Ransomware is a multi-billion industry and it keeps growing
كشف تحليل أجرته شركة Group-IB العالمية للأمن السيبراني أن هجمات برامج الفدية قد زادت بأكثر من الضعف العام الماضي وازدادت من حيث الحجم والتطور.
جذبت المدفوعات الضخمة التي تراوح متوسطها بين مليون دولار ومليوني دولار لبعض عصابات برامج الفدية جهات فاعلة جديدة ركزت على الشركات الكبيرة في أمريكا الشمالية وأوروبا.
من خلال سحب البيانات من أكثر من 500 هجوم تم تحليلها في وظائف الاستجابة للحوادث، تمكنت Group-IB من تقديم نظرة عامة على تطور أعمال برامج الفدية في عام 2020 والتكتيكات والتقنيات والإجراءات (tactics, techniques, and procedures TTPs) المستخدمة في الأحداث التي أدت إلى تشفير الضحية الأنظمة.
أصبح مشهد برامج الفدية أكبر وأكثر ديناميكية، مع تأثر عمليات بعض اللاعبين البارزين أو إنهائها إما بسبب جهود إنفاذ القانون [1، 2] أو بسبب تقاعدهم [1، 2، 3]. أصبح لدى المزيد والمزيد من الممثلين الآن مواقع تسريب حيث ينشرون بيانات مسروقة من الضحايا الذين لم يدفعوا الفدية.
بدأ آخرون عمليات جديدة اتبعت نموذج الفدية كخدمة الناجح، أو ما يسمى بالبرامج التابعة، أو التعامل مع كل خطوة من العثور على الضحايا وتعريضهم للخطر إلى نشر البرامج الضارة لتشفير الملفات على الشبكة والتفاوض بشأن الفدية.
من بين الممثلين الجدد الذين انضموا إلى لعبة Ransomware ذات الأموال الكبيرة في عام 2020، Conti و Egregor و DarkSide. وفقًا لبيانات Group-IB، أصبح الأولين غزير الإنتاج لدرجة أنهما أصبحا في أعلى خمس عصابات مع أكبر عدد من الهجمات.
جذبت المدفوعات الضخمة التي تراوح متوسطها بين مليون دولار ومليوني دولار لبعض عصابات برامج الفدية جهات فاعلة جديدة ركزت على الشركات الكبيرة في أمريكا الشمالية وأوروبا.
من خلال سحب البيانات من أكثر من 500 هجوم تم تحليلها في وظائف الاستجابة للحوادث، تمكنت Group-IB من تقديم نظرة عامة على تطور أعمال برامج الفدية في عام 2020 والتكتيكات والتقنيات والإجراءات (tactics, techniques, and procedures TTPs) المستخدمة في الأحداث التي أدت إلى تشفير الضحية الأنظمة.
أصبح مشهد برامج الفدية أكبر وأكثر ديناميكية، مع تأثر عمليات بعض اللاعبين البارزين أو إنهائها إما بسبب جهود إنفاذ القانون [1، 2] أو بسبب تقاعدهم [1، 2، 3]. أصبح لدى المزيد والمزيد من الممثلين الآن مواقع تسريب حيث ينشرون بيانات مسروقة من الضحايا الذين لم يدفعوا الفدية.
بدأ آخرون عمليات جديدة اتبعت نموذج الفدية كخدمة الناجح، أو ما يسمى بالبرامج التابعة، أو التعامل مع كل خطوة من العثور على الضحايا وتعريضهم للخطر إلى نشر البرامج الضارة لتشفير الملفات على الشبكة والتفاوض بشأن الفدية.
من بين الممثلين الجدد الذين انضموا إلى لعبة Ransomware ذات الأموال الكبيرة في عام 2020، Conti و Egregor و DarkSide. وفقًا لبيانات Group-IB، أصبح الأولين غزير الإنتاج لدرجة أنهما أصبحا في أعلى خمس عصابات مع أكبر عدد من الهجمات.
Ryuk مفقود من الترتيب أعلاه لأن هجماته قد تم دمجها مع خليفتها Conti، حسبما قال Group-IB لـ BleepingComputer.
من المهم ملاحظة أن جميع المجموعات المذكورة أعلاه تتبع نموذجًا تجاريًا يركز فيه كل شخص معني على أفضل ما يفعله: تطوير البرامج الضارة، والوصول الأولي، والحركة الجانبية. يتم تقاسم الأرباح بين مشغلي برنامج RaaS والشركات التابعة.
من المهم ملاحظة أن جميع المجموعات المذكورة أعلاه تتبع نموذجًا تجاريًا يركز فيه كل شخص معني على أفضل ما يفعله: تطوير البرامج الضارة، والوصول الأولي، والحركة الجانبية. يتم تقاسم الأرباح بين مشغلي برنامج RaaS والشركات التابعة.
"لاحظ فريق Group-IB DFIR أن 64% من جميع هجمات برامج الفدية التي تم تحليلها في عام 2020 جاءت من مشغلين يستخدمون نموذج RaaS. كان انتشار البرامج التابعة في العمل السري هو الاتجاه الأساسي لعام 2020".
وفقًا لبيانات Group-IB، أدى هذا النهج إلى زيادة الهجمات بنسبة 150% العام الماضي ونموًا مضاعفًا لمتوسط الفدية إلى 170000 دولار. تشبه هذه الأرقام إحصاءات من شركة Coveware لمعالجة برامج الفدية، والتي سجلت متوسط 154108 دولارًا للربع الرابع من عام 2020.
ومع ذلك، فإن أكثر الممثلين جشعًا- Maze و DoppelPaymer و ProLock و RagnarLocker- طالبوا بفدية أعلى بكثير يتراوح متوسطها بين مليون دولار و 2 مليون دولار. من بين أعلى المدفوعات أرقام مذهلة تصل إلى 34 مليون دولار.
تقول Group-IB أنه من حيث التأثير على الضحايا، تسببت هجمات برامج الفدية في توقف 18 يومًا في المتوسط في العام الماضي.
للوصول المبدئي إلى شبكة مستهدفة، اعتمد ممثلو برامج الفدية عادةً على شبكات الروبوت مثل Trickbot أو Qakbot أو Bazar أو Buer أو IcedID التي اشتركوا معها خصيصًا لهذا الغرض.
عادةً، أمضى الممثلون 13 يومًا داخل الشبكة المخترقة قبل نشر عملية التشفير. خلال هذه الفترة، كانوا ينتقلون إلى الشبكة ويزيدون سيطرتهم ويحددون النُسخ الاحتياطية ويزيلونها لزيادة التأثير.
كان المتجه الأساسي للتسوية هو الخدمات الخارجية عن بُعد- معظمها RDP، يليها التصيد الاحتيالي، واستغلال التطبيقات العامة (Citrix ،WebLogic، خوادم VPN ،Microsoft Exchange).
كان المتجه الأساسي للتسوية هو الخدمات الخارجية عن بُعد- معظمها RDP، يليها التصيد الاحتيالي، واستغلال التطبيقات العامة (Citrix ،WebLogic، خوادم VPN ،Microsoft Exchange).
لمساعدة المدافعين على البقاء على اطلاع دائم بكيفية عمل عصابات برامج الفدية، حددت Group-IBs أكثر TTPs شيوعًا التي لوحظت خلال تفاعلات الاستجابة للحوادث لعام 2020 وفقًا لقاعدة المعرفة MITER ATT & CK لتكتيكات الخصم.
تصف Group-IB التقنيات والتكتيكات الموضحة أدناه في تقرير صدر اليوم، تم تنظيمه حسب تواتر مواجهتهم. تقدم الشركة توصيات التخفيف لكل طريقة هجوم.
تصف Group-IB التقنيات والتكتيكات الموضحة أدناه في تقرير صدر اليوم، تم تنظيمه حسب تواتر مواجهتهم. تقدم الشركة توصيات التخفيف لكل طريقة هجوم.
بناءً على النتائج التي توصلوا إليها، يتوقع الباحثون أن يستمر تهديد برامج الفدية في النمو وأن الجهات الفاعلة سوف تتكيف لجعلها أكثر ربحية من خلال استخدام متغيرات Linux في كثير من الأحيان وتطوير تقنياتها أو تغييرها (على سبيل المثال، التركيز على سرقة البيانات للابتزاز والتخلي عن التشفير) .
علاوة على ذلك، فإن المساومة على شبكات المؤسسات لإعادة بيعها للشركات التابعة لبرامج الفدية ستصبح سوقًا أكثر انشغالًا حيث سيرغب المزيد من الجهات الفاعلة في الانضمام إلى لعبة الأموال الضخمة.
تقول Group-IB أيضًا أن المزيد من الجهات الفاعلة في مجال التهديد المدعومة من الدولة ستشارك إما من أجل المكافآت المالية أو الأغراض التخريبية.
يقول Oleg Skulkin، كبير محللي الأدلة الجنائية الرقمية في Group-IB، إن برامج الفدية أصبحت "صناعة منظمة بمليارات الدولارات مع المنافسة داخل، وقادة السوق، والتحالفات الاستراتيجية، ونماذج الأعمال المختلفة".
علاوة على ذلك، فإن المساومة على شبكات المؤسسات لإعادة بيعها للشركات التابعة لبرامج الفدية ستصبح سوقًا أكثر انشغالًا حيث سيرغب المزيد من الجهات الفاعلة في الانضمام إلى لعبة الأموال الضخمة.
تقول Group-IB أيضًا أن المزيد من الجهات الفاعلة في مجال التهديد المدعومة من الدولة ستشارك إما من أجل المكافآت المالية أو الأغراض التخريبية.
يقول Oleg Skulkin، كبير محللي الأدلة الجنائية الرقمية في Group-IB، إن برامج الفدية أصبحت "صناعة منظمة بمليارات الدولارات مع المنافسة داخل، وقادة السوق، والتحالفات الاستراتيجية، ونماذج الأعمال المختلفة".
