لقد برزت برامج الفدية كخدمة (RaaS) كنموذج أعمال يغير قواعد اللعبة، حيث يجمع المخترقون بين قدرات البرمجيات التقليدية وإمكانية الوصول إلى الخدمات السحابية. لقد ساعدتهم هذه الحركة على تحويل الابتزاز الرقمي المتطور إلى اقتصاد قائم على الاشتراك متاح لأي شخص لديه نوايا خبيثة تقريبًا.
على مر التاريخ، كانت هجمات الفدية تنفذ بصورة أساسية من قِبل عناصر التهديد ذوي المهارات التقنية الذين يطورون برامجهم الضارة بأنفسهم، ويوزعونها باستخدام التصيد الاحتيالي أو أدوات الاستغلال، ويتفاوضون مباشرة مع الضحية. ولكن في هذا النموذج التقليدي، كانت هناك قيود، مثل قابلية التوسع المحدودة، والتعرض للمخاطر، والحاجة إلى مجموعة واسعة من المهارات.
ثم أصبحت برامج الفدية كخدمة (RaaS) جزءًا من المشهد. في هذا النموذج، يقوم مطورو برامج الفدية بإنشاء أدوات فائقة الإمكانات للبرنامج الضار ويؤجرونها لعملائهم أو شركائهم الذين ينفذون الهجمات الفعلية. يحصل المطورون على 20% إلى 40% من الأرباح، بينما يحصل الشركاء على الحصة المتبقية.
وقد أدى ذلك إلى تسهيل الوصول إلى الجرائم الإلكترونية، ما يمكن الأشخاص ذوي المهارات المحدودة من تنفيذ هجمات قوية باستخدام أدوات متقدمة.
تُعدّ برامج الفدية كخدمة (RaaS) نموذج أعمال للجرائم الإلكترونية حيث يعمل مخترقون محترفون يُطلق عليهم اسم المطورين بإنشاء أدوات فدية جاهزة وبيعها إلى الشركاء (مجرمين آخرين) الذين يستخدمونها لتنفيذ الهجمات. هناك مراحل متعددة كما هو موضح أدناه.
يقوم المطور أو المشغل بتصميم حمولة برامج الفدية الضارة. تتضمن الميزات عادةً ما يلي:
حتى إن بعض العائلات المتطورة تشتمل على أهداف معيارية، مثل الانتشار الشبيه بالديدان، والتهرب من آلية تحديد الوصول، والتشفير متعدد الخيوط.
بمجرد إنشاء البرنامج الضار، يُضغط ويوفر عبر أسواق الدارك نت أو المنتديات الخاصة. تشبه هذه المنصات مواقع البرمجيات كخدمة (SaaS) المشروعة، وتتضمن الميزات التالية:
بعض مجموعات برامج الفدية كخدمة (RaaS) لديها حتى بوابات خدمة عملاء لمساعدة الشركاء على استكشاف أخطاء النشر وإصلاحها.
وفقًا لموقع Crowdstrike، يتم الإعلان عن مجموعات برامج الفدية كخدمة (RaaS) في أسواق الشبكة الخفية وتشمل دعمًا على مدار الساعة، وعروضًا مجمعة، وتقييمات، ومنتديات وميزات أخرى مماثلة لتلك التي يقدمها مزودو البرمجيات كخدمة (SaaS) الشرعيون.
عادةً ما يكون الشركاء مجرمين إلكترونيين آخرين ليسوا موهوبين مثل مطوري برامج الفدية، ولكن هؤلاء المجرمين يمكنهم نشر برامج الفدية من خلال وصولهم إلى الشبكات الحقيقية.
في عمليات برامج الفدية كخدمة (RaaS) الكبيرة، عادةً ما يتم التعامل مع التوظيف من قبل مديري الشركات التابعة أو مسؤولي التوظيف. يعمل شخص مخصص أو فريق صغير على العثور على الشركاء ويقيمهم ويضمهم إلى الفريق. في العمليات الصغيرة أو التي تم إطلاقها حديثًا في مجال عمليات برامج الفدية كخدمة (RaaS)، عادةً ما يتولى المطور أو المشغل نفسه عملية التوظيف.
وغالبًا ما يحدث التوظيف عن طريق مصادر متعددة، بما في ذلك منصات المراسلة الخاصة مثل Telegram أو Jabber، أو منتديات الشبكة الخفية، أو الدعوات للانضمام إلى مجموعات خاصة.
ويمكن للمطورين تقييم الشركاء بعناية قبل السماح لهم بالانضمام إلى المجموعة. في المقابل، يمكن للشركاء الوصول إلى برامج الفدية والوثائق والأدوات. في بعض الأحيان يستهدفون التوظيف القائم على السمعة. في حالات نادرة، قد يستخدم المهاجمون إعلانات وظائف مزيفة في مجال تكنولوجيا المعلومات أو منصات العمل الحر لتوظيف أشخاص من دون علمهم أو لاختبار مهاراتهم.
يتولى الشركاء توزيع برامج الفدية الضارة باستخدام مصادر متعددة، من ضمنها:
في بعض الحالات، ينشر الشركاء أيضًا تقنيات الابتزاز المزدوج حيث يسرقون البيانات أولاً قبل تشفيرها، ثم يهددون بنشرها إذا لم تدفع الضحية الفدية.
بمجرد تشفير الأنظمة، تعرض برامج الفدية الضارة رسالة تحتوي على تعليمات الدفع. عادةً ما يطلب هؤلاء المجرمون عملة مشفرة مثل البيتكوين. ويقدمون خطوات مفصلة، بما في ذلك كيفية استخدام Tor ومحافظ التشفير في مذكرة الفدية نفسها.
يحصل الضحية على روابط إلى بوابات التفاوض. تُستضاف هذه البوابات عادةً على موقع TOR. تعمل بعض مجموعات برامج الفدية كخدمة (RaaS) على أتمتة هذه المحادثات باستخدام روبوت المحادثة، بينما تقدم بعض المجموعات مشغلين بشريين من أجل التفاوض على الأسعار.
تقسم هذه المجموعات مسؤولياتها بوضوح. يتحمل الشركاء مسؤولية نشر برامج الفدية، وتسليم مذكرة الفدية، وإقامة الاتصالات الأولية، وإدارة المفاوضات. يوفر المطور الأساسي أو فريق المطورين الأساسيين الواجهة الخلفية من خلال استضافة البوابات والتحقق من المدفوعات وتوزيع مفاتيح فك التشفير.
عندما تحقق هذه المجموعات أي نجاح في ابتزاز الأموال من الضحية، فإنها تقسم الأموال وفقًا لاتفاقها. يذهب المبلغ المتفق عليه إلى المطور ويحتفظ الشركاء بالمبلغ المتبقي.
هناك العديد من النماذج التي تعمل بموجبها برامج الفدية كخدمة (RaaS). وهي تشمل ما يلي:
بعض من أشهر عصابات برامج الفدية التي تعمل وفقًا لنموذج RaaS:
لتجنب مخاطر برامج الفدية كخدمة (RaaS)، يجب على الشركات اختيار إستراتيجية دفاع متعددة الطبقات، بما في ذلك:
لقد نجحت برامج الفدية كخدمة في تسهيل الدخول إلى عالم الجرائم الإلكترونية، ما مكّن حتى المهاجمين ذوي المهارات المنخفضة من إطلاق حملات مدمرة. من خلال العمليات المنظمة جيدًا والشبكات التابعة ونماذج تقاسم الأرباح، تستمر برامج الفدية كخدمة (RaaS) في التطور بسرعة كبيرة.
لمواجهة هذا التهديد، يجب على المؤسسات تبني إستراتيجية دفاعية متعددة الطبقات تتضمن تعليم المستخدم، والنسخ الاحتياطي المنتظم، واستخدام اكتشاف نقاط النهاية والاستجابة لها، والكشف والاستجابة الموسعة واستعلامات التهديدات، والاستجابة السريعة للحوادث.
