“تشايناليسيس”: 1.3 مليار دولار مدفوعات مبلغ عنها لـ”برامج الفدية” للشركات الأمريكية خلال عامين
الخزانة الأمريكية: الهجمات المبلغ عنها العام الماضى تعادل كل العمليات فى العقد السابق
“كونتى” البرنامج الأول فى العالم لابتزاز الشركات يليه “دارك سايد”
56% من حصيلة أموال الفدية تذهب إلى أسواق العملات المشفرة وتستثمر فى الأصول عالية المخاطر
يشهد العالم حاليا زيادة كبيرة فى هجمات “برامج الفدية” وهى هجمات إلكترونية تستهدف الشركات أو تعطيل المشروعات بهدف الحصول على أموال.
وقال تقرير صادر عن “تشايناليسيس” إن عامى 2020 و2021 شهدا تصاعدًا كبيرًا لهذه النوعية من الهجمات فى الولايات المتحدة، ومن المتوقع استمرار الهجمات فى زيادة خلال العام الحالى.
أضاف التقرير أن المجرمين الذين يقفون خلف تلك الهجمات حصلوا على 1.3 مليار دولار على الأقل خلال العامين الماضيين، مشيرة إلى أن هذه الأرقام سترتفع خلال 2022 بسبب عدم قيام الكثير من الضحايا بالإبلاغ عن الهجمات التى تعرضوا لها.
وتقول المؤسسة إنه مع إصدار هذا التقرير لأول مرة فى العام الماضي، تم الإشارة إلى أنه تم تعقب ما يقرب من 350 مليون دولار من المدفوعات من الضحايا لمشغلى هذه البرامج.
وأوضحت المدونة فى ذلك الوقت أن هذا الرقم فى الغالب يقل عن التقدير الذى من المتوقع أن يرتفع فى المستقبل لعدم قيام الضحايا بالإبلاغ عن مثل هذه البرامج.
وقالت مدونة الشركة على الإنترنت إنها أجرت تحديثات لأرقام هذه البرامج لمرات عدة خلال عام 2021، مما يعكس المدفوعات الجديدة التى لم تحدد من قبل. واعتبارًا من يناير 2022 ، تم تحديد ما يزيد عن 692 مليون دولار فى مدفوعات برامج الفدية لعام 2020 وهو ما يشكل ضعف المبلغ الذى تم تحديده فى مع بدء كتابة تقرير العام الماضي.
وتم تحديد ما يزيد على 602 مليون دولار من مدفوعات برامج الفدية فى عام 2021. ورغم ذلك، كما حدث فى العام الماضي، جاءت هذه التقديرات أقل من الواقع، وأن الإجمالى الحقيقى لعام 2021 قد يكون أعلى من ذلك بكثير، ورغم هذه الأرقام، فإن الأدلة الواردة، بالإضافة إلى حقيقة أن عائدات هذه البرامج فى النصف الأول من عام 2021 تجاوزت عائدات النصف الأول من عام 2020 ، تشير إلى أن عام 2021 سيكشف فى نهاية الأمر أنه هو العام الأفضل بالنسبة لبرامج الفدية.
وفى أكتوبر من العام الماضى قالت وزارة الخزانة الأمريكية إن قراصنة برامج الفدية تمكنوا من ابتزاز عدد من الشركات والمؤسسات أمريكية بعد اختراق بياناتها، وجمعوا نحو 590 مليون دولار خلال النصف الأول من 2021.
وقالت الخزانة الأمريكية، إن هذا الرقم يفوق مجموع ما أبلغ عنه خلال العقد الماضى بأكمله مع انتشار الابتزاز الإلكتروني، كما أن الرقم أعلى بـ 42% من المبلغ الذى كشفت عنه المؤسسات المالية عن عام 2020 بأكمله، وهناك مؤشرات قوية على أن التكلفة الحقيقية يمكن أن تكون بالمليارات.
وقالت شبكة إنفاذ الجرائم المالية بوزارة الخزانة “إذا استمرت الاتجاهات الحالية، فمن المتوقع أن تكون قيمة (البلاغات) المتعلقة ببرامج الفدية (رانسوموير) المقدمة فى عام 2021 أعلى من تلك المقدمة فى السنوات العشر السابقة مجتمعة”.
هجمة كل 11 ثانية
وقدرت شركة كاسبرسكى للأمن السيبرانى أن تكون الشركات حول العام قد تعرضت لهجمات برامج فدية كل 11 ثانية خلال العام الماضى، وهذا يتسبب فى خسائر تصل إلى 20 مليار دولار.
أضافت كاسبرسكى أن هجمات هذه البرامج ليست مشكلة للشركات والحكومات والمستشفيات وغير ذلك من مؤسسات فقط، ولكنها كذلك تؤثر على العملاء والموظفين والأفراد الذين يتعرضون للضرر حتى لو لم يكونوا هم المستهدفين الأصليين.
وهجمات برامج الفدية هى الهجمات التى تستخدم برمجيات ضارة فى تشفير البيانات والملفات لأهدافها، وتختلف عن حملات الابتزاز العادية، فهى تستخدم هجمات الحرمان من الخدمة فى إغراق الأهداف بحركة مرور مع وعد بإيقاف هجومهم بعد أخذ مبلغ مالي.
وتقول كاسبرسكى إن بعض المؤسسات دفعت طلبات برنامج الفدية، لكن هذا ليس الاختيار الأفضل حيث إنه لا يوجد ضمان بأنه سيتم استرداد الوصول إلى الأنظمة المصابة بعد دفع المبلغ المطلوب، كما أن الدفع يشجع المجرمين على الاستمرار فى هذا النوع من الهجمات. وتضيف أن العديد من الشركات لا تكشف عن هجمات برامج الفدية أو لا تكشف عن مطالبات المهاجمين إذا كشفت عن الهجمات.
برامج الفدية الأعلى إيرادات لعام 2021
تقول شركة “تشايناليسيس” إن برنامج كونتى من أعلى برامج الفدية من حيث الإيرادات فى عام 2021، حيث قام بابتزاز ما لا يقل عن 180 مليون دولار من الضحايا.
ويعتقد أن مقر كونتى موجود فى روسيا، ويعمل باستخدام نموذج رايس، وهذا يعنى أن مشغلى برنامج كونتى يسمحون للشركات التابعة بشن هجمات باستخدام برنامج الفدية مقابل دفع رسوم.
وتأتى شركة “دارك سايد” لتثير مزيداً من الاهتمام سواء لكونها تحتل المرتبة الثانية فى عام 2021 فى الأموال التى تم ابتزازها من الضحايا التى تمكن التقرير من تحديدها، وكذلك لدورها فى الهجوم على خط أنابيب النفط “كولونيال”، وهو أحد أبرز هجمات برامج الفدية لعام 2021. حيث تسبب الهجوم فى نقص الوقود فى بعض المناطق، والذى تفاقم بسبب أزمة شراء النفط بسبب حالة الذعر بعد انتشار الأخبارعن تأثير الهجوم على سوق النفط.
و تمثل قصة كولونيال تذكيرًا مهمًا بأحد الأسباب التى تجعل هجمات برامج الفدية خطيرة للغاية: حيث تستهدف فى أحيان كثيرة البنية التحتية الحيوية التى نحتاجها للحفاظ على استمرارية الدولة ليس فقط فيما يتعلق بمزودى الطاقة، ولكن أيضًا المطاعم والمدارس والمستشفيات وشركات الخدمات المالية.
ورغم ذلك تحول هجوم خط الأنابيب كولونيال إلى قصة نجاح، حيث تمكنت وزارة العدل الأمريكية من تعقب 2.3 مليون دولار من الفدية التى دفعتها كولونيال لشركة دارك سايد والاستيلاء عليها. وتمثل قدرة جهات إنفاذ القانون على مصادرة المدفوعات بعد سدادها خطوة كبيرة لدعم عمليات مكافحة برامج الفدية. كما أنه يمثل سببًا إضافيًا لضرورة إبلاغ المزيد من الضحايا عن الهجمات حتى فى حالة قيامها بالدفع، فقد تتمكن جهات إنفاذ القانون من مساعدتك فى استعادة هذه الأموال.
وأشارت “تشيناليسيس ” أن ما لا يقل عن 140 من برامج الفدية تلقت مدفوعات من الضحايا على مدار العام الماضى عام مقارنة مع 119 فى عام 2020 و 79 فى عام 2019. وتعتبر هذه الأرقام مؤشر للانتشار المكثف لبرامج الفدية التى رأيناها على مدار العامين الماضيين. وتتحرك معظم برامج الفدية فى شكل موجات، وتظل نشطة لفترة قصيرة من الوقت قبل أن تصبح فى حالة السكون.
وذكرت التقرير أن “كونتى “يعد البرنامج الوحيد من بين تلك البرامج التى استمرت فى نشاطها على مدار عام 2021، كما شهدت زيادة فى حصتها من جميع عائدات برامج الفدية خلال العام السابق.
كما أن العدد المتزايد لمثل هذه البرامج النشطة والعمر القصير لمعظمها ، يرجع فى الغالب لجهود إعادة تقديم العلامة التجارية. وأعلن العديد من مشغلى برامج الفدية عن وقف نشاطهم قبل إعادة إطلاقه تحت مسمى جديد خلال عام 2021، ويقدمون أنفسهم كمجموعة منفصلة لمجرمى الإنترنت.
اصطياد الأهداف الكبيرة
كان متوسط حجم دفع برنامج الفدية يتجاوز 118 ألف دولار فى عام 2021 ، بزيادة عن 88 ألف دولار فى عام 2020 و 25 ألف دولار فى عام 2019.ومن ضمن المدفوعات الكبيرة، الرقم القياسى البالغ 40 مليون دولار الذى تلقته شركة فينيكس كريبتولوكير وهو الأعلى على الإطلاق فى متوسط حجم الدفع.
ومن إحدى أسباب الزيادة فى أحجام المدفوعات لبرامج الفدية هو تركيز مهاجمى برامج الفدية على تنفيذ هجمات قوية تستهدف المؤسسات الكبيرة. ويتم تمكين استراتيجية “اصطياد الأهداف الكبيرة ” عن طريق استخدام مهاجمى برامج الفدية للأدوات التى يوفرها مقدمو الخدمات من أطراف ثالثة ما يجعل هجماتهم أكثر فعالية. وقد تكون هذه الأدوات من أدوات المساعدة على القرصنة غير المشروعة أوضمن المنتجات المشروعة، وتشمل:
– البنية التحتية المستأجرة مثل ما يعرف بخدمة استضافة الويب المضادة للرصاص وخدمات تسجيل النطاقات وشبكات الروبوتات وخدمات الوكيل وخدمات البريد الإلكترونى لتنفيذ الهجمات.
– أدوات القرصنة مثل الوصول إلى الشبكات المخترقة بالفعل، واستغلال الأدوات التى تفحص شبكات الضحايا للوصول إلى نقاط الضعف لديهم لاختراقها، والبرامج الضارة التى تساعد المهاجمين على توزيع برامج الفدية بشكل أكثر فعالية.
_ البيانات المسروقة مثل كلمات المرور والبيانات الشخصية للأفراد وبيانات اعتماد بروتوكول سطح المكتب المخترقة والمعروفة ب “أر دى بي”، والتى تساعد المهاجمين على اقتحام شبكات الكمبيوتر الخاصة بالضحايا.
ارتفع استخدام مشغلى برامج الفدية لهذه الخدمات إلى أعلى مستوى له على الإطلاق فى عام 2021.
أين يستثمر المبتزون أموالهم؟
ووفقا لما ذكرته تشيناسيسس، تم إنفاق حوالى 16% من جميع الأموال المرسلة من قبل مشغلى برامج الفدية على الأدوات والخدمات المستخدمة لتمكين هجمات أكثر فعالية، مقارنة بـ 6% فى عام 2020. فى حين أنه من الممكن أن يشكل بعض هذا النشاط غسيل أموال بدلاً من شراء خدمات غير مشروعة، فإن القائمين على التقرير يعتقدون أن الاستخدام المتزايد لهذه الخدمات يعد أحد الأسباب التى جعلت مهاجمى برامج الفدية أكثر فاعلية فى عام 2021، كما يتضح من ارتفاع متوسط أحجام مدفوعات الضحايا.
وقامت معظم البرامج بغسيل الأموال المسروقة عن طريق إرسالها إلى البورصات المركزية خلال السنوات القليلة الماضية. ويأتى بعضها فى فئة المخاطر العالية، أى أنها تسعى إلى تخفيف إجراءات الامتثال، ولكن فى الغالب لتعميم التبادلات مع برامج الامتثال الأكثر رسوخًا. كما يتم إرسال أموال كبيرة إلى كل من القائمين بعملية خلط العملات والعناوين المرتبطة بأشكال أخرى من النشاط غير المشروع.
ويقول التقرير إنه مما يثير الدهشة، أن 56% من الأموال المرسلة من قبل برامج الفدية منذ عام 2020 انتهى بها المطاف فى واحدة من ست شركات تعمل بالعملات المشفرة وهى كالتالي:
– ثلاث بورصات دولية كبيرة
– بورصة واحدة عالية المخاطر مقرها فى روسيا
– خدمتان لخلط العملات
وأوضح التقرير أنه على غرار فكرة إعادة تقديم العلامة التجارية، تُظهر اتجاهات غسيل الأموال هذه مدى صغر حجم النطاق الذى تعمل فيه هذه البرامج. وهذه مؤشرات تدعو للتفاؤل، فهى تعنى أن استراتيجية مكافحة برامج الفدية قد تكون أبسط مما نتصور. وبتضييق الخناق على هذا العدد الصغير من الخدمات التى تسهل نشاط غسيل الأموال، يمكن لأجهزة إنفاذ القانون أن تحد بشكل كبير من فرص المهاجمين لسحب الأموال، مما يخفض من الحافز المالى لتنفيذ هجمات برامج الفدية ويعيق قدرة مؤسسات برامج الفدية على العمل.
كما أشار إلى أن معظم هذه البرامج غير نشطة لفترة طويلة، كما هو الحال دائماً لكن أصبح الاتجاه أكثر وضوحًا فى عام 2021.
وظل متوسط العمر الافتراضى لبرامج الفدية نشطًا لمدة عام واحد بالضبط فى عام 2021، والمعروف أن يكون المتوسط نشطاً لمدة لا تزيد على شهرين.
لماذا ينخفض متوسط العمر الافتراضى لبرامج الفدية بهذه السرعة؟
تعتبر إعادة تقديم العلامة التجارية إحدى الأسباب الرئيسية فى انخفاض متوسط العمر الافتراضى لبرامج الفدية، حيث لاحظ باحثو الأمن السيبرانى حالات لمهاجمى برامج الفدية الذين يدّعون علنًا وقف عملياتهم، بهدف إعادة إطلاقها فى وقت لاحق تحت مسمى جديد فى حين أن ما لا يقل عن 140 نوعا من هذه البرامج كانت نشطة فى عام 2021، فإن العديد من هذه البرامج فى واقع الأمر كانت تديرها نفس مجموعات المجرمين الإلكترونيين.
وتسعى هذه البرامج إلى خلق وهم أنهم ينتمون إلى منظمات مختلفة للإجرام الإلكترونى من خلال إنشاء مواقع دفع منفصلة للضحايا وبنية تحتية أخرى، لكنهم يتشاركون فى التعليمات البرمجية الخاصة بهم. وجاءت شركة إيفيل، وهى عصابة مجرمين إلكترونيين مقرها روسيا وراء العديد من هجمات برامج الفدية فى السنوات الأخيرة.
ويقول التقرير إن معظم المحللين يرون أنها محاولة من الشركة للتهرب من العقوبات، حيث فرضت الولايات المتحدة عقوبات على شركة إيفيل فى ديسمبر 2019، حيث كانت هناك بعض الشبهات فى أن يكون لقادتها صله وثيقة مع الحكومة الروسية.
وكرر مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية توجيهاته فى أكتوبر 2020 بأن ضحايا برامج الفدية الذين يدفعون فدية إلى الجماعات الخاضعة للعقوبات قد يتعرضون للعقوبات، مما أدى إلى وضع شركة إيفيل فى موقف صعب، فقد يعنى ذلك أن العديد من الضحايا وممثليهم قد يرددون فى الدفع لهم بعد إدراكهم بمخاطر العقوبات.
وتعتقد الشركة أنه مع تغيير العلامة التجارية الخاصة بها، يمكنها أن تخدع الضحايا للدفع قبل أن يتمكن الباحثون من اكتشاف مخاطر العقوبات المحتملة.
ويبدو أن تغيير العلامة التجارية قد نجح بالفعل فى تحقيق أغراض شركة إيفيل فى كثير من الحالات، حيث دفع الضحايا ما لا يقل عن 85 مليون دولار كفدية لبرامج مرتبطة بالمنظمة.
ولا تعد شركة إيفيل هى المنظمة الوحيدة التى تعيد تسمية برامج الفدية الخاصة بها. ففى يوليو 2021 ، بدأت المجموعة المسئولة عن سلسلة برامج الفدية المعروفة باسم “دارك سايد” شن هجمات مع برامج مشابهة لها تسمى بلاك ماتر.
وجاء ذلك بعد هجوم مجموعة دارك سايد على خط أنابيب كولونيال واستيلاء مكتب التحقيقات الفيدرالى على معظم الفدية التى تم دفعها، وجاء تغيير العلامة التجارية استجابة لضغوط من قبل جهات إنفاذ القانون.
ومن الادلة التى تدعم ذلك هو عدم رغبة بلاك ماتر بمهاجمة شركات النفط والغاز، الأمر الذى سيكون منطقيًا بالنسبة لشركة دارك سايد التى تم إعادة تسميتها بعد عملية إنفاذ القانون التى نتجت عن هجومهم على كولونيال.
ويعد الإقبال الكبير على تغيير العلامة التجارية لبرامج الفدية بمثابة تذكير مهم بأن نطاق عمل هذه البرامج أصغر مما نتصور، كما يعتبر تغيير العلامة التجارية إحدى طرق التهرب من هذه الجهود، وتشير إلى أنه قد يتم خدمة المحققين والمتخصصين فى الأمن السيبرانى بشكل أفضل من خلال دراسة مهاجمى برامج الفدية على المستوى التنظيمي، والتركيز بشكل أقل على برامج الفدية الأكثر تميزاً.
هل لايزال لبرامج الفدية دور جوهري فى الصراع الجيوسياسي؟
يقول التقرير إنه من الواضح أن غالبية هجمات برامج الفدية لها دوافع مالية. ورغم ذلك نجد أن بعضها يحركه أهداف جيوسياسية، ويبدو أنهم يتجهون بشكل كبير نحو الخداع والتجسس والإضرار بالسمعة.
وفى الحالات التى لا تحتوى فيها سلسلة برامج الفدية على آلية لتحصيل المدفوعات أو السماح للضحايا باستعادة ملفاتهم، يمكننا أن نكون أكثر يقينًا من أن المال ليس الدافع الأساسى للمهاجمين، وهذا ما رأيناه فى هجوم الفدية الأخير على الوكالات الحكومية الأوكرانية من قبل قراصنة قد يكونون على صله بالحكومة الروسية.
وبحسب فريق الاستجابة للطوارئ الحاسوبية فى أوكرانيا، وقع الهجوم ليلة 13 يناير 2022 ، حيث تسبب فى تعطيل قدرة العديد من الوكالات الحكومية على العمل.
وجاء الهجوم على خلفية التوترات المتزايدة بين البلدين، حيث تسببت زيادة القوات الروسية على طول الحدود الأوكرانية فى مخاوف من احتمال حدوث غزو على المدى القريب.
وتضيف المدونة أنه كان هناك وضع مشابه فى عام 2017، مع تصاعد التوترات بين البلدين فى ذلك الوقت، استهدفت هذه البرامج التى يطلق عليها “نوبيتا” التى تتخذ من روسيا مقراً لها، والتى لا تحتوى على آلية دفع قابلة للتطبيق، العديد من المنظمات الأوكرانية، وكانت تعتبر محاولة تعطيل ذات دوافع جيوسياسية من قبل الجيش الروسى ولا تحمل دوافع لجمع الأموال.
ما القادم بالنسبة لبرامج الفدية؟
وفقا للتقرير فإن برامج الفدية ليست خطيرة فحسب، لكنها واحدة من أكثر أشكال الجرائم القائمة على العملة المشفرة ديناميكية وولديها قدرة على التغير بشكل مستمر. ويصعب تحديد ما هو قادم وسط استمرار عمليات إعادة تقديم العلامات التجارية واستراتيجيات غسيل الأموال المتغيرة وتأثير الجغرافيا السياسية.
وتظل برامج الفدية المسماة مونيرو أحد التوجهات التى يجب التحقق بشأنها، حيث لاحظ المحللون تصاعد عدد القراصنة الذين يطالبون الضحايا بالدفع فى مونيرو، ويرجع ذلك إلى ارتفاع مستوى إمكانية عدم الكشف عن هويتهم من خلاله.
فى حين لا تزال الغالبية العظمى من القراصنة تطلب عملة البيكوتين، لذلك يجب على الجهات المعنية بإنفاذ القانون والأمن السيبرانى أن يراقبوا الملاحظات الخاصة ببرامج الفدية التى تطلب مونيرو أو الأصول المرتبطة بالبروتوكولات الأخرى التى لديها مميزات تعزيز الخصوصية، حيث سيؤدى ذلك إلى تغيير أساليب التحقيق التى يجب عليهم استخدامها.