والمعروفة باسم هجوم "AIDS Trojan" أو "P.C. Cyborg"، والتي يتم توزيعها من خلال الأقراص المرنة. فيخفي أدلة الملفات على كمبيوتر الضحية ويطلب 189 دولارًا أمريكيًا لإظهارها. نظرًا لأن هذه البرامج الضارة تعمل عن طريق تشفير أسماء الملفات بدلاً من الملفات نفسها، فمن السهل على المستخدمين رد الضرر من دون دفع فدية.

1996: في أثناء تحليلهما لهجمات AIDS Trojan، حذّر عالما الحاسوب آدم ل. يونغ وموتي يونغ من أشكال مستقبلية من البرامج الخبيثة التي يمكن أن تستخدم تشفيرًا أكثر تطورًا للاحتفاظ بالبيانات الحساسة كرهينة.

2005: بعد عدد قليل نسبيًا من هجمات برامج الفدية الخبيثة خلال مطلع العقد الأول من القرن الحادي والعشرين، بدأت موجة من الإصابات تتركز في روسيا وأوروبا الشرقية. ظهرت الأشكال الأولى لاستخدام التشفير غير المتماثل. نظرًا لأن برامج الفدية الجديدة توفر طرقًا أكثر فاعلية لابتزاز الأموال، يبدأ المزيد من المجرمين الإلكترونيين في نشر برامج الفدية الضارة في جميع أنحاء العالم.

2009: إدخال العملة المشفرة، وخاصة البيتكوين، ما منح المجرمين الإلكترونيين طريقة لتلقي مدفوعات الفدية التي لا يمكن تعقبها، ما يؤدي إلى الزيادة التالية في نشاط برامج الفدية الضارة.

2013: بدأ العصر الحديث لبرامج الفدية الضارة مع برمجية CryptoLocker التي افتتحت الموجة الحالية من هجمات الفدية الضارة المتطورة للغاية القائمة على التشفير والتي تطلب الدفع بالعملة المشفرة.

2015: طرح شكل برامج الفدية الضارة Tox Ransomware نموذج برامج الفدية كخدمة (RaaS).

2017: ظهرت WannaCry، أول دودة مشفرة ذاتية الانتشار تستخدم على نطاق واسع.

2018: برمجيات الفدية Ryuk تُشهر مفهوم "صيد الأهداف الكبرى" في هجمات الفدية.

2019: أصبحت هجمات برامج الفدية الخبيثة المزدوجة والثلاثية أكثر شيوعًا.لوحظ أن كل حادث من حوادث برامج الفدية الضارة التي استجاب لها فريق الاستجابة لحوادث الفدية التابع لشركة IBM Security® X-Force® منذ عام 2019 تضمن ابتزازًا مزدوجًا.

2022: اختطاف السلاسل - حيث يقحم المجرمين الإلكترونيون أنفسهم في المحادثات المشروعة عبر الإنترنت لأهداف نشر البرامج الخبيثة - يظهر كناقل بارز لبرامج الفدية الضارة.

2023: نظرًا لتحسن الدفاعات ضد برامج الفدية الخبيثة، بدأت العديد من عصابات برامج الفدية الخبيثة في توسيع ترساناتها واستكمال برامج الفدية الخبيثة بأساليب ابتزاز جديدة. وعلى وجه الخصوص، تبدأ عصابات مثل LockBit وبعض بقايا Conti في استخدام البرامج الضارة لسرقة المعلومات التي تسمح لهم بسرقة البيانات الحساسة واحتجازها كرهينة من دون الحاجة إلى إغلاق أنظمة الضحايا.