Trace Id is missing
تخطي إلى المحتوى الرئيسي
Security Insider

الابتزاز الاقتصادي

صورة لمتاهة بيضاء بها دوائر ونقاط ملونة

المشكلة 2 لـ Cyber Signals: نماذج الأعمال الجديدة لبرامج الفدية الضارة

بالرغم من أن برامج الفدية الضارة لا تزال موضوعًا يحتل العناوين الرئيسية، إلا أن هناك في النهاية نظامًا بنائيًا صغيرًا نسبيًا ومتصلًا من المشغلين الذين يقودون القطاع الاقتصادي للجرائم الإلكترونية. أدى تخصيص ودمج تكاليف الجرائم الإلكترونية إلى دفع خدمات برامج الفدية الضارة (RaaS) لتصبح نموذج أعمال مهيمنًا، مما يمكّن مجموعة واسعة من المجرمين، بغض النظر عن خبرتهم التقنية، من نشر برامج الفدية الضارة.
Over 80 percent of ransomware attacks can be traced to common configuration errors in software and devices.1

شاهد موجز Cyber Signals الرقمي حيث تُجري فاسو جاكال، نائبة الرئيس التنفيذي للأمان من Microsoft، مقابلات مع كبار خبراء التحليل الذكي للمخاطر حول تكاليف برامج الفدية الضارة وكيف يمكن للمؤسسات المساعدة في حماية نفسها.

موجز إلكتروني: حماية نفسك من ابتزاز برامج الفدية الضارة

يقدم نموذج العمل الجديد نتائج تحليلات جديدة للمدافعين

مثلما اتجهت العديد من المجالات نحو العاملين المستقلين لتحقيق الكفاءة، يقوم مجرمو الإنترنت بتأجير أو بيع أدوات برامج الفدية الضارة الخاصة بهم مقابل جزء من الأرباح، بدلًا من تنفيذ الهجمات بأنفسهم.

تسمح خدمات برامج الفدية الضارة لمجرمي الإنترنت بشراء حق الوصول إلى حمولات برامج الفدية الضارة وتسريب البيانات بالإضافة إلى البنية الأساسية للدفع. "عصابات" برامج الفدية الضارة هي في الواقع عبارة عن خدمات برامج الفدية الضارة (RaaS) مثل Conti أو REvil، يستخدمها العديد من المستخدمين المختلفين الذين يقومون بالتبديل بين خدمات برامج الفدية الضارة (RaaS) وحمولات برامج الفدية الضارة.

تعمل خدمات برامج الفدية الضارة (RaaS) على تقليل معوقات الدخول وتحجب هوية المهاجمين الذين يستخدمون برامج الفدية الضارة. تحتوي بعض البرامج على أكثر من 50 "مُستخدم"، حيث يشيرون إلى مستخدمي خدمتهم، بوسائل وتقنيات تجسس وأهداف مختلفة. مثلما يمكن لأي شخص لديه سيارة أن يقود سيارته للحصول على خدمات النقل الخاصة، فإن أي شخص لديه جهاز كمبيوتر محمول وبطاقة ائتمان يرغب في البحث في الويب المظلم عن أدوات اختبار الاختراق أو البرامج الضارة غير التقليدية يمكنه الانضمام إلى هذا المجتمع.

أدى مجال الجرائم الإلكترونية إلى إنشاء أدوار متخصصة، مثل وسطاء الوصول الذين يبيعون الوصول إلى الشبكات. غالبًا ما يتضمن الحل الوسط الواحد العديد من مجرمي الإنترنت في مراحل مختلفة من الاختراق.

من السهل العثور على مجموعات خدمات برامج الفدية الضارة (RaaS) على الويب المظلم ويتم الإعلان عنها بنفس الطريقة التي يتم بها الإعلان عن البضائع عبر الإنترنت.

قد تتضمن مجموعة خدمات برامج الفدية الضارة (RaaS) دعم خدمة العملاء والعروض المجمعة وتقييمات المستخدمين والمنتديات وميزات أخرى. يمكن لمجرمي الإنترنت دفع سعر محدد لمجموعة خدمات برامج الفدية الضارة (RaaS) بينما تحصل المجموعات الأخرى التي تبيع خدمات برامج الفدية الضارة (RaaS) ضمن النموذج التابع لشركة حليفة على نسبة مئوية من الأرباح.

تتضمن هجمات برامج الفدية الضارة قرارات تعتمد على تكوينات الشبكات وتختلف من ضحية إلى أخرى حتى لو كانت حمولة برامج الفدية الضارة هي نفسها. تبلغ برامج الفدية الضارة ذروتها في هجوم يمكن أن يشمل نقل غير مصرّح به للبيانات وغيرها من التأثيرات الأخرى. ونظرًا للطبيعة المترابطة لتكاليف الجرائم الإلكترونية، فإن الاختراقات التي تبدو غير ذات صلة يمكن أن ترتبط بعضها البعض. يتم التعامل مع برنامج Infostealer الضار الذي يسرق كلمات المرور وملفات تعريف الارتباط بقدر أقل من الخطورة، لكن مجرمي الإنترنت يبيعون كلمات المرور هذه لتمكين القيام بهجمات أخرى.

تتبع هذه الهجمات نموذجًا للوصول الأولي عبر الإصابة بالبرامج الضارة أو استغلال ثغرة أمنية ثم سرقة بيانات الاعتماد لرفع الامتيازات والتحرك جانبيًا. يسمح هذا المجال بتنفيذ هجمات برامج الفدية الضارة العديدة والمؤثرة من قبل المهاجمين دون وجود تعقيدات أو مهارات متقدمة. منذ إيقاف تشغيل Conti، لاحظنا حدوث تحولات في طبيعة برامج الفدية الضارة. انتقلت بعض الشركات التابعة التي كانت تنشر Conti إلى استخدام حمولات من الأنظمة البيئية القائمة لخدمات برامج الفدية الضارة (RaaS) مثل LockBit وHive، بينما قامت شركات أخرى في نفس الوقت بنشر حمولات من الأنظمة البيئية المتعددة لخدمات برامج الفدية الضارة (RaaS).

تعمل خدمات برامج الفدية الضارة الجديدة (RaaS) مثل Quantum Locker وBlack Basta على سد الفجوة التي نتجت عن إغلاق Conti. نظرًا لأن معظم تغطية برامج الفدية الضارة تُركز على الحمولات بدلاً من المُستخدمين، فمن المرجح أن يؤدي التبديل إلى التركيز على الحمولات إلى إرباك الحكومات وجهات إنفاذ القانون ووسائل الإعلام والباحثين الأمنيين والمدافعين بشأن من يقف وراء الهجمات.

قد يبدو إعداد التقارير حول برامج الفدية الضارة بمثابة مشكلة توسيع لا نهاية لها؛ ومع ذلك، فإن الواقع عبارة عن مجموعة محدودة من المُستخدمين الذين يستخدمون مجموعة من التقنيات.

التوصيات:

  • تعزيز سلامة بيانات الاعتماد: يمكنك تطوير تجزئة الشبكة المنطقية بناءً على الامتيازات التي يمكن تنفيذها بالإضافة إلى تجزئة الشبكة للحد من الحركة الجانبية.
  • تدقيق الكشف عن بيانات الاعتماد: يُعد تدقيق الكشف عن بيانات الاعتماد أمرًا بالغ الأهمية في منع هجمات برامج الفدية الضارة والجرائم الإلكترونية بشكل عام. يمكن لفرق أمان تكنولوجيا المعلومات ومراكز عمليات الأمان العمل معًا لتقليل الامتيازات الإدارية وفهم المستوى الذي يتم فيه كشف بيانات الاعتماد الخاصة بهم.
  • تقليل الأجزاء المعرضة للهجوم: يمكنك وضع قواعد حول تقليل الأجزاء المعرضة للهجوم لمنع تقنيات الهجوم الشائعة المُستخدمة في هجمات برامج الفدية الضارة. من خلال الهجمات التي تمت ملاحظتها من قبل العديد من مجموعات الأنشطة المرتبطة ببرامج الفدية الضارة، تمكنت المؤسسات التي لديها قواعد محددة بوضوح من تخفيف الهجمات في مراحلها الأولية مع منع النشاط العملي على لوحة المفاتيح.

يضيف مجرمو الإنترنت الابتزاز المزدوج إلى استراتيجية الهجوم

يتمثل الهدف وراء برامج الفدية الضارة في الابتزاز من أجل الحصول على الأموال من الضحية. تقوم معظم خدمات برامج الفدية الضارة الحالية (RaaS) والمعروفة باسم برامج الابتزاز المزدوج أيضًا بتسريب البيانات المسروقة. نظرًا لأن انقطاع الخدمة يتسبب في حدوث ردود فعل عكسية وزيادة التعطيل الحكومي لمشغلي برامج الفدية الضارة، تتخلى بعض المجموعات عن برامج الفدية الضارة وتستمر في عمليات الابتزاز بشأن البيانات.

مجموعتان تركزان على الابتزاز هما DEV-0537 (وتُعرف أيضًا باسم LAPSUS$) وDEV-0390 (جهة تابعة لبرنامج Conti السابق). تبدأ عمليات اختراق DEV-0390 من خلال البرامج الضارة ولكنها تستخدم أدوات مشروعة لتصفية البيانات والابتزاز من أجل دفع الأموال. إنهم ينشرون أدوات اختبار الاختراق مثل Cobalt Strike وBrute Ratel C4 وأداة الإدارة عن بُعد Atera الرسمية للاستمرار في الوصول إلى الضحية. سيقوم DEV-0390 بتصعيد الامتيازات عن طريق سرقة بيانات الاعتماد، وتحديد موقع البيانات الحساسة (غالبًا على النسخ الاحتياطية للشركات وخوادم الملفات)، وإرسال البيانات إلى موقع مشاركة الملفات السحابية باستخدام أداة النسخ الاحتياطي للملفات.

يستخدم DEV-0537 إستراتيجية ومهارة تجسسية مختلفة تمامًا. يتم الحصول على الوصول الأولي عن طريق شراء بيانات الاعتماد من المنظمات الإجرامية السرية أو من الموظفين في المنظمات المستهدفة.

المشاكل

  • كلمات المرور المسروقة والهويات غير المحمية
    لا يعتمد المهاجمون على البرامج الضارة فقط، بل يحتاجون إلى الوصول إلى بيانات الاعتماد للنجاح في عملياتهم. في جميع عمليات نشر برامج الفدية الضارة الناجحة تقريبًا، يتمكن المهاجمون من الوصول إلى حسابات مميزة على مستوى الإدارة، مما يمنحهم وصولاً واسع النطاق إلى شبكة المؤسسات.
  • منتجات الأمان المسروقة أو المعطلة
    في كل حادثة من حوادث برامج الفدية الضارة التي تمت ملاحظتها تقريبًا، كان نظام واحد على الأقل تم استغلاله في الهجوم يفتقر إلى منتجات أمنية أو تم تكوينه بشكل خاطئ مما سمح للمتسللين بالتلاعب بالبيانات مع أو تعطيل بعض وسائل الحماية.
  • التطبيقات التي تم تكوينها بشكل خاطئ أو تم إساءة استخدامها
    قد تستخدم تطبيقًا شائعًا لغرض واحد، لكن هذا لا يعني أنه لا يمكن للمجرمين الإلكترونين من استخدامه كسلاح لتحقيق هدف آخر. في كثير من الأحيان، تعني التكوينات "القديمة" أن التطبيق في حالته الافتراضية، مما يسمح لأي مستخدم بالوصول على نطاق واسع عبر المؤسسات بأكملها. لا تتجاهل هذه المخاطرة أو تتردد في تغيير إعدادات التطبيق خوفًا من التعطيل.
  • التحديث الجزئي البطيء
    إنها عبارة مبتذلة، مثل "تناول الطعام الصحي!" – ولكنها حقيقة مهمة: أفضل طريقة لتعزيز البرامج هي الحفاظ على تحديثها. في حين أنه يتم تحديث بعض التطبيقات المستندة إلى السحابة دون اتخاذ أي إجراء من جانب المستخدم، يجب على الشركات تطبيق تصحيحات البائعين الآخرين على الفور. في عام 2022، لاحظت Microsoft أن الثغرات الأمنية القديمة لا تزال هي المحرك الأساسي للهجمات.
  • كلمات المرور المسروقة والهويات غير المحمية
    لا يعتمد المهاجمون على البرامج الضارة فقط، بل يحتاجون إلى الوصول إلى بيانات الاعتماد للنجاح في عملياتهم. في جميع عمليات نشر برامج الفدية الضارة الناجحة تقريبًا، يتمكن المهاجمون من الوصول إلى حسابات مميزة على مستوى الإدارة، مما يمنحهم وصولاً واسع النطاق إلى شبكة المؤسسات.
  • منتجات الأمان المسروقة أو المعطلة
    في كل حادثة من حوادث برامج الفدية الضارة التي تمت ملاحظتها تقريبًا، كان نظام واحد على الأقل تم استغلاله في الهجوم يفتقر إلى منتجات أمنية أو تم تكوينه بشكل خاطئ مما سمح للمتسللين بالتلاعب بالبيانات مع أو تعطيل بعض وسائل الحماية.
  • التطبيقات التي تم تكوينها بشكل خاطئ أو تم إساءة استخدامها
    قد تستخدم تطبيقًا شائعًا لغرض واحد، لكن هذا لا يعني أنه لا يمكن للمجرمين الإلكترونين من استخدامه كسلاح لتحقيق هدف آخر. في كثير من الأحيان، تعني التكوينات "القديمة" أن التطبيق في حالته الافتراضية، مما يسمح لأي مستخدم بالوصول على نطاق واسع عبر المؤسسات بأكملها. لا تتجاهل هذه المخاطرة أو تتردد في تغيير إعدادات التطبيق خوفًا من التعطيل.
  • التحديث الجزئي البطيء
    إنها عبارة مبتذلة، مثل "تناول الطعام الصحي!" – ولكنها حقيقة مهمة: أفضل طريقة لتعزيز البرامج هي الحفاظ على تحديثها. في حين أنه يتم تحديث بعض التطبيقات المستندة إلى السحابة دون اتخاذ أي إجراء من جانب المستخدم، يجب على الشركات تطبيق تصحيحات البائعين الآخرين على الفور. في عام 2022، لاحظت Microsoft أن الثغرات الأمنية القديمة لا تزال هي المحرك الأساسي للهجمات.

الإجراءات

  • التحقق من الهويات فرض المصادقة متعددة العوامل (MFA) على جميع الحسابات، وإعطاء الأولوية للمسؤول والأدوار الحساسة الأخرى. مع القوى العاملة المختلطة، اطلب المصادقة متعددة العوامل (MFA) على جميع الأجهزة في جميع المواقع وفي جميع الأوقات. تمكين المصادقة بدون كلمة مرور مثل مفاتيح FIDO أو Microsoft Authenticator للتطبيقات التي تدعمها.
  • معالجة النقاط الأمنية الغامضة
    مثل أجهزة إنذار الدخان، يجب تركيب المنتجات الأمنية في الأماكن الصحيحة واختبارها بشكل دائم. تحقق من أن أدوات الأمان تعمل بتكوينها الأكثر أمانًا، ومن عدم وجود أي جزء من الشبكة غير محمي.
  • حل مشكلة الأمان عبر الإنترنت التي تواجهها الأصول
    فكر في حذف التطبيقات المكررة أو غير المُستخدمة للتخلص من الخدمات المحفوفة بالمخاطر وغير المُستخدمة. انتبه إلى المكان الذي تسمح فيه باستخدام تطبيقات مكتب المساعدة عن بُعد مثل TeamViewer. حيث يتم استهدافها من قبل ممثلي المخاطر للوصول السريع إلى أجهزة الكمبيوتر المحمولة.
  • إبقاء الأنظمة محدثة
    اجعل عملية جرد البرامج عملية مستمرة. تتبع ما تقوم بتشغيله وحدد أولويات الدعم لهذه المنتجات. استخدم قدرتك على التصحيح بسرعة وبشكل قاطع لتحديد الأماكن التي يكون فيها الانتقال إلى الخدمات المستندة إلى السحابة مفيدًا.

ومن خلال فهم الطبيعة المترابطة للهويات والعلاقات المترابطة في النظم البيئية للتكنولوجيا الحديثة، فإنهم يستهدفون الاتصالات والتكنولوجيا وخدمات تكنولوجيا المعلومات وشركات الدعم للاستفادة من الوصول من مؤسسة واحدة للدخول إلى شبكات الشركاء أو الموردين. تثبت هجمات الابتزاز فقط أن المدافعين عن الشبكة يجب أن ينظروا إلى ما هو أبعد من برامج الفدية الضارة في المرحلة النهائية وأن يراقبوا عن كثب عمليات النقل غير المصرح به للبيانات والحركات الجانبية.

إذا كان أحد ممثلو المخاطر يخطط لابتزاز مؤسسة للحفاظ على خصوصية بياناتها، فإن حمولة برامج الفدية الضارة هي الجزء الأقل أهمية والأقل قيمة في استراتيجية الهجوم. في نهاية المطاف، يعود الأمر إلى المشغل لاختيار ما يختار نشره، ولا تمثل برامج الفدية الضارة دائمًا حمولات باهظة الثمن يسعى إليها كل ممثل مخاطر.

في حين أن برامج الفدية الضارة أو برامج الابتزاز المزدوج قد تبدو نتيجة حتمية لهجوم يقوم به مهاجم متطور، إلا أن برامج الفدية الضارة هي كارثة يمكن تجنبها. إن الاعتماد على الثغرات الأمنية لدى المهاجمين يعني أن الاستثمارات في مجال الأمان الإلكتروني تقطع شوطا طويلًا.

إن الرؤية الفريدة التي تتمتع بها Microsoft تمنحنا رؤية واضحة لنشاط ممثلو المخاطر. بدلًا من الاعتماد على منشورات المنتديات أو تسريبات الدردشة، يقوم فريق خبراء الأمان لدينا بدراسة أساليب برامج الفدية الضارة الجديدة وتطوير عملية التحليل الذكي للمخاطر التي تعتمد عليها حلولنا الأمنية.

تساعدنا الحماية المتكاملة من التهديدات عبر الأجهزة والهويات والتطبيقات والبريد الإلكتروني والبيانات والسحابة على تحديد الهجمات التي يمكن تصنيفها على أنها جهات فاعلة متعددة، في حين أنها في الواقع مجموعة واحدة من مجرمي الإنترنت. يواصل فريق الجرائم الرقمي لدينا، المؤلف من خبراء تقنيين وقانونيين وتجاريين، العمل مع جهات إنفاذ القانون لتعطيل الجرائم الإلكترونية

التوصيات:

تعزيز السحابة: مع تحرك المهاجمين نحو الموارد السحابية، من المهم تأمين هذه الموارد والهويات بالإضافة إلى الحسابات المحلية. يجب أن تُركز فرق الأمان على تقوية البنية الأساسية لهوية الأمان، وفرض المصادقة متعددة العوامل (MFA) على جميع الحسابات، ومعاملة مسؤولي السحابة/مسؤولي المستأجرين بنفس مستوى الأمان وأمان بيانات الاعتماد مثل مسؤولي المجال.
منع الوصول الأولي: منع تنفيذ التعليمات البرمجية عن طريق إدارة وحدات الماكرو والبرامج النصية وتمكين قواعد تقليل الأجزاء المعرضة للهجوم.
حل النقاط الأمنية الغامضة: يجب على المؤسسات التحقق من أن أدوات الأمان الخاصة بها تعمل بالتكوين الأمثل وإجراء عمليات فحص منتظمة للشبكة لضمان حماية منتج الأمان لجميع الأنظمة.

لدى Microsoft توصيات مُفصلة حول  https://go.microsoft.com/fwlink/?linkid=2262350.

استمع إلى إميلي هاكر محللة في مجال التحليل الذكي للمخاطر، حول كيفية بقاء فريقها على اطلاع ببرامج الفدية الضارة باعتبارها برامج متغيرة كمجال للخدمات.

وحدة الجرائم الرقمية التابعة لـ Microsoft:
تمت إزالة أكثر من 531000 عنوان URL فريد للتصيد الاحتيالي و5400 مجموعة أدوات تصيد احتيالي في الفترة بين يوليو 2021 ويونيو 2022، مما أدى إلى تحديد وإغلاق أكثر من 1400 حساب بريد إلكتروني ضار ييتم استخدامهم لجمع بيانات اعتماد العملاء المسروقة.1
مخاطر البريد الإلكتروني:
متوسط الوقت الذي يستغرقه المهاجم للوصول إلى بياناتك الخاصة إذا وقعت ضحية لرسالة بريد إلكتروني تصيدية هو ساعة واحدة و12 دقيقة.1
مخاطر نقطة النهاية:
متوسط الوقت الذي يستغرقه المهاجم لبدء التحرك أفقيًا داخل شبكة شركتك في حالة تعرض الجهاز للاختراق هو ساعة واحدة و42 دقيقة.1
  1. [1]

    المنهجية: بالنسبة لبيانات النسخة المطابقة، قدمت أنظمة Microsoft الأساسية، بما في ذلك Defender وAzure Active Directory، ووحدة الجرائم الرقمية لدينا، بيانات مجهولة المصدر حول نشاط التهديد، مثل حسابات البريد الإلكتروني الضارة ورسائل البريد الإلكتروني التصيدية وحركة المهاجم داخل الشبكات. تم الحصول على نتائج تحليلات إضافية من 43 تريليون إشارة أمان يومية وصلت عبر Microsoft، بما في ذلك السحابة ونقاط النهاية والحافة الذكية وفرق ممارسة استرداد الأمان والكشف والاستجابة.

ملف تعريف الخبير: إميلي هاكر

تناقش محللة التحليل الذكي للمخاطر إميلي هاكر كيفية بقاء فريقها على اطلاع ببرامج الفدية الضارة المتغيرة كمجال خدمات والتدابير التي يتخذونها للمساعدة في القبض على الجهات الفاعلة قبل حدوث هجمات برامج الفدية الضارة.

Cyber Signals: المشكلة 3: تزايد إنترنت الأشياء والمخاطر التي تهدد تكنولوجيا التشغيل

يؤدي الانتشار المتزايد لإنترنت الأشياء إلى تعريض التكنولوجيا التشغيلية للخطر مع وجود مجموعة من الثغرات الأمنية المحتملة والتعرض لمواجهة ممثلو المخاطر. التعرّف على كيفية الحفاظ على حماية مؤسستك

Cyber Signals: المشكلة 1

الهوية هي ساحة المعركة الجديدة. احصل على رؤى حول التهديدات الإلكترونية المتطورة والخطوات التي يجب اتخاذها لحماية مؤسستك بشكل أفضل.

متابعة الأمان من Microsoft