يوروبول يكشف كيف تتطور عصابات برامج الفدية لتفادي الاستيلاء عليها

 يشرح تقرير الجريمة السنوي كيف تستمر برامج الفدية في النمو في الربحية على الرغم من محاولات الاستيلاء الأخيرة ، والطرق الجديدة التي يهاجم بها مهاجمو DDoS الشركات.

صورة لافتة يوروبول ملصقة على مقرها في أمستردام

قال يوروبول يوم الخميس إن عصابات برامج الفدية تواصل جني أرباح من نموذج الأعمال حيث تقوم بتطوير منهجيات هجوم جديدة للتهرب من تطبيق القانون.

أصدرت وكالة إنفاذ القانون الأوروبية  تقييمها السنوي لتهديدات الجريمة المنظمة عبر الإنترنت (IOCTA) الذي كشف عن أحدث اتجاهات الأمن السيبراني التي يجب أن تكون المنظمات في المنطقة على دراية بها للعام المقبل ، بما في ذلك الأساليب الجديدة لهجمات برامج الفدية وهجمات DDoS.

ادعى يوروبول أن برامج الفدية ستستمر في الانتشار في جميع أنحاء القارة ، لكن الصناعة يمكن أن تتوقع رؤية المزيد من القيود المفروضة على من أو نوع المنظمات المستهدفة.

مستشهداً بالضغوط الأخيرة واللسعات الناجحة من وكالات إنفاذ القانون ، قال يوروبول إن الهجمات ستركز بشكل أكبر على الشركات الخاصة أكثر من تلك الموجودة في القطاع العام ، وأنه من المرجح أن يتم اختيار الأهداف بناءً على مقدار الضغط السلبي أو الاحتجاج العام الذي قد يتم إنشاؤه بعد هجوم.

قال يوروبول إن هناك عددًا من الحالات التي غيرت فيها عصابات برامج الفدية سياساتها بشأن اختيار الهدف. على سبيل المثال ، صرحت شركة DarkSide أنها ستقدم الاعتدال بعد أن جذب هجوم خط الأنابيب الاستعماري الانتباه العالمي.

قدمت أفادون أيضًا تدابير لتجنب الأهداف في كومنولث الدول المستقلة ، وحظرت REvil  الهجمات على الخدمات الاجتماعية والحكومية في أي بلد.

ادعى عدد من مجموعات برامج الفدية أنها توقفت عن العمل في الأشهر الأخيرة. قالت Avaddon  في يوليو إنها ستتبع خطى DarkSide و Maze في إنهاء حملاتها ، بينما أعلنت BlackMatter مؤخرًا أنها ستغلق أيضًا  ، مستشهدة بالضغط المتزايد من وكالات إنفاذ القانون.

إنه يثير التساؤل حول ما إذا كانت هذه الجماعات ستنهي هجماتها فعليًا إلى الأبد أم أنها ستظل منخفضة حتى يتم قمع الضغط من تطبيق القانون والجمهور والصناعة. و  BlackMatter  مجموعة، على سبيل المثال، هو في حد ذاته يعتقد أنه العرضية من DARKSIDE وريفل، مما يشير إلى أن المتسللين قد الوسم من أجل إعادة تشغيل حملات القرصنة بهم.

ذكرت اليوروبول أيضًا أن أساليب "الابتزاز المزدوج" تتزايد مرة أخرى ، بعد أن تلقت العديد من التقارير هذا العام. يكتسب الابتزاز المزدوج قوة دفع منذ عام 2020 ولكن لوحظ عدد من التقنيات الجديدة مؤخرًا. يتضمن ذلك خدمات  الصوت عبر بروتوكول الإنترنت (VoIP) التي يتم استخدامها للاتصال بالصحفيين بعد هجوم فدية لإجبارهم على الدفع.

كانت هناك أيضًا حالات لمهاجمين يهددون الضحايا بمزيد من هجمات DDoS وتسريب المعلومات في حالة عدم دفع فدية ، وفقًا للتقرير.

أدت الأساليب المتطورة والنهج المقيد لاستهداف الضحايا إلى زيادة 300٪ + في مدفوعات الفدية مقارنة بالفترة بين 2019 و 2020.

سلط تقرير IOCTA أيضًا الضوء على عودة ظهور هجمات رفض الخدمة الموزعة المدفوعة بالمال (DDoS) - مما أدى إلى تعطيل شبكات المنظمات دون اتصال بالإنترنت قبل المطالبة بالدفع.

وقد لاحظت وكالة إنفاذ القانون في الاتحاد الأوروبي المزيد من الحالات لمجرمي الإنترنت الذين يشنون هجمات DDoS صغيرة النطاق على أهدافهم ، وتظهر لهم الضرر الذي يمكنهم إحداثه ، ثم التوقف عن الاتصال والمطالبة بدفع فدية.

قال يوروبول إن نتائج هذا الهجوم كانت مختلطة ، ويدعي المسؤولون أنهم أعضاء في مجموعات التهديد المستمر المعروفة (APT) لإخافة الضحية ودفعها أكثر.

تشمل أنواع المؤسسات التي تم استهدافها باستخدام هذه الطريقة مؤسسات الخدمات المالية ومزودي خدمة الإنترنت (ISPs) والشركات الصغيرة والمتوسطة الحجم (SMBs).

قال كريس واينفورث ، مساعد نائب رئيس شمال أوروبا في Imperva: "هذا دليل إضافي على مقدار التهديد الذي تشكله هجمات الفدية على الشركات ، بما في ذلك تلك التي تتجاوز برامج الفدية". "شهد بحثنا ارتفاعًا في هجمات DDoS التي تركز على الفدية ، ويرجع ذلك جزئيًا إلى أنها يمكن أن تكون أسهل في تنفيذها من هجمات برامج الفدية.

وأضاف:

"ليس من قبيل المصادفة أن عدد هجمات DDoS تضاعف أربع مرات في العام الماضي". "باستخدام الهجمات السريعة ، التي يبلغ متوسطها 6 دقائق فقط ، يُظهر مجرمو الإنترنت قدراتهم للشركات قبل إرسال طلب ابتزاز ، ويهددون بهجمات أكبر بكثير إذا لم يتم سداد المدفوعات."

كان التهديد الرئيسي الأخير الذي لفت يوروبول الانتباه إليه هو البرامج الضارة المستندة إلى الهاتف المحمول والتي ، كما قالت الوكالة ، لم تكن في السابق فعالة كما كان المهاجمون يأملون. على الرغم من ذلك ، فقد زاد عدد التقارير بشكل ملحوظ.

تم تسمية FluBot كواحد من أكثر أحصنة طروادة المصرفية عبر الهاتف انتشارًا والتي يتم تداولها حاليًا في جميع أنحاء أوروبا والولايات المتحدة. تتضمن الوظائف الرئيسية لـ FluBot إعداد تراكبات غير مرئية تعمل على تطبيقات مصرفية مختلفة لسرقة بيانات اعتماد تسجيل الدخول.

سلالات البرامج الضارة الأخرى مثل Cerberus و TeaBot قادرة أيضًا على اعتراض رموز المرور لمرة واحدة المستندة إلى الرسائل القصيرة المرسلة من المؤسسات المالية  وأكواد المصادقة الثنائية (2FA) من تطبيقات مثل Google Authenticator.

قال إدفارداس زيليريس ، رئيس المركز الأوروبي للجرائم الإلكترونية في يوروبول:

"الجريمة الإلكترونية هي حقيقة واقعة ويجب على أجهزة إنفاذ القانون في جميع أنحاء العالم اللحاق بها". وأضاف: "تجمع مثل هذه الأحداث بين الكيانات العامة والخاصة في التعرف على التهديد وتحديد طرق لمكافحته بفعالية. فقط من خلال العمل معًا يمكننا إنشاء أفكار مبتكرة وأساليب عملية يمكن أن تضع حداً لتسريع الجرائم الإلكترونية. من الضروري تهيئة البيئة والموارد اللازمة للقيام بذلك ".