تستمر برامج الفدية (ransomware) في النمو بسرعة، حيث زادت بنسبة 466% في ثلاث سنوات. بالإضافة إلى ذلك، توجد 57 نقطة ضعف اليوم مع تعيين سلسلة قتل كاملة - من الوصول الأولي إلى التسلل باستخدام تقنيات وتكتيكات وإجراءات MITER ATT & CK - وفقًا لأحدث أبحاث إيفانتي.
تستمر مجموعات برامج الفدية أيضًا في النمو من حيث التعقيد والحجم. أصبحت خمسة وثلاثون نقطة ضعف جديدة مرتبطة ببرامج الفدية الضارة في الأشهر التسعة الأولى من هذا العام. هناك 159 عملية استغلال نشطة شائعة اليوم، مما يثبت أن برامج الفدية هي إستراتيجية هجوم شائعة مع العصابات الإلكترونية.
يحدد أحدث تقرير لفهرس الفدية من Ivanti للربع الثاني والربع الثالث من عام 2022، والذي نُشر اليوم، نقاط الضعف التي تؤدي إلى هجمات برامج الفدية ومدى سرعة عمل مهاجمي برامج الفدية غير المكتشفة للسيطرة على مؤسسة بأكملها. تعاونت Cyber Security Works، وهيئة ترقيم CVE (CNA)، و Cyware، المزود الرائد لمنصات التكنولوجيا لبناء مراكز Cyber Fusion، في الدراسة مع Ivanti.
قال سرينيفاس موكامالا، كبير مسؤولي المنتجات في Ivanti: "يجب أن تتبنى فرق تكنولوجيا المعلومات والأمن بشكل عاجل نهجًا قائمًا على المخاطر لإدارة الثغرات الأمنية للدفاع بشكل أفضل ضد برامج الفدية والتهديدات الأخرى. وهذا يشمل الاستفادة من تقنيات الأتمتة التي يمكن أن تربط البيانات من مصادر متنوعة (مثل الماسحات الضوئية للشبكة، وقواعد بيانات الثغرات الأمنية الداخلية والخارجية، واختبارات الاختراق)، وقياس المخاطر، وتوفير الإنذار المبكر بالتسليح، والتنبؤ بالهجمات، وتحديد أولويات أنشطة العلاج. إن المنظمات التي تستمر في الاعتماد على ممارسات إدارة الثغرات الأمنية التقليدية، مثل الاستفادة فقط من NVD وقواعد البيانات العامة الأخرى لتحديد أولويات الثغرات الأمنية وتصحيحها، ستظل معرضة بشدة لخطر الهجمات الإلكترونية".
القراصنة سريعون في الاستفادة من نقاط الضعف
يوضح تقرير Ivanti كيف أن مهاجمي برامج الفدية المتحمسين هم في تحديد الثغرات الأمنية واتخاذ إجراءات بشأنها والتي تؤدي بسرعة إلى السيطرة على البنية التحتية دون أن يتم اكتشافها. يظل مهاجمو برامج الفدية في حالة سبات لتجنب اكتشاف برامج الفدية وتوزيعها تدريجيًا عبر كل خادم يمكنهم فعله، ويبحثون دائمًا عن خوادم وبنية أساسية جديدة لاستغلالها.
بالنظر إلى قاعدة البيانات الوطنية للثغرات الأمنية (NVD) للتعرف على سياق كيفية تقدم الثغرات الأمنية إلى عمليات الاستغلال النشطة الشائعة، من الواضح أن CISOs وفرقهم بحاجة إلى معلومات تهديدات في الوقت الفعلي للبقاء في طليعة محاولات هجوم الفدية. يتسم مسار التقدم من الثغرة الأمنية إلى الاستغلال النشط بالديناميكية ويتغير بسرعة، مما يجعل الرؤية في الوقت الفعلي عبر كل أصل أمرًا بالغ الأهمية.
"على الرغم من أن استراتيجيات التعافي بعد الحادث قد تحسنت بمرور الوقت، إلا أن القول المأثور القديم بأن الوقاية أفضل من العلاج لا يزال صحيحًا. من أجل تحليل سياق التهديد بشكل صحيح وتحديد أولويات إجراءات التخفيف الاستباقية بشكل فعال، يجب تفعيل استخبارات نقاط الضعف للأجهزة الأمنية من خلال التنسيق المرن للعمليات الأمنية لضمان سلامة الأصول المعرضة للخطر".
تستمر مجموعات برامج الفدية أيضًا في النمو من حيث التعقيد والحجم. أصبحت خمسة وثلاثون نقطة ضعف جديدة مرتبطة ببرامج الفدية الضارة في الأشهر التسعة الأولى من هذا العام. هناك 159 عملية استغلال نشطة شائعة اليوم، مما يثبت أن برامج الفدية هي إستراتيجية هجوم شائعة مع العصابات الإلكترونية.
يحدد أحدث تقرير لفهرس الفدية من Ivanti للربع الثاني والربع الثالث من عام 2022، والذي نُشر اليوم، نقاط الضعف التي تؤدي إلى هجمات برامج الفدية ومدى سرعة عمل مهاجمي برامج الفدية غير المكتشفة للسيطرة على مؤسسة بأكملها. تعاونت Cyber Security Works، وهيئة ترقيم CVE (CNA)، و Cyware، المزود الرائد لمنصات التكنولوجيا لبناء مراكز Cyber Fusion، في الدراسة مع Ivanti.
قال سرينيفاس موكامالا، كبير مسؤولي المنتجات في Ivanti: "يجب أن تتبنى فرق تكنولوجيا المعلومات والأمن بشكل عاجل نهجًا قائمًا على المخاطر لإدارة الثغرات الأمنية للدفاع بشكل أفضل ضد برامج الفدية والتهديدات الأخرى. وهذا يشمل الاستفادة من تقنيات الأتمتة التي يمكن أن تربط البيانات من مصادر متنوعة (مثل الماسحات الضوئية للشبكة، وقواعد بيانات الثغرات الأمنية الداخلية والخارجية، واختبارات الاختراق)، وقياس المخاطر، وتوفير الإنذار المبكر بالتسليح، والتنبؤ بالهجمات، وتحديد أولويات أنشطة العلاج. إن المنظمات التي تستمر في الاعتماد على ممارسات إدارة الثغرات الأمنية التقليدية، مثل الاستفادة فقط من NVD وقواعد البيانات العامة الأخرى لتحديد أولويات الثغرات الأمنية وتصحيحها، ستظل معرضة بشدة لخطر الهجمات الإلكترونية".
القراصنة سريعون في الاستفادة من نقاط الضعف
يوضح تقرير Ivanti كيف أن مهاجمي برامج الفدية المتحمسين هم في تحديد الثغرات الأمنية واتخاذ إجراءات بشأنها والتي تؤدي بسرعة إلى السيطرة على البنية التحتية دون أن يتم اكتشافها. يظل مهاجمو برامج الفدية في حالة سبات لتجنب اكتشاف برامج الفدية وتوزيعها تدريجيًا عبر كل خادم يمكنهم فعله، ويبحثون دائمًا عن خوادم وبنية أساسية جديدة لاستغلالها.
بالنظر إلى قاعدة البيانات الوطنية للثغرات الأمنية (NVD) للتعرف على سياق كيفية تقدم الثغرات الأمنية إلى عمليات الاستغلال النشطة الشائعة، من الواضح أن CISOs وفرقهم بحاجة إلى معلومات تهديدات في الوقت الفعلي للبقاء في طليعة محاولات هجوم الفدية. يتسم مسار التقدم من الثغرة الأمنية إلى الاستغلال النشط بالديناميكية ويتغير بسرعة، مما يجعل الرؤية في الوقت الفعلي عبر كل أصل أمرًا بالغ الأهمية.
"على الرغم من أن استراتيجيات التعافي بعد الحادث قد تحسنت بمرور الوقت، إلا أن القول المأثور القديم بأن الوقاية أفضل من العلاج لا يزال صحيحًا. من أجل تحليل سياق التهديد بشكل صحيح وتحديد أولويات إجراءات التخفيف الاستباقية بشكل فعال، يجب تفعيل استخبارات نقاط الضعف للأجهزة الأمنية من خلال التنسيق المرن للعمليات الأمنية لضمان سلامة الأصول المعرضة للخطر".
رؤى رئيسية من دراسة إيفانتي
لا يزال العثور على خبراء في مجال الأمن السيبراني ومتخصصي تكنولوجيا المعلومات من ذوي الخبرة يمثل تحديًا لكل مؤسسة. استغلال مهاجمي الثغرات الآخر هو عندما لا يكون لدى المؤسسات ما يكفي من الخبراء في الموظفين الذين يعرفون كيفية استخدام أدوات استخبارات التهديدات وأتمتة إدارة التصحيح وتقليل مخاطر هجمات برامج الفدية. يساعد وجود فريق كامل لتكنولوجيا المعلومات والأمن السيبراني في مواجهة المخاطر والتهديدات المتزايدة التي وجدها تقرير Ivanti، والتي تم تلخيصها هنا.
الثغرات الأمنية لبرامج الفدية نمت بنسبة 466% منذ عام 2019 وتستمر في التسارع اليوم
تم اكتشاف ثلاثة عشر ثغرة أمنية جديدة يمكن استغلالها ببرامج الفدية في الأشهر الثلاثة الماضية وحدها. بلغ العدد الإجمالي للثغرات الأمنية المرتبطة ببرامج الفدية الآن 323، مع اكتشاف 35 نقطة ضعف جديدة مرتبطة ببرنامج الفدية هذا العام فقط.
يستكشف مهاجمو برامج الفدية باستمرار كيفية الاستفادة من نقاط الضعف قبل أن تتعقبها CISA. في الوقت الحالي، هناك 159 من عمليات الاستغلال النشطة الشائعة التي تحتاج مساراتها ومؤسساتها CISA للدفاع عنها في استراتيجيات إدارة المخاطر والأمن الشاملة.
اكتشف Ivanti عدد 57 نقطة ضعف يمكن استغلالها من قبل مهاجمي برامج الفدية مع سلاسل قتل كاملة من الوصول الأولي إلى التسلل المتاحة
يبحث مهاجمو برامج الفدية عن طرق جديدة للاستفادة من نقاط الضعف في نقاط الضعف والتعرض الشائعة طويلة الأمد (CVEs)، وغالبًا ما يستغلون الأنظمة القديمة وافتقارها إلى الأمان. توضح دراسة إيفانتي أيضًا كيف أن المهاجمين غالبًا ما يكونون أسرع من الشركات في تحديد نقاط الضعف للاستفادة منها. Microsoft و Oracle و VMware و Atlassian و Apache و 15 آخرين هم البائعون الأساسيون الذين يعانون من هذه الثغرات الأمنية الـ 57. من بين هذه الثغرات، 34 من الثغرات الأمنية هي عمليات استغلال التعليمات البرمجية عن بُعد (RCE) واستغلال تصعيد الامتيازات (PE)، وهما أسلوبان شائعان يستخدمهما مهاجمو برامج الفدية لبدء الهجمات.
البحث اكتشف عشر عائلات جديدة من برامج الفدية
تشمل عائلات برامج الفدية الجديدة Black Basta و Hive و BianLian و BlueSky و Play و Deadbolt و H0lyGh0st و Lorenz و Maui و NamPoHyu، وبذلك يصل العدد الإجمالي إلى 170. مع وجود 101 CVE للتصيد الاحتيالي، يعتمد مهاجمو برامج الفدية بشكل متزايد على تقنيات التصيد بالرمح (أكثر تخصيصًا) من أشكال التصيد الاحتيالي) لإغراء الضحايا المطمئنين بتسليم حمولتهم الخبيثة. يستشهد التقرير بـ Pegasus كمثال قوي حيث تم استخدام رسالة تصيد بسيطة، إلى جانب نقاط ضعف iPhone، لإنشاء وصول خلفي أولي وأدت إلى تسلل وتسوية العديد من الشخصيات في جميع أنحاء العالم.
مستقبل برامج الفدية
ابحث عن المزيد من إعادة استخدام التعليمات البرمجية المصدر وأساليب الهجوم المشتركة التي تؤدي إلى هجمات أكثر تعقيدًا. مجموعات برامج الفدية الأكثر بروزًا، بما في ذلك Conti و DarkSide وغيرها، إما تغلق أو تتحول إلى مجموعات أصغر، بما في ذلك Black Basta و BlackMatter.
بالإضافة إلى ذلك، سيتم تعديل المزيد من أساليب الهجوم المشتركة بناءً على ما تتعلمه عصابات برامج الفدية في الوقت الفعلي من محاولات التسلل والاختراق. ردًا على الطبيعة المتشددة لأمن المؤسسات، يشن المهاجمون هجمات أكثر تطورًا بأساليب متطورة، بما في ذلك تشفير جميع الأصول والبيانات الرقمية التي تمتلكها الشركة. سيستمر هذا في ممارسة ضغوط هائلة على ضحايا هجمات برامج الفدية حيث يلجأ المهاجمون إلى تسريب البيانات وحذف البيانات إذا تم دفع الفدية أم لا.
