فريق كاسبرسكي للاستجابة للحوادث: نصف الحوادث الأمنية مرتبطة بطلب الفدية

قالت شركة كاسبرسكي إن ما يقرب من نصف الحوادث الأمنية التي تعامل معها فريق كاسبرسكي العالمي للاستجابة للطوارئ، بين يناير ونوفمبر من العام الجاري، ارتبط بهجمات طلب الفدية. وعادة ما تستدعي الشركات فريق كاسبرسكي العالمي للاستجابة للطوارئ بعد وقوع اختراق أمني، سعيًا منها للحدّ من الأضرار ومنع الهجوم من الانتشار. ويُعرف هذا الإجراء بـ “الاستجابة للحوادث” وهو مخصص للشركات التي يتراوح حجمها بين المتوسط والكبير. 

وأصبحت الهجمات ببرمجيات طلب الفدية حديث العام بلا مُنازع في مجال الأمن الرقمي، بعد أن أدّى بعضها إلى تعطيل إمدادات الغاز والخدمات الصحية الحكومية. وحرصت الجهات التخريبية الواقفة وراء هذا النوع من الهجمات على تحسين ترسانتها من الأدوات التخريبية، مُفضّلة التركيز على شنّ هجمات أقلّ واستهداف جهات أكبر، ويبدو أن ثمّة منظومة سرية متكاملة تدعم جهود هذه العصابات.

وبلغت نسبة الهجمات ببرمجيات طلب الفدية التي عالجها فريق كاسبرسكي للاستجابة للطوارئ من بين جميع طلبات الاستجابة للطوارئ التي تلقاها الفريق منذ مطلع العام 2021 وحتى نوفمبر الماضي، 46.7%. وكانت هذه النسبة بلغت العام الماضي 37.9%، في حين وصلت إلى 34% في 2019.

وكانت أكثر الأهداف شيوعًا في القطاعين الحكومي والصناعي، اللذين كانا وحدهما مسرحًا لنحو 50% من جميع طلبات الاستجابة للحوادث الناجمة عن هجمات طلب الفدية التي تلقاها فريق كاسبرسكي في 2021. وقد شملت الأهداف الشائعة الأخرى المؤسسات المالية وشركات عاملة في مجال تقنية المعلومات.

لكن تحوّل الجهات التخريبية إلى أهداف أكبر وزيادة مطالبها من الفِدى المالية، جعلها تواجه ضغوطًا متزايدة من السياسيين والسُلطات الأمنية، ما دفعها للحرص على رفع كفاءة الهجمات باعتباره أمرًا بالغ الأهمية لنجاحها. ونتيجة لذلك، لاحظ خبراء كاسبرسكي توجهين مهمين من المتوقع أن يحظيا بالرواج في العام 2022. 

فمن المرجّح، أولًا، أن تقوم هذه العصابات بتشييد هيكليات من برمجيات طلب الفدية خاصة باستهداف نظام التشغيل Linux من أجل توسعة نطاق هجومها، وهو ما شوهد من عصابات مثل RansomExx وDarkSide. وعلاوة على ذلك، ستبدأ العصابات العاملة في هذا المجال، ثانيًا، زيادة التركيز على “الابتزاز المالي”، عبر التهديد بتسريب معلومات مهمة عن الشركات تتعلق بتطورات مالية مهمة، كعمليات الاندماج أو الاستحواذ أو خطط طرح الأسهم وما إلى ذلك، ما قد يؤدي إلى انخفاض في أسعار أسهمها، الأمر الذي يدفعها إلى التفكير في سداد الفدية المالية المطلوبة تجنّبًا للخسائر المعنوية والمادية.

وقال فلاديمير كوسكوف رئيس قسم اكتشاف التهديدات لدى كاسبرسكي، إن خبراء الشركة بدأوا الحديث في العام 2020 عمّا أسموه “الطور الثاني” من الهجمات ببرمجيات الفدية (Ransomware 2.0)، لكنه أشار إلى أن العام 2021 شهد “انطلاقة قوية لحقبة جديدة بالكامل من هذا النوع من الهجمات”. وأضاف: “لا يقتصر دور العصابات القائمة خلف هذه الهجمات على تشفير البيانات لدى ضحاياها من الجهات الكبيرة والمهمة، لكنه يمتدّ إلى سرقتها والتهديد بالكشف عن معلومات حرجة إذا لم يدفع الضحايا الفدى المطلوبة، لذلك نرى أن الطور الثاني من الهجمات ببرمجيات الفدية سوف يتوسع في العام المقبل”.

بدوره أشار الخبير الأمني لدى كاسبرسكي فيدور سينيتسين، إلى سعي السلطات الأمنية الحثيث إلى إسقاط العصابات المنخرطة في هجمات طلب الفدية، بعد أن احتلت أخبارها العناوين الرئيسة في وسائل الإعلام العالمية، وهو ما حدث مع DarkSide وREvil هذا العام. وقال: “تتعرض أعمال هذه العصابات للضغوط، ما يدفعها إلى تحسين تكتيكاتها في العام المقبل حفاظًا على إيراداتها، لا سيما وأن بعض الحكومات تجعل دفع الفدى مسألة غير قانونية، وهو ما تجري مناقشته”.

يمكن الاطلاع في Securelist على “قصة العام” في Kaspersky Security Bulletin في العناوين الرئيسية.

ويمكن كذلك التعرف على دورة حياة عصابات برمجيات الفدية عالية المستوى.

ويوصي خبراء كاسبرسكي الشركات باتباع التدابير التالية لحماية أعمالهم من خطر برمجيات الفدية:

• عدم تعريض خدمات سطح المكتب البعيد (مثل RDP) لشبكات الإنترنت العامة ما لم يكن ذلك ضروريًا جدًا، والحرص دائمًا على استخدام كلمات مرور قوية لهذه الخدمات.
• تثبيت التصحيحات المتاحة لحلول VPN التجارية التي تمكّن الموظفين من الوصول إلى الشبكات المؤسسية عن بُعد.
• الحفاظ دائمًا على تحديث البرمجيات على جميع الأجهزة لمنع برمجيات الفدية من استغلال الثغرات الأمنية التي قد توجد فيها.
• تركيز الاستراتيجية الدفاعية على الكشف عن الحركات الجانبية للبيانات ومحاولات تسرّبها إلى الإنترنت، مع تركيز الانتباه على حركة البيانات الصادرة لاكتشاف اتصالات مجرمي الإنترنت. 
• تجهيز نسخ احتياطية من البيانات بانتظام، والحرص على إمكانية الوصول إليها بسرعة في حالات الطوارئ. واستخدام أحدث معلومات التهديدات للبقاء على دراية بأحدث التكتيكات والأساليب والإجراءات التي تستخدمها العصابات التخريبية.
• استخدام حلول مثل Kaspersky Endpoint Detection and Response وخدمة Kaspersky Managed Detection and Response التي تساعد على تحديد الهجوم وإيقافه في مراحله الأولى، قبل وصول المهاجمين إلى أهدافهم.
• الحرص على توعية الموظفين لحماية بيئة الشركة. وتساعد في ذلك الدورات التدريبية المتخصصة، كتلك المتاحة في منصة Kaspersky Automated Security Awareness Platform. ويمكن متابعة درس مجاني حول سُبل الحماية من هجمات برمجيات الفدية.
• استخدام حل أمني موثوق به لحماية النقاط الطرفية، مثل Kaspersky Endpoint Security for Business المدعوم بقدرات منع الاستغلال واكتشاف السلوك والمزوّد بمحرك إصلاح قادر على إبطال الإجراءات التخريبية، كما يتمتع بآليات دفاع ذاتية لمنع مجرمي الإنترنت من إزالته.