ما المقصود ببرامج الفدية كخدمة (RaaS)؟

الاشتراك الشهري

يدفع شركاء RaaS رسومًا متكررة -أحيانًا تصل إلى 40 دولارًا أمريكيًا شهريًا- مقابل الوصول إلى أدوات الفدية.

رسوم لمرّة واحدة

يدفع الشركاء رسومًا لمرّة واحدة لشراء رمز برنامج الفدية مباشرةً.

البرامج التابعة

يدفع الشركاء رسومًا شهرية ويشاركون نسبة صغيرة من أي مدفوعات فدية يحصلون عليها مع المشغِّلين.

تقاسم الأرباح

لا يفرض المشغِّلون أي رسوم مقدمة، لكنهم يأخذون حصة كبيرة من كل فدية يحصل عليها الشريك، غالبًا ما تتراوح بين 30% و40%.

 يتم الإعلان عن مجموعات برامج الفدية كخدمة على منتديات الشبكة الخفية عبر النظام البنائي الخفي، ويقوم بعض مشغِّلي برمجيات الفدية الضارة بتجنيد شركاء جُدد بنشاط، مستثمرين ملايين الدولارات الأمريكية في حملات التوظيف على الشبكة الخفية.

بمجرد شراء مجموعة RaaS، يحصل الشركاء على أكثر من مجرد برامج ضارة ومفاتيح فك التشفير. وغالبًا ما يحصلون على مستوى من الخدمة والدعم على قدم المساواة مع بائعي البرمجيات كخدمة القانونيين. يقدِّم بعض مشغِّلي RaaS الأكثر تطورًا ميزات مثل:

• الدعم الفني المستمر.
• الوصول إلى المنتديات الخاصة حيث يمكن للقراصنة تبادل النصائح والمعلومات.
• بوابات معالجة الدفع؛ لأن معظم مدفوعات الفدية تُطلب بعملات مشفرة غير قابلة للتتبُّع مثل بيتكوين.
• أدوات ودعم لكتابة ملاحظات الفدية المخصصة أو التفاوض حول مطالب الفدية.

الإسناد المبهم لهجمات الفدية الضارة

في نموذج RaaS، قد لا يكون الأشخاص الذين ينفذون الهجمات الإلكترونية هم الأشخاص أنفسهم الذين طوروا البرامج الضارة المستخدمة. علاوةً على ذلك، قد تستخدم مجموعات قرصنة مختلفة برامج الفدية نفسها. وقد لا يتمكَّن متخصصوا الأمن الإلكتروني من ربط الهجمات بشكل قاطع بأي مجموعة معينة، ما يجعل من الصعب عليهم تحديد هوية مشغِّلي برامج الفدية كخدمة وشركائهم. 

تخصص المجرمين الإلكترونيين

على غرار الاقتصاد المشروع، أدى اقتصاد الجرائم الإلكترونية إلى تقسيم العمل. يمكن الآن لمرتكبي الهجمات التخصص وتحسين مهاراتهم. ويمكن للمطورين التركيز على كتابة برامج ضارة قوية بشكل متزايد، ويمكن للشركاء التركيز على تطوير أساليب هجوم أكثر فاعلية.

وهناك فئة ثالثة من المجرمين الإلكترونيين تُسمَّى "وسطاء الوصول"، وهي متخصصة في التسلل إلى الشبكات وبيع نقاط الوصول للمهاجمين. يتيح التخصص للمخترقين التحرك بشكل أسرع وتنفيذ المزيد من الهجمات. ووفقًا لمؤشر X-Force Threat Intelligence Index، انخفض متوسط الوقت اللازم للتحضير وبدء هجوم برامج الفدية من أكثر من 60 يومًا في عام 2019 إلى 3.84 أيام في الوقت الحالي.

زيادة مرونة تهديدات برامج الفدية الضارة

يُتيح نموذج برامج الفدية كخدمة للمشغِّلين والشركاء تقاسم المخاطر، ما يجعل كل طرف أكثر مرونة. حيث إن إلقاء القبض على الشركاء لا يوقف المشغِّلين، ويمكن للشركاء الانتقال إلى مجموعة أخرى من برامج الفدية إذا تم القبض على أحد المشغِّلين. من المعروف أيضًا أن المخترقين يعيدون تنظيم أنشطتهم وإعادة تسميتها للتهرُّب من السلطات.

على سبيل المثال، بعد أن فرضت وزارة الخزانة الأمريكية (OFAC) عقوبات على عصابة Evil Corp، توقَّف الضحايا عن دفع الفدية لتجنُّب العقوبات من OFAC. ردًا على ذلك، قامت شركة Evil Corp بتغيير اسم برنامج الفدية الخاص بها (الرابط موجود خارج موقع ibm.com) لضمان استمرار المدفوعات.

ظهور أساليب جديدة للضغط

لقد وجد المجرمون الإلكترونيون الذين يستخدمون هجمات برامج الفدية كخدمة (RaaS) أنهم يمكنهم غالبًا المطالبة بمدفوعات فدية أعلى وأسرع إذا لم يقوموا بتشفير بيانات الضحية. يمكن أن تؤدي الخطوة الإضافية لاستعادة الأنظمة إلى إبطاء المدفوعات. بالإضافة إلى ذلك، قامت المزيد من المؤسسات بتحسين استراتيجيات النسخ الاحتياطي والاسترداد الخاصة بها، ما يجعل التشفير أقل ضررًا لها.

بدلًا من ذلك، يهاجم المجرمون الإلكترونيون المؤسسات التي تمتلك مخازن كبيرة من المعلومات الشخصية الحساسة (PII) -مثل مقدمي الرعاية الصحية- ويهددون بتسريب تلك المعلومات الحساسة. غالبًا ما يدفع الضحايا فدية بدلًا من المعاناة من الإحراج -والتداعيات القانونية المحتملة- للتسرُّب.

Tox

تم التعرُّف على Tox لأول مرّة في عام 2015، ويعتبره الكثيرون أول برنامج فدية كخدمة.

LockBit

يُعَد LockBit أحد أكثر أنواع RaaS انتشارًا، وفقًا لمؤشر X-Force Threat Intelligence Index. ينتشر LockBit في كثير من الأحيان من خلال رسائل البريد الإلكتروني الاحتيالية . وتجدر الإشارة إلى أن العصابة التي تقف وراء LockBit حاولت تجنيد منتسبين يعملون لدى الضحايا المستهدفين بغرض تسهيل عملية التسلل.

DarkSide

تم استخدام نسخة برنامج الفدية من DarkSide في هجوم عام 2021 على خط أنابيب كولونيال الأمريكي، والذي يُعتبر أسوأ هجوم إلكتروني على البنية التحتية الحيوية في الولايات المتحدة حتى الآن. تم إغلاق DarkSide في عام 2021، لكن مطوريه أطلقوا مجموعة RaaS لاحقة تُسمَّى BlackMatter.

REvil/Sodinokibi

يُعتبر REvil، المعروف أيضًا باسم Sodin أو Sodinokibi، هو المسؤول عن إنتاج برنامج الفدية الذي تم استخدامه في هجمات عام 2021 ضد JBS USA وKaseya Limited. وقد كان له تأثير كبير وانتشار واسع في عالم برامج الفدية كخدمة. أغلق جهاز الأمن الفيدرالي الروسي REvil ووجهت التهم إلى عدة أعضاء رئيسيين فيها في أوائل عام 2022.

Ryuk

قبل إغلاقها في عام 2021، كانت Ryuk واحدة من أكبر مشغِّلي برامج الفدية كخدمة. انتقل المطورون الذين أسسوا Ryuk إلى إصدار Conti، نسخة أخرى رئيسية من برنامج الفدية كخدمة، والتي تم استخدامها في هجوم ضد الحكومة الكوستاريكية في عام 2022.

Hive

برزت مجموعة Hive في عام 2022 بعد هجوم على خادم Microsoft Exchange. وقد كان شركاء Hive يشكِّلون تهديدًا كبيرًا للشركات المالية ومؤسسات الرعاية الصحية حتى قام مكتب التحقيقات الفيدرالي (FBI) بإيقاف المشغِّل.

Black Basta

ظهرت مجموعة Black Basta كتهديد في عام 2022، وسرعان ما ادَّعت أنها استهدفت أكثر من 100 ضحية في أمريكا الشمالية وأوروبا وآسيا. ومن خلال الهجمات المستهدفة، كان المخترقون يطالبون بابتزاز مزدوج: فك تشفير بيانات الضحية، وأيضًا التهديد بنشر معلومات حساسة للجمهور.

CL0P

في عام 2023، استغلت مجموعة CL0P ثغرة في تطبيق نقل الملفات MOVEit لكشف معلومات عن ملايين الأفراد.

Eldorado

تم الإعلان عن Eldorado RaaS في أوائل عام 2024 في إعلان على أحد منتديات برامج الفدية. في غضون ثلاثة أشهر، تم بالفعل الاعتداء على 16 ضحية في الولايات المتحدة وأوروبا^.1

خطط شاملة للاستجابة للحوادث

يمكن أن يكون التخطيط للاستجابة للحوادث مفيدًا بشكل خاص لهجمات RaaS. وقد يكون من الصعب تحديد مصدر الهجوم، ما يعني أن فِرَق الاستجابة للحوادث لا يمكنها الاعتماد على استخدام هجمات برامج الفدية للتكتيكات أو الأساليب أو الإجراءات (TTPs) نفسها بشكل دائم.

علاوةً على ذلك، عندما يطرد المستجيبون للحوادث شركاء RaaS، قد يظل وسطاء الوصول نشطين على شبكاتهم. إن صيد التهديدات وإجراء التحقيقات الشاملة في الحوادث يمكن أن يساعد فِرَق الأمن في القضاء على هذه التهديدات المراوغة. 

أدوات الكشف عن الحالات غير الطبيعية

يمكن للمؤسسات استخدام أدوات الكشف عن حالات الخلل، مثل بعض حلول كشف نقطة النهاية والاستجابة لها (EDR) وحلول الكشف والاستجابة على مستوى الشبكة (NDR)، لتحديد هجمات برامج الفدية الجارية. تَستخدِم هذه الأدوات وظائف الأتمتة الذكية والذكاء الاصطناعي والتعلم الآلي للكشف عن التهديدات الجديدة والمتقدمة في الوقت الفعلي تقريبًا وتوفير حماية أكبر لنقطة النهاية.

قد يتم الكشف عن هجوم برنامج الفدية في مراحله الأولى من خلال عملية غير عادية لحذف النسخ الاحتياطية أو تشفير البيانات، والتي تبدأ فجأة دون سابق إنذار. وحتى قبل وقوع الهجوم، قد تكون الأحداث غير الطبيعية "علامات إنذار مبكر" لاختراق وشيك يمكن لفريق الأمن منعه.

تقليل مساحة الهجوم على الشبكة

يمكن للمؤسسات أن تقلِّل من أسطح الهجوم (نقاط الضعف) في شبكتها من خلال إجراء تقييمات دورية للثغرات وتطبيق التصحيحات بشكل منتظم لإغلاق الثغرات التي تُستغَل بشكل شائع.

قد تساعد أدوات الأمان مثل برامج مكافحة الفيروسات وتنسيق الأمان والأتمتة والاستجابة (SOAR) ومعلومات الأمان وإدارة الأحداث (SIEM) والكشف والاستجابة الموسَّعة (XDR) فِرَق الأمان على اعتراض برامج الفدية بشكل أسرع.

التدريب على الأمن الإلكتروني

قم بتوعية الموظفين بكيفية التعرُّف على وسائل هجوم برامج الفدية الشائعة وتجنُّبها بما في ذلك التصيد الاحتيالي والهندسة الاجتماعية والروابط الضارة.

تنفيذ ضوابط الوصول

يمكن أن تساعد المصادقة متعددة العوامل وبنية الثقة الصفرية وتجزئة الشبكة على منع برامج الفدية الضارة من الوصول إلى البيانات الحساسة.

الحفاظ على نسخ احتياطية من البيانات

يمكن للمؤسسات إجراء نسخ احتياطية منتظمة للبيانات الحساسة وصور النظام، ويفضَّل أن يكون ذلك على محركات الأقراص الصلبة أو الأجهزة الأخرى التي يمكن فصلها عن الشبكة.

العمل مع جهات إنفاذ القانون

يمكن للمؤسسات في بعض الأحيان توفير تكلفة ووقت الاحتواء بمساعدة إنفاذ القانون.

تمكَّن الضحايا الذين قاموا بإشراك جهات إنفاذ القانون في حالات هجمات برامج الفدية من تقليل تكلفة انتهاكات البيانات الخاصة بهم بمعدل ما يقرب من مليون دولار أمريكي، باستثناء تكلفة أي فدية تم دفعها، وذلك وفقًا لتقرير تكلفة خرق البيانات الصادر عن IBM. كما ساعد إشراك سلطات إنفاذ القانون على تقليل الوقت اللازم لتحديد عمليات الاختراق واحتوائها من 297 يومًا إلى 281 يومًا.