Some ransomware gangs are going after top execs to pressure companies into paying
تعطي عصابات برامج الفدية الأولوية لسرقة البيانات من محطات العمل التي يستخدمها المسؤولون التنفيذيون على أمل العثور على معلومات قيمة واستخدامها في عملية الابتزاز.
يظهر اتجاه جديد بين مجموعات برامج الفدية حيث تعطي الأولوية لسرقة البيانات من محطات العمل التي يستخدمها كبار المديرين التنفيذيين والمديرين من أجل الحصول على معلومات "مثيرة" يمكنهم استخدامها لاحقًا للضغط وابتزاز كبار مسئولي الشركة للموافقة على مدفوعات الفدية الكبيرة.
علمت ZDNet لأول مرة بهذا التكتيك الجديد في وقت سابق من هذا الأسبوع خلال مكالمة هاتفية مع شركة دفعت فدية بملايين الدولارات لعصابة Clop ransomware.
أكدت مكالمات مماثلة مع ضحايا Clop آخرين ومقابلات عبر البريد الإلكتروني مع شركات الأمن السيبراني لاحقًا أن هذا لم يكن مجرد صدفة لمرة واحدة، ولكن بدلاً من ذلك كانت تقنية قامت عصابة Clop بضبطها خلال الأشهر القليلة الماضية.
يظهر اتجاه جديد بين مجموعات برامج الفدية حيث تعطي الأولوية لسرقة البيانات من محطات العمل التي يستخدمها كبار المديرين التنفيذيين والمديرين من أجل الحصول على معلومات "مثيرة" يمكنهم استخدامها لاحقًا للضغط وابتزاز كبار مسئولي الشركة للموافقة على مدفوعات الفدية الكبيرة.
علمت ZDNet لأول مرة بهذا التكتيك الجديد في وقت سابق من هذا الأسبوع خلال مكالمة هاتفية مع شركة دفعت فدية بملايين الدولارات لعصابة Clop ransomware.
أكدت مكالمات مماثلة مع ضحايا Clop آخرين ومقابلات عبر البريد الإلكتروني مع شركات الأمن السيبراني لاحقًا أن هذا لم يكن مجرد صدفة لمرة واحدة، ولكن بدلاً من ذلك كانت تقنية قامت عصابة Clop بضبطها خلال الأشهر القليلة الماضية.
جعل الابتزاز شخصيًا Making the extortion personal
هذه التقنية هي تطور لما رأيناه من عصابات برامج الفدية مؤخرًا.
على مدار العامين الماضيين، تطورت عصابات برامج الفدية من استهداف المستهلكين المنزليين في هجمات عشوائية إلى مطاردة الشركات الكبيرة في عمليات اختراق مستهدفة للغاية.
تخترق هذه المجموعات شبكات الشركات، وتسرق الملفات الحساسة التي يمكنهم الحصول عليها، وتشفير الملفات، ثم ترك مذكرات فدية على أجهزة الكمبيوتر المهملة.
في بعض الحالات، تُعلم مذكرة الفدية الشركات أنه يتعين عليها دفع طلب فدية لتلقي مفتاح فك التشفير. في حالة سرقة البيانات، تخبر بعض مذكرات الفدية الضحايا أيضًا أنه إذا لم يدفعوا رسوم الفدية، فسيتم نشر البيانات المسروقة على الإنترنت على ما يسمى "مواقع التسريب leak sites".
تأمل مجموعات برامج الفدية في أن تكون الشركات يائسة لتجنب وجود بيانات ملكية أو أرقام مالية منشورة عبر الإنترنت ويمكن للمنافسين الوصول إليها، وستكون أكثر استعدادًا لدفع طلب فدية بدلاً من الاستعادة من النسخ الاحتياطية.
في حالات أخرى، أخبرت بعض عصابات برامج الفدية الشركات أن نشر بياناتها قد يصل أيضًا إلى حد انتهاك البيانات، والذي قد يؤدي في كثير من الحالات إلى غرامة مالية من السلطات، بالإضافة إلى الإضرار بالسمعة، وهو أمر تريد الشركات أيضًا تجنبه.
ومع ذلك، فإن عصابات برامج الفدية ليست قادرة دائمًا على الحصول على بيانات الملكية أو المعلومات الحساسة في جميع عمليات التطفل التي يقومون بها. هذا يقلل من قدرتهم على التفاوض والضغط على الضحايا.
لهذا السبب، في عمليات التطفل الأخيرة، كانت المجموعة التي غالبًا ما تستخدم سلالة Clop ransomware تبحث على وجه التحديد عن محطات عمل داخل شركة مخترقة يستخدمها كبار مديريها.
تقوم المجموعة بفحص ملفات المدير ورسائل البريد الإلكتروني، وتسحب البيانات التي يعتقدون أنها قد تكون مفيدة في التهديد أو الإحراج أو الضغط على إدارة الشركة- نفس الأشخاص الذين من المرجح أن يكونوا مسئولين عن الموافقة على طلب الفدية بعد أيام .
قال Stefan Tanase، خبير الاستخبارات الإلكترونية في CSIS Group، لـ ZDNet في رسالة بريد إلكتروني هذا الأسبوع: "هذه طريقة عمل جديدة لممثلي برامج الفدية، لكن يمكنني القول إنني لست متفاجئًا".
قال Tanase: "تستخدم برامج الفدية عادةً" جواهر التاج "للأعمال التي تستهدفها". "عادةً ما تكون خوادم الملفات أو قواعد البيانات عندما يتعلق الأمر بسحب البيانات بغرض تسريبها. ولكن من المنطقي بالنسبة لهم ملاحقة أجهزة التنفيذيين إذا كان هذا هو ما سيحدث أكبر تأثير".
هذه التقنية هي تطور لما رأيناه من عصابات برامج الفدية مؤخرًا.
على مدار العامين الماضيين، تطورت عصابات برامج الفدية من استهداف المستهلكين المنزليين في هجمات عشوائية إلى مطاردة الشركات الكبيرة في عمليات اختراق مستهدفة للغاية.
تخترق هذه المجموعات شبكات الشركات، وتسرق الملفات الحساسة التي يمكنهم الحصول عليها، وتشفير الملفات، ثم ترك مذكرات فدية على أجهزة الكمبيوتر المهملة.
في بعض الحالات، تُعلم مذكرة الفدية الشركات أنه يتعين عليها دفع طلب فدية لتلقي مفتاح فك التشفير. في حالة سرقة البيانات، تخبر بعض مذكرات الفدية الضحايا أيضًا أنه إذا لم يدفعوا رسوم الفدية، فسيتم نشر البيانات المسروقة على الإنترنت على ما يسمى "مواقع التسريب leak sites".
تأمل مجموعات برامج الفدية في أن تكون الشركات يائسة لتجنب وجود بيانات ملكية أو أرقام مالية منشورة عبر الإنترنت ويمكن للمنافسين الوصول إليها، وستكون أكثر استعدادًا لدفع طلب فدية بدلاً من الاستعادة من النسخ الاحتياطية.
في حالات أخرى، أخبرت بعض عصابات برامج الفدية الشركات أن نشر بياناتها قد يصل أيضًا إلى حد انتهاك البيانات، والذي قد يؤدي في كثير من الحالات إلى غرامة مالية من السلطات، بالإضافة إلى الإضرار بالسمعة، وهو أمر تريد الشركات أيضًا تجنبه.
ومع ذلك، فإن عصابات برامج الفدية ليست قادرة دائمًا على الحصول على بيانات الملكية أو المعلومات الحساسة في جميع عمليات التطفل التي يقومون بها. هذا يقلل من قدرتهم على التفاوض والضغط على الضحايا.
لهذا السبب، في عمليات التطفل الأخيرة، كانت المجموعة التي غالبًا ما تستخدم سلالة Clop ransomware تبحث على وجه التحديد عن محطات عمل داخل شركة مخترقة يستخدمها كبار مديريها.
تقوم المجموعة بفحص ملفات المدير ورسائل البريد الإلكتروني، وتسحب البيانات التي يعتقدون أنها قد تكون مفيدة في التهديد أو الإحراج أو الضغط على إدارة الشركة- نفس الأشخاص الذين من المرجح أن يكونوا مسئولين عن الموافقة على طلب الفدية بعد أيام .
قال Stefan Tanase، خبير الاستخبارات الإلكترونية في CSIS Group، لـ ZDNet في رسالة بريد إلكتروني هذا الأسبوع: "هذه طريقة عمل جديدة لممثلي برامج الفدية، لكن يمكنني القول إنني لست متفاجئًا".
قال Tanase: "تستخدم برامج الفدية عادةً" جواهر التاج "للأعمال التي تستهدفها". "عادةً ما تكون خوادم الملفات أو قواعد البيانات عندما يتعلق الأمر بسحب البيانات بغرض تسريبها. ولكن من المنطقي بالنسبة لهم ملاحقة أجهزة التنفيذيين إذا كان هذا هو ما سيحدث أكبر تأثير".
يستخدم Clop بالفعل هذا التكتيك، REvil أيضًا، لكن نادرًا
أخبر Brett Callow، محلل التهديدات في شركة الأمن السيبراني Emsisoft، أنه حتى الآن، لم يروا سوى تكتيكات مثل هذه في الحوادث التي تنطوي على Clop ransomware.
أخبرنا Callow أن "هذا النمط من الابتزاز قد يكون طريقة عمل شركة منتسبة [Clop] معينة، ويمكن أن تعمل هذه الشركة التابعة أيضًا مع مجموعات [برامج الفدية] الأخرى".
وصف محلل Emsisoft هذا التطور في تكتيكات الابتزاز بأنه "ليس مفاجئًا على الإطلاق" و "تطور منطقي وحتمي".
قال Callow: "على مدى العامين الماضيين، أصبحت التكتيكات التي تستخدمها مجموعات برامج الفدية متطرفة بشكل متزايد، وهم يستخدمون الآن كل طريقة ممكنة للضغط على ضحاياهم".
"تشمل التكتيكات الأخرى المضايقة والتهديد بالمكالمات الهاتفية لكل من المديرين التنفيذيين والعملاء وشركاء الأعمال، وإعلانات Facebook، والتوعية الصحفية، والتهديدات بالكشف عن 'الغسيل القذر dirty laundry' للشركات."
ولكن في مقابلة مماثلة مع Evgueni Erchov، مدير الاستجابة للحوادث والتهديدات الإلكترونية في Arete IR، يبدو أن إحدى الشركات التابعة لعمليات REvil (Sodinokibi) ransomware-as-a-service قد تبنت بالفعل هذه التقنية من عصابة Clop (أو قد يكون هذا هو نفس شركة Clop التي ذكرها Callow أعلاه).
وقال Erchov لشبكة ZDNet: "على وجه التحديد، تمكن الفاعل من العثور على الوثائق المتعلقة بالدعاوى القضائية الجارية والمناقشات الداخلية للضحايا المتعلقة بذلك".
وقال Erchov: "ثم استخدم ممثل التهديد تلك المعلومات وتواصل مباشرة مع المديرين التنفيذيين عبر البريد الإلكتروني وهدد بنشر بيانات" سوء السلوك المزعوم من قبل الإدارة "علنًا".
أخبر Allan Liska، كبير مهندسي الأمن في شركة ريكورديد فيوتشر، ZDNet أنهم رأوا هذا التكتيك مع هجمات Clop فقط، لكنهم لا يستبعدون فاعلي برامج الفدية الآخرين الذين يتبنونه أيضًا.
قال Liska: "عصابات برامج الفدية سريعة جدًا في تبني تقنيات جديدة، خاصة تلك التي تجعل دفع الفدية أكثر احتمالًا".
"من المنطقي أيضًا تطور تكتيكات الابتزاز، حيث طاردت عصابات برامج الفدية أهدافًا أكبر كان عليها تجربة طرق مختلفة لفرض الدفع.
وقال Liska: "إن تسريب البيانات المسروقة هو الشيء الذي يعرفه الجميع، لكن تم أيضًا تجربة أساليب أخرى، مثل تهديد REvil بإرسال تفاصيل الهجوم بالبريد الإلكتروني إلى البورصات".
أخبر Brett Callow، محلل التهديدات في شركة الأمن السيبراني Emsisoft، أنه حتى الآن، لم يروا سوى تكتيكات مثل هذه في الحوادث التي تنطوي على Clop ransomware.
أخبرنا Callow أن "هذا النمط من الابتزاز قد يكون طريقة عمل شركة منتسبة [Clop] معينة، ويمكن أن تعمل هذه الشركة التابعة أيضًا مع مجموعات [برامج الفدية] الأخرى".
وصف محلل Emsisoft هذا التطور في تكتيكات الابتزاز بأنه "ليس مفاجئًا على الإطلاق" و "تطور منطقي وحتمي".
قال Callow: "على مدى العامين الماضيين، أصبحت التكتيكات التي تستخدمها مجموعات برامج الفدية متطرفة بشكل متزايد، وهم يستخدمون الآن كل طريقة ممكنة للضغط على ضحاياهم".
"تشمل التكتيكات الأخرى المضايقة والتهديد بالمكالمات الهاتفية لكل من المديرين التنفيذيين والعملاء وشركاء الأعمال، وإعلانات Facebook، والتوعية الصحفية، والتهديدات بالكشف عن 'الغسيل القذر dirty laundry' للشركات."
ولكن في مقابلة مماثلة مع Evgueni Erchov، مدير الاستجابة للحوادث والتهديدات الإلكترونية في Arete IR، يبدو أن إحدى الشركات التابعة لعمليات REvil (Sodinokibi) ransomware-as-a-service قد تبنت بالفعل هذه التقنية من عصابة Clop (أو قد يكون هذا هو نفس شركة Clop التي ذكرها Callow أعلاه).
وقال Erchov لشبكة ZDNet: "على وجه التحديد، تمكن الفاعل من العثور على الوثائق المتعلقة بالدعاوى القضائية الجارية والمناقشات الداخلية للضحايا المتعلقة بذلك".
وقال Erchov: "ثم استخدم ممثل التهديد تلك المعلومات وتواصل مباشرة مع المديرين التنفيذيين عبر البريد الإلكتروني وهدد بنشر بيانات" سوء السلوك المزعوم من قبل الإدارة "علنًا".
أخبر Allan Liska، كبير مهندسي الأمن في شركة ريكورديد فيوتشر، ZDNet أنهم رأوا هذا التكتيك مع هجمات Clop فقط، لكنهم لا يستبعدون فاعلي برامج الفدية الآخرين الذين يتبنونه أيضًا.
قال Liska: "عصابات برامج الفدية سريعة جدًا في تبني تقنيات جديدة، خاصة تلك التي تجعل دفع الفدية أكثر احتمالًا".
"من المنطقي أيضًا تطور تكتيكات الابتزاز، حيث طاردت عصابات برامج الفدية أهدافًا أكبر كان عليها تجربة طرق مختلفة لفرض الدفع.
وقال Liska: "إن تسريب البيانات المسروقة هو الشيء الذي يعرفه الجميع، لكن تم أيضًا تجربة أساليب أخرى، مثل تهديد REvil بإرسال تفاصيل الهجوم بالبريد الإلكتروني إلى البورصات".
ليس دائما صادقا Not always truthful
ومع ذلك ، قال Bill Siegel، الرئيس التنفيذي والمؤسس المشارك لشركة الأمن Coveware، إنه في كثير من الحالات، فإن البيانات المستخدمة في مخططات الابتزاز هذه التي تستهدف إدارة الشركة ليست دائمًا صادقة أو ترقى إلى مستوى التوقعات.
قال Siegel لشبكة ZDNet: "إنهم [مجموعات برامج الفدية] تقدم كل أنواع التهديدات حول ما قد يكون لديهم أو لا يكون لديهم.
وقال Siegel: "لم نواجه أبدًا حالة أظهرت فيها البيانات المسروقة في الواقع دليلًا على مخالفات شخصية أو شركة. في الغالب، إنها مجرد تكتيك مخيف لزيادة احتمالية الدفع".
"دعونا نتذكر هؤلاء مبتزون إجراميون. سيقولون أو يطالبون بكل أنواع الأشياء الخيالية إذا كان ذلك يدر عليهم المال".
ومع ذلك ، قال Bill Siegel، الرئيس التنفيذي والمؤسس المشارك لشركة الأمن Coveware، إنه في كثير من الحالات، فإن البيانات المستخدمة في مخططات الابتزاز هذه التي تستهدف إدارة الشركة ليست دائمًا صادقة أو ترقى إلى مستوى التوقعات.
قال Siegel لشبكة ZDNet: "إنهم [مجموعات برامج الفدية] تقدم كل أنواع التهديدات حول ما قد يكون لديهم أو لا يكون لديهم.
وقال Siegel: "لم نواجه أبدًا حالة أظهرت فيها البيانات المسروقة في الواقع دليلًا على مخالفات شخصية أو شركة. في الغالب، إنها مجرد تكتيك مخيف لزيادة احتمالية الدفع".
"دعونا نتذكر هؤلاء مبتزون إجراميون. سيقولون أو يطالبون بكل أنواع الأشياء الخيالية إذا كان ذلك يدر عليهم المال".
