الأخبار

هجمات برامج الفدية Ransomware تزداد تعقيدًا ويصعب منعها

يقوم مهاجمو برامج الفدية Ransomware بالتحقيق في نقاط الضعف والتعرض الشائعة المعروفة (CVEs) Common Vulnerabilities and Exposures بحثًا عن نقاط الضعف والاستفادة منها بسرعة، وشن الهجمات بشكل أسرع مما يمكن لفرق البائعين تصحيحها. لسوء الحظ، فإن مهاجمي برامج الفدية يجعلون الهجمات أكثر تعقيدًا وتكلفة ويصعب تحديدها وإيقافها، ويعملون على نقاط ضعف الأهداف المحتملة بشكل أسرع من رد فعل المؤسسات.

أظهرت دراستان بحثيتان حديثتان- تقرير Ivanti الأخير عن برامج الفدية، والذي تم إجراؤه باستخدام Cyber ​​Security Works and Cyware، ودراسة ثانية أجرتها Forrester Consulting نيابة عن Cyware- أن هناك فجوة آخذة في الاتساع بين مدى سرعة الشركات في التعرف على تهديد برامج الفدية مقابل سرعة الهجوم الإلكتروني. تقدم كلتا الدراستين تقييمًا صارمًا لمدى تخلف المؤسسات عن تحديد هجمات برامج الفدية وإيقافها.

يقوم مهاجمو برامج الفدية بتوسيع ترسانتهم الهجومية بمعدل متزايد، باعتماد تقنيات جديدة بسرعة. حدد تحديث فهرس Ransomware للربع الثالث من عام 2021 مجموعات برامج الفدية التي توسع ترسانة هجومها مع 12 ارتباطًا جديدًا للثغرات الأمنية في الربع الثالث، أي ضعف الربع السابق. يتم اعتماد تقنيات هجوم أحدث وأكثر تعقيدًا، بما في ذلك Trojan-as-a-service و dropper-as-a-service (DaaS). بالإضافة إلى ذلك، خلال العام الماضي، تم تسريب المزيد من أكواد برامج الفدية عبر الإنترنت حيث يتطلع مجرمو الإنترنت الأكثر تقدمًا إلى تجنيد عصابات أقل تقدمًا كجزء من شبكات برامج الفدية الخاصة بهم.

لا تزال برامج الفدية من بين استراتيجيات الهجوم الإلكتروني الأسرع نموًا لعام 2021. وقد زاد عدد الثغرات الأمنية المعروفة المرتبطة ببرامج الفدية من 266 إلى 278 في الربع الثالث من عام 2021 وحده. كانت هناك أيضًا زيادة بنسبة 4.5% في الثغرات الأمنية الشائعة التي يتم استغلالها بشكل فعال لشن هجمات، مما رفع العدد الإجمالي إلى 140. علاوة على ذلك، اكتشف Ivanti's Index Update خمس عائلات جديدة لبرامج الفدية في الربع الثالث، مما ساهم في وصول إجمالي عدد عائلات برامج الفدية على مستوى العالم إلى 151.

تعمل مجموعات برامج الفدية على التنقيب عن CVEs المعروفة للعثور على ثغرات يوم الصفر Zero-day والاستفادة منها قبل إضافة CVEs إلى قاعدة البيانات الوطنية للثغرات الأمنية (NVD) National Vulnerability Database وإصدار التصحيحات: 258 CVE التي تم إنشاؤها قبل عام 2021 مرتبطة الآن ببرامج الفدية بناءً على أنماط الهجوم الأخيرة. يوضح العدد الكبير من برامج مكافحة التطرف العنيف القديمة بشكل أكبر مدى قوة مهاجمي برامج الفدية في الاستفادة من نقاط الضعف السابقة في مكافحة التطرف العنيف. هذا هو 92.4% من جميع نقاط الضعف التي تم تتبعها مرتبطة ببرامج الفدية اليوم.

من الصعب العثور على ذكاء التهديد
يقول 71% من قادة الأمن إن فرقهم بحاجة إلى الوصول إلى معلومات التهديدات وبيانات العمليات الأمنية والاستجابة للحوادث وبيانات الثغرات الأمنية، وفقًا لدراسة Forrester's Opportunity Snapshot التي أجرتها شركة Cyware. ومع ذلك، فإن 65% يجدون صعوبة اليوم في تزويد فرق الأمان بوصول متماسك إلى البيانات. لا يستطيع 64% مشاركة بيانات استخبارات التهديدات بشكل متعدد الوظائف اليوم، مما يحد من حجم مركز العمليات الأمنية (SOC) Security Operations Center، والاستجابة للحوادث، وذكاء التهديدات المشتركة عبر الإدارات. يوضح الرسم البياني التالي مدى تأخر المؤسسات في توفير بيانات استخبارات التهديدات في الوقت الفعلي. تتزايد الفجوة المعرفية بين المؤسسات ومهاجمي برامج الفدية، ويتم تسريعها من خلال سرعة استفادة المهاجمين من نقاط الضعف المعروفة في مكافحة التطرف العنيف.

فقط 23% من المؤسسات تزود فرق الأمان الخاصة بها ببيانات نقاط الضعف لتحديد هجمات برامج الفدية المحتملة ومحاولات الاختراق. يمتلك مهاجمو برامج الفدية اليد العليا في معرفة الأنظمة والتكوينات المحددة في CVEs الأكثر ضعفًا. إنهم ينشئون أكواد برمجيات Ransomware أكثر تعقيدًا وتعقيدًا للاستفادة من ثغرات النظام طويلة الأمد.

يؤدي افتقار الشركات إلى الوصول إلى بيانات استخبارات التهديدات في الوقت الفعلي إلى قيام مهاجمي برامج الفدية بالتتبع السريع للهجمات الأكثر تعقيدًا وصعوبة مع المطالبة بفدية أعلى. شبكة إنفاذ الجرائم المالية بوزارة الخزانة الأمريكية، أو FinCEN، أصدرت تقريرًا في يونيو 2021 وجد أن النشاط المشبوه المبلغ عنه في تقارير الأنشطة المشبوهة المتعلقة ببرامج الفدية (Suspicious Activity Reports SARs) خلال الأشهر الستة الأولى من عام 2021 بلغ 590 مليون دولار، متجاوزًا مبلغ 416 مليون دولار الذي تم الإبلاغ عنه للجميع. في عام 2020. وجدت FinCEN أيضًا أنه تم دفع 5.2 مليار دولار من Bitcoin لعصابات الفدية العشر الرائدة على مدار السنوات الثلاث الماضية. يبلغ متوسط ​​الفدية الآن 45 مليون دولار، مع كون البيتكوين عملة الدفع المفضلة.

مهاجمة نقاط الضعف في مكافحة التطرف العنيف
يوضح تقرير تسليط الضوء على مؤشر برامج الفدية للربع الثالث من عام 2021 كيف يدرس مهاجمو برامج الفدية التطرف العنيف منذ فترة طويلة للعثور على ثغرات في النظام القديمة في الأمان لاستغلالها، والتي غالبًا لا يتم اكتشافها من قبل المؤسسات غير المحمية بشكل كافٍ. مثال على ذلك هو كيف تستخدم HelloKitty ransomware CVE-2019-7481، CVE مع نظام نقاط الضعف المشترك (CVSS) بدرجة 7.5. بالإضافة إلى ذلك، يشير الفهرس إلى أن عائلة Cring ransomware قد أضافت ثغرات أمنية (CVE-2009-3960 و CVE-2010-2861) كانت موجودة منذ أكثر من عقد. تتوفر التصحيحات، ومع ذلك تظل المؤسسات عرضة لهجمات برامج الفدية لأنها لم تقم بتصحيح التطبيقات وأنظمة التشغيل القديمة حتى الآن.

على سبيل المثال، حدث هجوم ناجح من برامج الفدية على خادم ColdFusion يشغل مؤخرًا إصدارًا قديمًا من Microsoft Windows. يقارن ما يلي الجداول الزمنية لاثنين من مكافحة التطرف العنيف، ويوضح كيف هاجمت Cring ransomware كل منها على مدار عقد من الزمان منذ أن تم الإبلاغ عن كل منهما في البداية:
 
 
اعتبارًا من الربع الثالث من عام 2021، كان هناك 278 من برامج التطفل أو الثغرات الأمنية المرتبطة ببرامج الفدية، مما يقيِّم النمو السريع للتهديد. بالإضافة إلى ذلك، هناك 12 نقطة ضعف مرتبطة الآن بسبعة سلالات من برامج الفدية. إحدى الثغرات الجديدة التي تم تحديدها في هذا الربع تأتي في أعقاب استغلال يوم الصفر للربع الثاني المحدد في CVE-2021-30116، وهي ثغرة يوم الصفر في خدمة Kaseya Unitrends Service التي تم استغلالها في هجوم سلسلة التوريد الهائل في 3 يوليو من هذا العام من قبل مجموعة REvil.

في 7 يوليو 2021، اعترف Kaseya بالهجوم، وأضيفت الثغرة الأمنية إلى NVD في 9 يوليو. تم إصدار تصحيح لنفسه في 11 يوليو لسوء الحظ، تم استغلال الثغرة الأمنية بواسطة REvil ransomware حتى مع وجود فريق الأمان في Kaseya. كانوا يستعدون لإصدار تصحيح لأنظمتهم (بعد التعرف على الثغرة الأمنية في أبريل 2021). يوفر الجدول التالي رؤى حول الثغرات الأمنية الـ 12 المرتبطة حديثًا حسب CVE المصنفة حسب نقاط CVSS. يتعين على الشركات التي تعرف أن لديها نقاط ضعف مرتبطة بمكافحة التطرف العنيف هذه تسريع جهودها في بيانات نقاط الضعف، وذكاء التهديدات، والاستجابة للحوادث، وبيانات العمليات الأمنية.
 
 
الخلاصة
يتحول ميزان القوة إلى مهاجمي برامج الفدية نظرًا لاعتمادهم السريع للتقنيات الجديدة في ترساناتهم وشن الهجمات. نتيجة لذلك، تحتاج المؤسسات إلى قدر أكبر من الإلحاح لتوحيد معايير معلومات التهديدات وإدارة التصحيح، والأهم من ذلك كله، أمان انعدام الثقة إذا كانت ستواجه فرصة لإيقاف هجمات برامج الفدية.

يؤكد هجوم Kaseya من قبل REvil على الاتجاه المستمر لمجموعات برامج الفدية التي تستغل ثغرات يوم الصفر حتى قبل أن تنشرها قاعدة البيانات الوطنية للثغرات الأمنية (NVD). يسلط الهجوم الضوء أيضًا على الحاجة إلى إيقاع تصحيح رشيق يعالج الثغرات الأمنية بمجرد تحديدها، بدلاً من انتظار طرح إدارة التصحيح يحركه المخزون والذي غالبًا ما يكون بطيئًا عبر مخزونات الأجهزة.