قالت شركة كاسبرسكي لاب إن ما نسبته 26.2 % من هجمات طلب الفدية التي شُنّت في العام 2017 استهدفت شركات، وذلك مقارنة بنسبة 22.6 % في العام 2016، وأرجعت الشركة البارزة في مجال أمن الإنترنت هذا الأمر في جانب منه إلى ثلاثة هجمات غير مسبوقة استهدفت شبكات مؤسسية بطريقة أحدثت تغييراً جذرياً في المشهد المرتبط بهذا النوع من التهديدات الذي يزداد سوءاً.
ورأت كاسبرسكي لاب أن سنة 2017 سوف تُذكر باعتبارها السنة التي شهدت تطوراً مفاجئاً ومذهلاً في هجمات طلب الفدية، مع استهداف الجهات القائمة وراء هذه الهجمات المتقدمة الشركات في جميع أنحاء العالم بسلسلة من الهجمات المدمرة التي تعمل بالديدان والتي لا يزال الهدف النهائي الكامن وراءها لغزاً مُحيّراً. وشملت هذه الهجمات هجوم WannaCry الذي شُنّ يوم 12 مايو، و ExPetr في يوم 27 يونيو، و BadRabbit الذي وقع في أواخر أكتوبر. ومارس القائمون وراء تلك الهجمات جميعها أنشطة صُممت لتقويض شبكات تقنية المعلومات في الشركات وتخريبها. كذلك تم استهداف الشركات بهجمات أخرى لطلب الفدية، لكن كاسبرسكي لاب استطاعت منع وقوع إصابات ناجمة عن تلك الهجمات لدى أكثر من 240,000 مستخدم مؤسسي في المجمل.
واعتبر فيدور سِنتسين، كبير محللي البرمجيات التخريبية لدى كاسبرسكي لاب، أن الهجمات الرئيسية التي وقعت خلال العام 2017 “مثال متطرف على الاهتمام الإجرامي المتزايد باستهداف الشركات”، وقال: “كنا رصدنا هذا التوجّه في العام 2016، ووجدنا أنه تسارع في العام 2017 دون أن يُبدي أي علامات على التراجع. وقد بدا واضحاً أن الشركات المستهدفة عُرضة للخطر، نظراً لإمكانية طلب فِدىً أعلى بكثير من تلك التي يتم طلبها من الأفراد، وهي غالباً ما تكون على استعداد لدفعها من أجل الحفاظ على سير أعمالها التجارية. وثمّة مسارات جديدة يزداد اللجوء إليها لإيقاع الإصابات في الأنظمة المؤسسية، تمرّ من خلال أنظمة سطح مكتب بعيدة عن مقرات العمل”.
التوجهات الجديدة التي تمّ رصدها في هجمات طلب الفدية في 2017
جرت في المجمل مهاجمة ما يقل قليلاً عن 950,000 مستخدم منفرد في العام 2017، مقارنة بنحو 1.5 مليون مستخدم في العام 2016. ويُظهر الفرق الواضح بين الرقمين تأثير منهجية الكشف عن الهجمات، فبرمجيات التنزيل غالباً ما ترتبط ببرمجيات تشفير خبيثة خفية بدأت القدرة على اكتشافها تتحسّن بفضل التقنيات الاستدلالية، لذلك لا تُصنف مع النتائج المتعلقة بهجمات طلب الفدية التي تجمعها أجهزة القياس عن بعد، وإنما يأتي تصنيفها في بند مستقل).
الهجمات الرئيسية الثلاثة، فضلاً عن غيرها من البرمجيات التخريبية المنتمية إلى عائلات أقل شهرة، تشمل AES-NI وUiwix، استخدمت أنشطة متطورة تم تسريبها على الإنترنت في ربيع 2017 من قبل مجموعة تعرف باسم “شادو بروكرز” (وسطاء الظل).
كان هناك انخفاض ملحوظ في العائلات الجديدة من البرمجيات المسؤولة عن هجمات طلب الفدية؛ فمن 62 عائلة في العام 2016 انخفض العدد إلى 38 عائلة في العام 2017، مع زيادة مقابلة في التعديلات على برمجيات طلب الفدية القائمة حالياً (أكثر من 96,000 تعديل تم اكتشافها في العام 2017، مقارنة بنحو 54,000 في العام 2016). وقد يعكس ارتفاع التعديلات محاولات المهاجمين زيادة تعقيد هذه البرمجيات لتواكب قدرات الكشف المتنامية للحلول الأمنية.
ابتداء من الربع الثاني من 2017، أنهى عدد من المجموعات الإجرامية أنشطتها التخريبية المتعلقة بهجمات طلب الفدية، بل إن تلك المجموعات نشرت المفاتيح اللازمة لفك تشفير الملفات التي تقوم هجمات طلب الفدية بتشفيرها. وشمل ذلك هجمات AES-NI، وxdata، وPetya، وMischa، وGoldenEye، وCrysis. وقد عادت هجمة Crysis للظهور لاحقاً بعدما أحيتها على الأرجح مجموعة تخريبية أخرى.
استمر في عام 2017 التوجه المتنامي لإصابة الشركات من خلال أنظمة مكتبية تعمل عن بعد، فأصبح هذا النهج واحداً من طرق الانتشار الرئيسية لعدة عائلات من الهجمات التخريبية واسعة الانتشار مثل Crysis، وPurgen، وGlobeImposter، وCryakl.
65 % من الشركات التي أصيبت بهجمات طلب الفدية في العام 2017، قالت إنها فقدت الوصول إلى جزء كبير من بياناتها أو جميع بياناتها، فيما أفادت واحدة من كل ست شركات من التي دفعت الفدية بأنها لم تسترد بياناتها، وهي أرقام تتفق إلى حد كبير مع أرقام العام 2016.
ولحسن الحظ فإن مبادرة “لا مزيد من دفع الفدية“، التي أطلقت في يوليو 2016، تشهد ازدهاراً. ويضافر مشروع المبادرة بين جهود جهات مسؤولة عن تطبيق القانون وشركات منتجة للحلول الأمنية للعمل معاً لتتبع العائلات الكبيرة من هجمات طلب الفدية وتعطيلها، ومساعدة الأفراد على استعادة بياناتهم وتقويض هذا الشكل من أشكال الأعمال الإجرامية المربحة.
وتؤكّد كاسبرسكي لاب أن جميع منتجاتها تحمي المستخدمين من هجمات طلب الفدية، وتشمل هذه المنتجات طبقة تقنية تُسمّى “مراقب النظام” يمكنها منع أثر التغييرات الخبيثة التي أجريت على جهاز ما وإلغاء تلك التغييرات، التي قد تكون تشفير ملفات أو منع الوصول إلى الشاشة. وعلاوة على ذلك، تتيح كاسبرسكي لاب لجميع الشركات أداة مجانية لمكافحة هجمات طلب الفدية، بغض النظر عن نوع المنتجات الأمنية المستخدمة وعلامتها التجارية.
كذلك تنشر كاسبرسكي لاب تقارير دورية تلخص المشهد المتغير للتهديدات المتعلقة بهجمات طلب الفدية، مثل التقارير في هذا الرابط وهذا، علماً بأن النص الكامل لتقرير “قصة العام 2017: التهديدات الخطرة الجديدة لهجمات طلب الفدية” متاح في هذا الرابط. ويشكل التقرير جزءاً من “نشرة كاسبرسكي الأمنية” السنوية Kaspersky Security Bulletin. وتشمل الأقسام الأخرى من النشرة التوقعات المرتبطة بمشهد التهديدات للعام 2018، والمنشورة في 15 نوفمبر والمتاحة في هذا الرابط، فضلاً عن تقرير “المراجعة والإحصاءات السنوية”، الذي سيكون متاحاً في ديسمبر.