ما المقصود ببرامج الفدية كخدمة (RaaS)؟

تُعَد ترتيبات برامج الفدية كخدمة شائعة لدى المجرمين الإلكترونيين. لا تزال برامج الفدية الضارة تشكِّل تهديدًا شائعًا، حيث تتسبَّب في 20% من إجمالي حوادث الجرائم الإلكترونية وفقًا لمؤشر IBM X-Force Threat Intelligence Index. انتشرت العديد من أكثر سلالات برامج الفدية شهرة وتدميرًا -مثل LockBit وBlackBasta- من خلال مبيعات برامج الفدية كخدمة.

من السهل فهم انتشار نموذج برامج الفدية كخدمة. فمن خلال الاستعانة بمقدمي خدمات برامج الفدية كخدمة، يصبح بإمكان القراصنة المحتملين الدخول إلى عالم الجرائم الإلكترونية بسرعة وسهولة أكبر. حتى الجهات المهدِّدة التي تمتلك خبرة تقنية محدودة يمكنها الآن شن هجمات إلكترونية.

تعود برامج الفدية كخدمة بالنفع المتبادل على جميع الأطراف. حيث يمكن للقراصنة الاستفادة من الابتزاز دون الحاجة إلى تطوير البرامج الضارة الخاصة بهم. في الوقت نفسه، يمكن لمطوري برامج الفدية زيادة أرباحهم دون عناء مهاجمة الشبكات بأنفسهم، والاستفادة من ضحايا ربما لم يكونوا ليصلوا إليهم بطرقهم الخاصة.

تعمل برامج الفدية كخدمة بالطريقة نفسها التي تعمل بها نماذج الأعمال الشرعية للبرمجيات كخدمة (SaaS). يتولى مطورو برامج الفدية، الذين يُطلق عليهم أيضًا مشغلو RaaS أو مجموعات RaaS، مهمة تطوير وصيانة أدوات وبرامج الفدية والبنية التحتية اللازمة لذلك. حيث يقومون بتجميع أدواتهم وخدماتهم في مجموعات RaaS التي يبيعونها للمتسللين الآخرين، والمعروفين باسم شركاء RaaS.

يَستخدِم معظم مشغِّلي RaaS أحد نماذج الإيرادات هذه لبيع مجموعاتهم:

• الاشتراك الشهري
• رسوم لمرّة واحدة
• البرامج التابعة
• تقاسم الأرباح

يدفع الشركاء لبرامج الفدية كخدمة (RaaS) رسومًا متكررة—أحيانًا تصل إلى 40 دولارًا أمريكيًا شهريًا— مقابل الوصول إلى أدوات برامج الفدية.

يدفع الشركاء رسومًا لمرّة واحدة لشراء رمز برنامج الفدية مباشرةً.

يدفع الشركاء رسومًا شهرية ويشاركون نسبة صغيرة من أي مدفوعات فدية يحصلون عليها مع المشغِّلين.

لا يفرض المشغِّلون أي رسوم مقدمة، لكنهم يأخذون حصة كبيرة من كل فدية يحصل عليها الشريك، غالبًا ما تتراوح بين 30% و40%.

تُعلن مجموعات لبرامج الفدية كخدمة (RaaS) في منتديات الشبكة الخفية عبر النظام البنائي السري بأكمله، ويقوم بعض مشغلي برامج الفدية بتجنيد شركات تابعة جديدة بنشاط، وضخ ملايين الدولارات الأمريكية في حملات التوظيف على الشبكة الخفية.

بمجرد شراء مجموعة RaaS، يحصل الشركاء على أكثر من مجرد برامج ضارة ومفاتيح فك التشفير. وغالبًا ما يحصلون على مستوى من الخدمة والدعم على قدم المساواة مع بائعي البرمجيات كخدمة القانونيين. يقدِّم بعض مشغِّلي RaaS الأكثر تطورًا ميزات مثل:

• الدعم الفني المستمر.
• الوصول إلى المنتديات الخاصة حيث يمكن للقراصنة تبادل النصائح والمعلومات.
• بوابات معالجة الدفع؛ لأن معظم مدفوعات الفدية تُطلب بعملات مشفرة غير قابلة للتتبُّع مثل بيتكوين.
• أدوات ودعم لكتابة ملاحظات الفدية المخصصة أو التفاوض حول مطالب الفدية.

يمكن أن يكون لجميع هجمات برامج الفدية عواقب وخيمة. وفقًا لتقرير تكلفة خرق البيانات الصادر عن IBM، يصل متوسط تكلفة انتهاك بيانات الفدية إلى 4.91 ملايين دولار أمريكي للضحايا. لكن الهجمات من شركاء RaaS تشكِّل تحديات إضافية لمحترفي الأمن الإلكتروني، بما في ذلك:

• الإسناد المبهم لهجمات الفدية الضارة
• تخصص المجرمين الإلكترونيين
• زيادة مرونة تهديدات برامج الفدية الضارة
• ظهور أساليب جديدة للضغط

في نموذج RaaS، قد لا يكون الأشخاص الذين ينفذون الهجمات الإلكترونية هم الأشخاص أنفسهم الذين طوروا البرامج الضارة المستخدمة. علاوةً على ذلك، قد تستخدم مجموعات قرصنة مختلفة برامج الفدية نفسها. قد لا يتمكن متخصصو الأمن السيبراني من ربط الهجمات بشكل قاطع إلى أي مجموعة أو مجموعات محددة، مما يجعل من الصعب تحديد هوية مشغلي ومنتسبي برامج الفدية كخدمة (RaaS) والإمساك بهم.

على غرار الاقتصاد المشروع، أدى اقتصاد الجرائم الإلكترونية إلى تقسيم العمل. يمكن الآن لمرتكبي الهجمات التخصص وتحسين مهاراتهم. ويمكن للمطورين التركيز على كتابة برامج ضارة قوية بشكل متزايد، ويمكن للشركاء التركيز على تطوير أساليب هجوم أكثر فاعلية.

وهناك فئة ثالثة من المجرمين الإلكترونيين تُسمَّى "وسطاء الوصول"، وهي متخصصة في التسلل إلى الشبكات وبيع نقاط الوصول للمهاجمين. يتيح التخصص للمخترقين التحرك بشكل أسرع وتنفيذ المزيد من الهجمات. ووفقًا لمؤشر X-Force Threat Intelligence Index، انخفض متوسط الوقت اللازم للتحضير وبدء هجوم برامج الفدية من أكثر من 60 يومًا في عام 2019 إلى 3.84 أيام في الوقت الحالي.

يُتيح نموذج برامج الفدية كخدمة للمشغِّلين والشركاء تقاسم المخاطر، مما يجعل كلاً منهم أكثر مرونة. إن القبض على الشركاء لا يؤدي إلى إيقاف المشغلين، ويمكن للشركاء التحول إلى مجموعة برامج فدية أخرى إذا تم القبض على أحد المشغلين. من المعروف أيضًا أن المخترقين يعيدون تنظيم أنشطتهم وإعادة تسميتها للتهرُّب من السلطات.

على سبيل المثال، بعد أن فرضت وزارة الخزانة الأمريكية (OFAC) عقوبات على عصابة Evil Corp، توقَّف الضحايا عن دفع الفدية لتجنُّب العقوبات من OFAC. ردًا على ذلك، غيرت Evil Corp اسم برامج الفدية الخاصة بها للحفاظ على المدفوعات القادمة.

لقد وجد المجرمون الإلكترونيون الذين يستخدمون هجمات برامج الفدية كخدمة (RaaS) أنهم يمكنهم غالبًا المطالبة بمدفوعات فدية أعلى وأسرع إذا لم يقوموا بتشفير بيانات الضحية. يمكن أن تؤدي الخطوة الإضافية لاستعادة الأنظمة إلى إبطاء المدفوعات. بالإضافة إلى ذلك، قامت المزيد من المؤسسات بتحسين استراتيجيات النسخ الاحتياطي والاسترداد الخاصة بها، ما يجعل التشفير أقل ضررًا لها.

بدلًا من ذلك، يهاجم المجرمون الإلكترونيون المؤسسات التي تمتلك مخازن كبيرة من المعلومات الشخصية الحساسة (PII) -مثل مقدمي الرعاية الصحية- ويهددون بتسريب تلك المعلومات الحساسة. غالبًا ما يدفع الضحايا فدية بدلًا من المعاناة من الإحراج -والتداعيات القانونية المحتملة- للتسرُّب.

قد يكون من الصعب تحديد العصابات المسؤولة عن برامج الفدية أو المشغِّلين الذين بدؤوا الهجوم. ومع ذلك، حدَّد محترفو الأمن الإلكتروني عددًا قليلًا من مشغِّلي RaaS الرئيسيين على مر السنين، ومنهم:

• Tox
• LockBit
• DarkSide
• REvil/Sodinokibi
• Ryuk
• Hive
• Black Basta
• CL0P
• Eldorado

تم التعرُّف على Tox لأول مرّة في عام 2015، ويعتبره الكثيرون أول برنامج فدية كخدمة.

يُعَد LockBit أحد أكثر أنواع RaaS انتشارًا، وفقًا لمؤشر X-Force Threat Intelligence Index. ينتشر LockBit في كثير من الأحيان من خلال رسائل البريد الإلكتروني الاحتيالية . وتجدر الإشارة إلى أن العصابة التي تقف وراء LockBit حاولت تجنيد منتسبين يعملون لدى الضحايا المستهدفين بغرض تسهيل عملية التسلل.

تم استخدام نسخة برنامج الفدية من DarkSide في هجوم عام 2021 على خط أنابيب كولونيال الأمريكي، والذي يُعتبر أسوأ هجوم إلكتروني على البنية التحتية الحيوية في الولايات المتحدة حتى الآن. تم إغلاق DarkSide في عام 2021، لكن مطوريه أطلقوا مجموعة RaaS لاحقة تُسمَّى BlackMatter.

يُعتبر REvil، المعروف أيضًا باسم Sodin أو Sodinokibi، هو المسؤول عن إنتاج برنامج الفدية الذي تم استخدامه في هجمات عام 2021 ضد JBS USA وKaseya Limited. وقد كان له تأثير كبير وانتشار واسع في عالم برامج الفدية كخدمة. أغلق جهاز الأمن الفيدرالي الروسي REvil ووجهت التهم إلى عدة أعضاء رئيسيين فيها في أوائل عام 2022.

قبل إغلاقها في عام 2021، كانت Ryuk واحدة من أكبر مشغِّلي برامج الفدية كخدمة. استمر المطورون الذين يقفون وراء Ryuk في إصدار Conti، وهو نوع رئيسي آخر من RaaS، والذي تم استخدامه في هجوم على حكومة كوستاريكا في عام 2022.

برزت مجموعة Hive في عام 2022 بعد هجوم على خادم Microsoft Exchange. وقد كان شركاء Hive يشكِّلون تهديدًا كبيرًا للشركات المالية ومؤسسات الرعاية الصحية حتى قام مكتب التحقيقات الفيدرالي (FBI) بإيقاف المشغِّل.

ظهرت مجموعة Black Basta كتهديد في عام 2022، وسرعان ما ادَّعت أنها استهدفت أكثر من 100 ضحية في أمريكا الشمالية وأوروبا وآسيا. ومن خلال الهجمات المستهدفة، كان المخترقون يطالبون بابتزاز مزدوج: فك تشفير بيانات الضحية، وأيضًا التهديد بنشر معلومات حساسة للجمهور.

في عام 2023، استغلت مجموعة CL0P ثغرة في تطبيق نقل الملفات MOVEit لكشف معلومات عن ملايين الأفراد.

تم الإعلان عن Eldorado RaaS في أوائل عام 2024 في إعلان على أحد منتديات برامج الفدية. في غضون ثلاثة أشهر، تم بالفعل الاعتداء على 16 ضحية في الولايات المتحدة وأوروبا.¹

على الرغم من أن RaaS قد غيرت مشهد التهديدات، إلا أن العديد من الاستراتيجيات المعروفة لحماية البيانات من برامج الفدية تظل فعَّالة في التصدي لهجمات RaaS.

يفتقر العديد من الأعضاء في نماذج RaaS إلى الخبرة التقنية التي كان يتمتع بها المهاجمون التقليديون في مجال برامج الفدية. وقد يؤدي وضع عدد كافٍ من الحواجز بين المخترقين والأصول الشبكية إلى إحباط بعض هجمات RaaS بالكامل. بعض استراتيجيات الأمن الإلكتروني التي قد تكون مفيدة ما يلي:

• خطط شاملة للاستجابة للحوادث
• أدوات الكشف عن الحالات غير الطبيعية
• تقليل مساحة الهجوم على الشبكة
• التدريب على الأمن الإلكتروني
• تنفيذ ضوابط الوصول
• الحفاظ على نسخ احتياطية من البيانات
• العمل مع جهات إنفاذ القانون

يمكن أن يكون التخطيط للاستجابة للحوادث مفيدًا بشكل خاص لهجمات RaaS. وقد يكون من الصعب تحديد مصدر الهجوم، ما يعني أن فِرَق الاستجابة للحوادث لا يمكنها الاعتماد على استخدام هجمات برامج الفدية للتكتيكات أو الأساليب أو الإجراءات (TTPs) نفسها بشكل دائم.

علاوةً على ذلك، عندما يطرد المستجيبون للحوادث شركاء RaaS، قد يظل وسطاء الوصول نشطين على شبكاتهم. إن صيد التهديدات الاستباقي وإجراء التحقيقات الشاملة في الحوادث يمكن أن يساعد فِرَق الأمن في القضاء على هذه التهديدات المراوغة.

لتحديد هجمات برامج الفدية قيد التنفيذ، يمكن للمؤسسات استخدام أدوات الكشف القائمة على الحالات غير الطبيعية، مثل بعض حلول الكشف والاستجابة لنقاط النهاية (EDR) والكشف والاستجابة للشبكات (NDR). تستخدم هذه الأدوات الأتمتة الذكية ووظائف الذكاء الاصطناعي (AI) والتعلم الآلي (ML)لاكتشاف التهديدات الجديدة والمتقدمة في الوقت الفعلي تقريبًا وتوفير حماية أكبر لنقاط النهاية.

قد يتم الكشف عن هجوم برنامج الفدية في مراحله الأولى من خلال عملية غير عادية لحذف النسخ الاحتياطية أو تشفير البيانات، والتي تبدأ فجأة دون سابق إنذار. وحتى قبل وقوع الهجوم، قد تكون الأحداث غير الطبيعية "علامات إنذار مبكر" لاختراق وشيك يمكن لفريق الأمن منعه.

يمكن للمؤسسات أن تقلِّل من أسطح الهجوم (نقاط الضعف) في شبكتها من خلال إجراء تقييمات دورية للثغرات وتطبيق التصحيحات بشكل منتظم لإغلاق الثغرات التي تُستغَل بشكل شائع.

قد تساعد أدوات الأمان مثل برامج مكافحة الفيروسات وتنسيق الأمان والأتمتة والاستجابة (SOAR) ومعلومات الأمان وإدارة الأحداث (SIEM) والكشف والاستجابة الموسَّعة (XDR) فِرَق الأمان على اعتراض برامج الفدية بشكل أسرع.

وضح للموظفين كيفية التعرف على ناقلات برامج الفدية الشائعة وتجنبها بما في ذلك التصيد الاحتيالي والهندسة الاجتماعية والروابط الضارة.

يمكن أن تساعد المصادقة متعددة العوامل، وبنية الثقة الصفرية وتجزئة الشبكة على منع برامج الفدية الضارة من الوصول إلى البيانات الحساسة.

يمكن للمؤسسات إجراء نسخ احتياطية منتظمة للبيانات الحساسة وصور النظام، ويفضَّل أن يكون ذلك على محركات الأقراص الصلبة أو الأجهزة الأخرى التي يمكن فصلها عن الشبكة.

يمكن للمؤسسات في بعض الأحيان توفير تكلفة ووقت الاحتواء بمساعدة إنفاذ القانون.

تمكَّن الضحايا الذين قاموا بإشراك جهات إنفاذ القانون في حالات هجمات برامج الفدية من تقليل تكلفة انتهاكات البيانات الخاصة بهم بمعدل ما يقرب من مليون دولار أمريكي، باستثناء تكلفة أي فدية تم دفعها، وذلك وفقًا لتقرير تكلفة خرق البيانات الصادر عن IBM. كما ساعد إشراك سلطات إنفاذ القانون على تقليل الوقت اللازم لتحديد عمليات الاختراق واحتوائها من 297 يومًا إلى 281 يومًا.