نشرت اليوم سوفوس، الرائدة عالميًا في حلول الجيل القادم للأمن السيبراني، تقرير سوفوس للتهديدات 2021، والذي يبين سلوك برمجيات طلب الفدية وكيفية التغير السريع في سلوك المهاجمين – وذلك من المستوى المتقدم إلى المبتدئ، ويبين كيفية تأثيرها على مشهد التهديدات وأمن تقنية المعلومات في العام 2021.

يقدم التقرير، والذي أعدّه الباحثون في مجال الأمن من SophosLabs وعدد من خبراء استقصاء التهديدات والاستجابة السريعة والأمن السحابي والذكاء الاصطناعي لدى سوفوس، منظورًا ثلاثي الأبعاد إلى التهديدات الأمنية وتوجهاتها منذ نشأتها وحتى تأثيرها على العالم الواقعي.

وتشمل التوجهات الثلاثة الرئيسية التي عمل التقرير على تحليلها ما يلي: 

1. ستتسع الفجوة بين مشغلي برمجيات طلب الفدية بمختلف مستويات المهارات والموارد. ففي المستوى الأعلى، ستواصل مجموعات المهاجمين الذين يتقنون تصميم ونشر برمجيات طلب الفدية تغيير أساليبهم وتطويع إجراءاتهم ليصبحوا أكثر قدرة على الاختراق والانتشار، ورفع إمكاناتهم وتعقيد هجماتهم واستهداف المؤسسات الكبرى بطلبات الفدية بملايين الدولارات. وفي عام 2020 كان من تلك الهجمات كل من ريوك و راجنار لوكر. أما من الناحية الأخرى، فتتوقع سوفوس ازدياد عدد المهاجمين المبتدئين الذين يتدربون على هجمات طلب الخدمة ويبحثون عن برمجيات جاهزة للاستعانة بها مثل دارما التي تسمح لهم باستهداف عدد كبير من صغار الضحايا.

ومن التوجهات الأخرى في مجال برمجيات طلب الفدية “الابتزاز الثانوي” حيث يقوم المهاجمون، بالإضافة إلى تشفير البيانات، بسرقة المعلومات السرية أو الحساسة والتهديد بنشرها في حال عدم تلبية مطالبهم. أعدت سوفوس خلال العام 2020 تقريرًا عن كل من ميز و رتغنر لوكر ونت ووكر و ريفيل وغيرها من الهجمات التي اتبعت هذا النهج.

في تعليقه على الأمر قال تشيستر ويزنيفسكي، كبير علماء البحث لدى سوفوس: “يتسم نموذج أعمال برمجيات طلب الفدية بالديناميكية والتعقيد. وخلال العام 2020، شهدت سوفوس توجهًا واضحًا نحو محاولة المهاجمين تمييز أنفسهم من حيث المهارات والأهداف إلا أننا لاحظنا كذلك مشاركة عائلات برمجيات طلب الفدية لأفضل ما طورته من أدوات، لتشكل ما يشبه التحالفات التعاونية. بدا أن بعض أولئك المهاجمين قد غادروا المشهد، ومنهم “ميز”، ولكن بعض أدواتهم وأساليبهم عادت للظهور مجددًا باسم جديد “إغيريغور”. فعالم طلب الفدية يمقت الفراغ وفي حال اختفاء تهديد ما، يظهر تهديد آخر سريعًا ليملأ مكانه. وفي الكثير من الحالات، من شبه المستحيل التنبؤ بالاتجاه التالي لبرمجيات طلب الفدية، ولكن التوجهات التي ناقشها تقرير سوفوس للتهديدات هذا العام مرشحة للاستمرار خلال العام القادم 2021″.

2. ستحتاج التهديدات اليومية مثل البرمجيات الخبيثة للتحميل والبوت نت او الوسائط المشغلة من قبل البشر، اهتمامًا أمنيًا جاًدا. يمكن أن تبدو تلك التهديدات مجرد إزعاج طفيف ولكنها في الواقع مصممة لتضمن للمهاجم موطئ قدم لدى الهدف وجمع المعلومات والبيانات اللازمة وإرسالها إلى شبكة للقيادة والتحكم تزوده بتعليمات إضافية. وإذا كان المشغلون من البشر هم من يقفون خلف تلك التهديدات فإنهم سيدرسون كافة الأجهزة التي دخلوا إليها ليعرفوا الموقع الجغرافي وأي علامات تدل على بيانات عالية القيمة، ليبيعوا إمكانية الدخول إلى من يعرض السعر الأعلى – كمهاجمي طلب الفدية. على سبيل المثال، استخدمت هجمات ريوك عام 2020 برمجيات بور لودر للتمكن من إرسال برمجيات طلب الفدية.

وأضاف ويزنيفسكي: “قد تبدو تلك البرمجيات اليومية كعاصفة رملية غير مؤثرة تسبب تنبيهات أمنية عديدة دون سبب. ولكن تحليلات سوفوس تبين أن على المؤسسات أخذ تلك الهجمات بجدية نظرًا لما قد تؤدي إليه: فأية مشكلة قد تؤدي إلى مشاكل عديدة أكبر. ستعتقد العديد من الفرق الأمنية أن منع الهجمة أو إزالة البرمجيات الخبيثة وتنظيف الجهاز المخترق يعني تجنب وقوع الأحداث، وقد لا يدركون أن الهجمة ربما استهدفت أكثر من جهاز واحد، وأن بعض البرمجيات الشائعة والتي تبدو عادية، مثل إيموتيت و بور لودر يمكن أن تؤدي إلى ريوك و نت ووكر وغيرها من الهجمات المتقدمة التي قد لا يلاحظها موظفو تقنية المعلومات إلى ان تنتشر برمجيات طلب الفدية – وقد يكون ذلك في منتصف الليل أو نهاية الأسبوع. ولا شك في أن الهجمات البسيطة التي لا يحسب لها حساب قد تكبّد المؤسسات تكاليف طائلة”.

3. سيقوم جميع المهاجمين من مختلف المستويات بإساءة استخدام الأدوات المشروعة والمرافق والشبكات المعروفة لتجنب الكشف عنهم والتحايل على تدابير الأمنية وتجنب التحليل. وهذا الاستغلال للوسائل والأدوات المشروعة يتيح للمهاجمين البقاء دون الكشف عنهم فيما يمكنهم التنقل عبر الشبكة حتى يصبحوا جاهزين لإطلاق الجزء الرئيسي من الهجمة – كبرمجيات طلب الفدية. وفي الهجمات التي تتم برعاية الدول، هناك ميزة إضافية بأن استخدام الأدوات الشائعة تجعل من الصعب التعرف على المهاجم. وفي عام 2020، أعدت سوفوس تقريرًا عن المجموعة الواسعة من أدوات الهجوم القياسية التي يستخدمها المهاجمون. 

واختتم حديثه بالقول: شاهدنا الكثير من الحالات التي يتم فيها استغلال الأدوات والأساليب المعتادة لتمويه هجمة فعالة في مراجعات سوفوس لمشهد التهديدات خلال العام 2020. تتحدى تلك الأساليب المناهج الأمنية التقليدية لأن مظهر الأداة المعروفة لا يسبب انطلاق التنبيهات، وهنا يأتي دور الاستجابة البشرية السريعة في استقصاء التهديدات وإدارة الاستجابة الفعالة لها. فالخبراء يعرفون جوانب الاختلاف الدقيقة والآثار التي يبحثون عنها، كاستخدام الأدوات المشروعة في الوقت الخطأ او المكان الخطأ، كما أن الخبراء المدربين على استقصاء التهديدات أو مدراء تقنية المعلومات الذين يستخدمون وظائف الكشف والاستجابة في النقاط النهائية يمكنهم معرفة العلامات التي تشكّل مؤشرات ثمينة تنبه فرق الأمن إلى وجود مخترق متطفل واحتمال وقوع هجمة وشيكة”.

وتشمل التوجهات الأخرى التي تم تحليلها في تقرير سوفوس للتهديدات 2021 ما يلي:

• الهجمات على الخوادم: فقد استهدف المهاجمون منصات الخوادم التي تعمل بنظامي التشغيل ويندوز و لينكس، واستغلوا تلك المنصات لمهاجمة المؤسسات من الداخل.

• اثر جائحة كوفيد-19 على أمن تقنية المعلومات، كالتحديات الأمنية المرتبطة بالعمل من المنزل واستخدام الشبكات الشخصية التي تتباين مستويات حمايتها وأمنها بشكل كبير.

• التحديات الأمنية التي تواجه البيئات السحابية: تمكنت الحوسبة السحابية من تلبية عدد هائل من الاحتياجات المؤسسية لبيئات الحوسبة الآمنة، ولكنها تواجه تحديات تختلف عن تلك التي تواجه المؤسسات التقليدية.

• الخدمات المشتركة، مثل مركزات RDP و VPN، ستبقى محور تركيز للهجمات في محيط الشبكة، كما يستخدمها المهاجمون للحركة الجانبية ضمن الشبكات التي تمكنوا من اختراقها.

• تطبيقات البرمجيات التي تعتبر عادة “غير مرغوبة” لأنها تزخر بالإعلانات ولكنها أصبحت تستخدم أساليب تكتيكية لا يمكن تمييزها من البرمجيات الخبيثة.

• العودة المفاجئة للبرمجيات القديمة مثل VelvetSweatshop التي كانت كلمة مرور افتراضية في النسخ القديمة من مايكروسوفت إكسل، وأصبحت تستخدم لإخفاء المحتوى الضار في الوثائق وتجنب الكشف عن التهديدات المتقدمة.

ويقدم ويزنيفسكي من سوفوس لمحة موجزة في مقطع الفيديو عن تقرير سوفوس للتهديدات 2021.