قالت CrowdStrike في تقرير التهديد العالمي لعام 2022 إن هجمات برامج الفدية ransomware في العام الماضي تضمنت تركيزًا أكبر بكثير على تسريب البيانات المسروقة كوسيلة للضغط على الضحايا لدفع الفدية.
قال البائع الإلكتروني في التقرير الذي صدر اليوم إن تسريبات البيانات المتعلقة ببرامج الفدية ارتفعت بنسبة 82% في عام 2021 مقارنة بالعام السابق.
في حين أشارت النتائج الأخرى في التقرير أيضًا إلى تفاقم وباء برامج الفدية- قال Adam Meyers، نائب الرئيس الأول للاستخبارات في CrowdStrike: نما متوسط طلب الفدية بنسبة 36% إلى 6.1 مليون دولار العام الماضي، على سبيل المثال - يشير النمو الهائل في تسريب البيانات المرتبطة ببرامج الفدية إلى أسلوب متغير من قبل مجرمي الإنترنت يجب على جميع الشركات الانتباه إليه.
في نهاية المطاف، يعد التوسع في تسريبات البيانات المتعلقة ببرامج الفدية مؤشرًا على أن "تسليح البيانات weaponization of data" أصبح استراتيجية رئيسية لمجرمي الإنترنت، كما قال Meyers في مقابلة.
وقال: "لقد حددت الجهات المهددة أن هذه طريقة لزيادة الألم الذي يعاني منه الضحية وجعلها مشكلة بالنسبة لهم - والتي يعتقدون أنها ستجبرهم على دفع المزيد بشكل أسرع".
قال البائع الإلكتروني في التقرير الذي صدر اليوم إن تسريبات البيانات المتعلقة ببرامج الفدية ارتفعت بنسبة 82% في عام 2021 مقارنة بالعام السابق.
في حين أشارت النتائج الأخرى في التقرير أيضًا إلى تفاقم وباء برامج الفدية- قال Adam Meyers، نائب الرئيس الأول للاستخبارات في CrowdStrike: نما متوسط طلب الفدية بنسبة 36% إلى 6.1 مليون دولار العام الماضي، على سبيل المثال - يشير النمو الهائل في تسريب البيانات المرتبطة ببرامج الفدية إلى أسلوب متغير من قبل مجرمي الإنترنت يجب على جميع الشركات الانتباه إليه.
في نهاية المطاف، يعد التوسع في تسريبات البيانات المتعلقة ببرامج الفدية مؤشرًا على أن "تسليح البيانات weaponization of data" أصبح استراتيجية رئيسية لمجرمي الإنترنت، كما قال Meyers في مقابلة.
وقال: "لقد حددت الجهات المهددة أن هذه طريقة لزيادة الألم الذي يعاني منه الضحية وجعلها مشكلة بالنسبة لهم - والتي يعتقدون أنها ستجبرهم على دفع المزيد بشكل أسرع".
السيطرة Taking control
عادة، تحدث تسريبات البيانات كجزء من عملية التفاوض: إذا أظهر الضحية عدم استعداده لدفع الفدية، أو طلب مزيدًا من الوقت، فسيقوم المهاجم بنشر بعض البيانات المسروقة على الإنترنت لممارسة المزيد من الضغط، كما قال Meyers . .
وقال إن كل هذه التكتيكات في نهاية المطاف تتعلق بالسيطرة.
"أنت تأخذ السرد بعيدًا عن الضحية. قال Meyers: "أنت تأخذ السيطرة بعيدًا عن الضحية". "وهذا أمر قوي حقًا بالنسبة لممثل التهديد. لأنه عادةً في السنوات الماضية، إذا تم اختراق منظمة، كان الأمر متروكًا لهم لتحديد وقت إخطار عملائهم، عندما يخطرون مساهميهم وموظفيهم. والأمر متروك لهم فيما يريدون تفصيله".
وقال إن هذا يغير حسابات التفاضل والتكامل حول ما إذا كانت الضحية ستختار الدفع أم لا. قال Meyers إنه في حين أن العديد من الشركات يمكنها الآن استعادة بياناتها من النسخة الاحتياطية- مما يجعلها أقل عرضة لدفع الفدية- فإن التهديد بتسريب البيانات يمكن أن يغير طريقة تفكيرها.
عادة، تحدث تسريبات البيانات كجزء من عملية التفاوض: إذا أظهر الضحية عدم استعداده لدفع الفدية، أو طلب مزيدًا من الوقت، فسيقوم المهاجم بنشر بعض البيانات المسروقة على الإنترنت لممارسة المزيد من الضغط، كما قال Meyers . .
وقال إن كل هذه التكتيكات في نهاية المطاف تتعلق بالسيطرة.
"أنت تأخذ السرد بعيدًا عن الضحية. قال Meyers: "أنت تأخذ السيطرة بعيدًا عن الضحية". "وهذا أمر قوي حقًا بالنسبة لممثل التهديد. لأنه عادةً في السنوات الماضية، إذا تم اختراق منظمة، كان الأمر متروكًا لهم لتحديد وقت إخطار عملائهم، عندما يخطرون مساهميهم وموظفيهم. والأمر متروك لهم فيما يريدون تفصيله".
وقال إن هذا يغير حسابات التفاضل والتكامل حول ما إذا كانت الضحية ستختار الدفع أم لا. قال Meyers إنه في حين أن العديد من الشركات يمكنها الآن استعادة بياناتها من النسخة الاحتياطية- مما يجعلها أقل عرضة لدفع الفدية- فإن التهديد بتسريب البيانات يمكن أن يغير طريقة تفكيرها.
التعقيدات المضافة Added complexities
على سبيل المثال، غالبًا ما ينتج عن المشكلات التنظيمية والامتثال عند الكشف عن بيانات حساسة، على حد قوله.
قال Meyers: "إنه يجعل الأمر أكثر تعقيدًا". "ثانيًا أن البيانات تترك سيطرتك، الآن يمكن أن تصبح الأشياء باهظة الثمن حقًا بالنسبة لك بما يتجاوز دفع الفدية".
تضمنت خروقات برامج الفدية التي أدت إلى تسرب البيانات العام الماضي الهجمات ضد National Rifle Association و Accenture و Quanta (على الرغم من أنه في الحالة الأخيرة، كانت البيانات المسربة ملكًا لشركة Apple، وهي شريك لشركة Quanta).
وقالت CrowdStrike في تقريرها إن CrowdStrike تتعقب أيضًا الأنشطة الإلكترونية الأخرى التي تقع في مجال "تسليح البيانات"- بما في ذلك المجموعات الإيرانية التي تستخدم تكتيك برامج الفدية التي تسميها الشركة "القفل والتسريب lock-and-leak".
قالت CrowdStrike: "تتميز عمليات القفل والتسريب بجبهات إجرامية أو ناشطة قرصنة تستخدم فيروسات الفدية ransomware لتشفير الشبكات المستهدفة وبالتالي تسريب معلومات الضحايا عبر شخصيات أو كيانات يتحكم فيها الممثل". "من خلال استخدام مواقع التسريب المخصصة، ووسائل التواصل الاجتماعي ومنصات الدردشة، يستطيع هؤلاء الفاعلون تضخيم تسريبات البيانات وإجراء عمليات الإدخال والإخراج ضد البلدان المستهدفة".
أمان الثقة الصفرية Zero trust security
بكل المقاييس، أصبحت مشكلة برامج الفدية العالمية أسوأ بكثير في العام الماضي. في الأرباع الثلاثة الأولى من عام 2021، أفادت SonicWall أن محاولات هجمات الفدية ارتفعت بنسبة 148% على أساس سنوي، على سبيل المثال.
ولكن بينما تدرك الشركات الآن جيدًا أنها بحاجة إلى الحماية من برامج الفدية الضارة، فإن التهديد المتزايد لتسرب البيانات المتعلقة ببرامج الفدية يجب أن يغير طريقة تفكير الشركات في حماية نفسها، وفقًا لـ Meyers.
أولاً وقبل كل شيء، تحتاج الشركات إلى إدراك أن الأمر يتطلب أكثر من مجرد الحماية من الفيروسات والبرامج الضارة.
قال Meyers إنه لمنع المهاجمين حقًا من الوصول إلى البيانات الحساسة، فإن بنية أمان انعدام الثقة ومصادقة الهوية القوية أمر بالغ الأهمية.
"عندما يكون لديك إنسان يعمل على لوحات المفاتيح، ويسرق البيانات، ويسربها إلى الإنترنت، فإن برامج مكافحة البرامج الضارة والفيروسات لن تكون بالضرورة قادرة على المساعدة في تحديد ذلك وإيقافه. ثقة معدومة وإدارة قوية للهوية- هذا ما سيفعله"، وقال: "انعدام الثقة والهوية هما الأشياء الجديدة التي تحتاج المؤسسات حقًا إلى التفكير فيها فيما يتعلق بكيفية الدفاع عن بياناتها والدفاع عن أعمالها".
مكافحة الفيروسات ماتت Antivirus is dead
قال Meyers إن تقنيات الاكتشاف والاستجابة التي تستفيد من التعلم الآلي هي مجال مهم آخر يجب أن تضعه الشركات في الاعتبار من أجل الدفاع ضد هذا التهديد.
قال: "مكافحة الفيروسات ماتت. منتجات مكافحة الفيروسات القديمة المتوفرة- أدوات مكافحة الفيروسات القائمة على التوقيع- لم تعد فعالة بعد الآن"، "ما هو ضروري هو [الأدوات] التي تستخدم التعلم الآلي ، بالإضافة إلى التوقيعات ، لتحديد النشاط الضار".
قال Meyers إن هذا يمكن أن يكون التعلم الآلي (ML) machine learning لاكتشاف الحالات الشاذة، أو يمكن أن يكون "التعلم الآلي المستند إلى الملفات- حيث نبحث في ميزات البرنامج الثنائي ونحدد ما إذا كان جيدًا أم سيئًا استنادًا إلى تلك الميزات".
وقال إن نشر تقنية الكشف التي تعمل بنظام ML مثل هذه "رهانات مائدة مطلقة في هذه المرحلة حتى للتفكير في الدفاع عن مؤسسة". "تشمل الاستثمارات الأمنية الرئيسية الأخرى التي يمكن للشركات القيام بها للمساعدة في مواجهة تهديد تسرب البيانات المتعلقة ببرامج الفدية، البحث عن التهديدات؛ تمارين منضدية للتحضير للسيناريوهات المحتملة التي تنطوي على بيانات مسربة ؛ واستخبارات التهديد".
وقال: "ومع ذلك، إذا كان على الشركة اختيار مجال واحد فقط للاستثمار فيه للمساعدة في مواجهة هذا التهديد، "أعتقد أن الهوية ستكون على الأرجح المكان الذي سأضع فيه [الاستثمار]"، "لأن هذا هو المكان الذي رأيت فيه شخصيًا فرقًا كبيرًا في النتائج".
