تعد برامج الفدية (Ransomware) من أهم العوامل التي تؤدي إلى تهديد التهديدات ، حيث تكلف الشركات والشركات ومشغلي البنية التحتية مليارات الدولارات سنويًا. وراء هذه التهديدات ، تكمن عصابات برامج الفدية المحترفة التي تنشئ وتوزع برامج ضارة تجعل الهجمات ممكنة.
تهاجم بعض هذه المجموعات الضحايا مباشرةً ، بينما يقوم البعض الآخر بتشغيل نموذج Ransomware-as-a-Service (RaaS) الشهير الذي يمكّن الشركات التابعة من ابتزاز مؤسسات معينة.
مع تزايد تهديد برامج الفدية باستمرار ، فإن معرفة العدو وكيفية عمله هي الطريقة الوحيدة للبقاء في المقدمة. إذن ، إليك قائمة بأهم خمس مجموعات من برامج الفدية المميتة التي تعطل مشهد الأمن السيبراني.
1. ريفيل
مجموعة REvil ransomware ، المعروفة أيضًا باسم Sodinokibi ، هي مجموعة مقرها روسيا برامج الفدية كخدمة (RaaS) العملية التي ظهرت لأول مرة في أبريل 2019. تعتبر واحدة من أكثر مجموعات برامج الفدية قسوة مع روابط لوكالة الخدمات الفيدرالية الروسية (FSB).
جذبت المجموعة بسرعة انتباه المتخصصين في الأمن السيبراني بسبب براعتها التقنية والجرأة في متابعة الأهداف البارزة. كان عام 2021 هو العام الأكثر ربحية للمجموعة حيث استهدفت العديد من الشركات متعددة الجنسيات وأدت إلى تعطيل العديد من الصناعات.
الضحايا الكبار
مارس 2021 ، هاجم REvil شركة Acer للإلكترونيات والأجهزة واختراق خوادمه. طلب المهاجمون 50 مليون دولار لمفتاح فك التشفير وهددوا بزيادة الفدية إلى 100 مليون دولار إذا لم تلبي الشركة مطالب المجموعة.
بعد شهر ، نفذت المجموعة هجومًا آخر بارزًا على مورد شركة آبل ، كوانتا كمبيوترز. حاولت ابتزاز كوانتا وأبل ، لكن لم تدفع أي من الشركتين الفدية المطلوبة البالغة 50 مليون دولار.
واصلت مجموعة REvil ransomware فورة القرصنة واستهدفت JBS Foods و Invenergy و Kaseya والعديد من الشركات الأخرى. أُجبرت JBS Foods على إيقاف عملياتها مؤقتًا ودفعت فدية تقدر بـ 11 مليون دولار في Bitcoin لاستئناف العمليات.
ال هجوم الكاسية جلبت بعض الاهتمام غير المرغوب فيه إلى المجموعة لأنها أثرت بشكل مباشر على أكثر من 1500 شركة في جميع أنحاء العالم. بعد بعض الضغوط الدبلوماسية ، ألقت السلطات الروسية القبض على عدد من أعضاء الجماعة في يناير 2022 وصادرت أصولًا بملايين الدولارات. لكن هذا الاضطراب لم يدم طويلاً مثل تم إعادة تشغيل عصابة REvil Ransomware وتشغيلها منذ أبريل 2022.
2. كونتي
كونتي هي عصابة رانسومواري أخرى سيئة السمعة تتصدر عناوين الصحف منذ أواخر عام 2018. يستخدم طريقة ابتزاز مزدوجةأي أن المجموعة تحجب مفتاح فك التشفير وتهدد بتسريب بيانات حساسة إذا لم يتم دفع الفدية. حتى أنها تدير موقعًا إلكترونيًا مسربًا ، Conti News ، لنشر البيانات المسروقة.
ما يجعل كونتي مختلفًا عن مجموعات برامج الفدية الأخرى هو عدم وجود قيود أخلاقية على أهدافه. وشنت عدة هجمات في قطاعي التعليم والرعاية الصحية وطالبت بملايين الدولارات كفدية.
الضحايا الكبار
تتمتع مجموعة Conti ransomware بتاريخ طويل في استهداف البنى التحتية العامة الحيوية مثل الرعاية الصحية والطاقة وتكنولوجيا المعلومات والزراعة. في ديسمبر 2021 ، أفادت المجموعة بأنها أساءت إلى البنك المركزي الإندونيسي وسرقت بيانات حساسة تصل إلى 13.88 جيجابايت.
في فبراير 2022 ، هاجمت شركة كونتي شركة تشغيل طرفية دولية ، SEA-Invest. تدير الشركة 24 ميناءًا بحريًا في جميع أنحاء أوروبا وإفريقيا وتتخصص في التعامل مع البضائع السائبة الجافة والفواكه والأغذية والمواد السائلة (النفط والغاز) والحاويات. أثر الهجوم على جميع الموانئ الأربعة والعشرين وتسبب في اضطرابات كبيرة.
قام كونتي أيضًا بضرب المدارس العامة في مقاطعة بروارد في أبريل وطالب بفدية قدرها 40 مليون دولار. قامت المجموعة بتسريب وثائق مسروقة على مدونتها بعد أن رفضت المنطقة دفع الفدية.
في الآونة الأخيرة ، اضطر رئيس كوستاريكا إلى إعلان حالة الطوارئ الوطنية بعد هجمات كونتي على العديد من الوكالات الحكومية.
3. الجانب المظلم
تتبع مجموعة DarkSide ransomware نموذج RaaS وتستهدف الشركات الكبرى لابتزاز مبالغ كبيرة من المال. يقوم بذلك عن طريق الوصول إلى شبكة الشركة ، عادةً من خلال التصيد الاحتيالي أو القوة الغاشمة ، ويقوم بتشفير جميع الملفات الموجودة على الشبكة.
هناك العديد من النظريات المتعلقة بأصول مجموعة DarkSide ransomware. يعتقد بعض المحللين أن مقرها في أوروبا الشرقية ، في مكان ما في أوكرانيا أو روسيا. يعتقد آخرون أن المجموعة لديها امتيازات في العديد من البلدان ، بما في ذلك إيران وبولندا.
الضحايا الكبار
تطالب مجموعة DarkSide بفدية ضخمة لكنها تدعي أن لديها مدونة لقواعد السلوك. تدعي المجموعة أنها لا تستهدف أبدًا المدارس والمستشفيات والمؤسسات الحكومية وأي بنية تحتية تؤثر على الجمهور.
ومع ذلك ، في مايو 2021 ، نفذت DarkSide هجوم خط الأنابيب الاستعماري وطالب بفدية قدرها 5 ملايين دولار. كان أكبر هجوم إلكتروني على البنية التحتية للنفط في تاريخ الولايات المتحدة وأدى إلى اضطراب إمدادات البنزين ووقود الطائرات في 17 ولاية.
أثار الحادث نقاشات حول أمن البنية التحتية الحيوية وكيف يجب أن تكون الحكومات والشركات أكثر حرصًا على حمايتها.
بعد الهجوم ، حاولت مجموعة DarkSide مسح اسمها من خلال إلقاء اللوم على الشركات التابعة لجهات خارجية في الهجوم. ومع ذلك ، وفقا ل واشنطن بوستقررت الجماعة وقف عملياتها بعد تصاعد الضغوط من الولايات المتحدة.
4. DoppelPaymer
يعد DoppelPaymer ransomware خليفة لبرنامج الفدية BitPaymer الذي ظهر لأول مرة في أبريل 2019. يستخدم طريقة غير معتادة للاتصال بالضحايا والمطالبة بفدية في عملات البيتكوين.
تدعي DoppelPaymer أنها مقرها في كوريا الشمالية وتتبع نموذج انتزاع الفدية المزدوج. تراجع نشاط المجموعة بعد أسابيع من هجوم كولونيال بايبلاين ، لكن المحللين يعتقدون أنها أعادت تسمية نفسها باسم مجموعة الحزن.
الضحايا الكبار
تستهدف DopplePaymer بشكل متكرر شركات النفط وشركات صناعة السيارات والصناعات الحيوية مثل الرعاية الصحية والتعليم وخدمات الطوارئ. إنه أول برنامج فدية تسبب في وفاة مريض في ألمانيا بعد أن تعذر على أفراد خدمة الطوارئ التواصل مع المستشفى.
تصدرت المجموعة عناوين الصحف عندما نشرت معلومات الناخبين من مقاطعة هول ، جورجيا. في العام الماضي ، أضرّت أيضًا بأنظمة كيا موتورز أمريكا التي تواجه العملاء وسرقت بيانات حساسة. طلبت المجموعة فدية 404 بيتكوين ، أي ما يعادل 20 مليون دولار تقريبًا في ذلك الوقت.
5. LockBit
كانت LockBit مؤخرًا واحدة من أبرز عصابات برامج الفدية ، وذلك بفضل تراجع المجموعات الأخرى. منذ ظهوره لأول مرة في عام 2019 ، شهد LockBit نموًا غير مسبوق وطور تكتيكاته بشكل كبير.
بدأت LockBit كعصابة صغيرة في البداية لكنها اكتسبت شعبية مع إطلاق LockBit 2.0 في أواخر عام 2021. تتبع المجموعة نموذج RaaS وتستخدم أسلوب الابتزاز المزدوج لابتزاز الضحايا.
الضحايا الكبار
تعد LockBit حاليًا مجموعة فعالة من برامج الفدية ، حيث تمثل أكثر من 40 بالمائة من جميع هجمات برامج الفدية في مايو 2022. إنها تهاجم منظمات في الولايات المتحدة والصين والهند وأوروبا.
في وقت سابق من هذا العام ، استهدفت LockBit مجموعة Thales ، وهي شركة إلكترونيات فرنسية متعددة الجنسيات ، وهددت بتسريب بيانات حساسة إذا لم تلبي الشركة مطالب الفدية للمجموعة.
كما أنه أضر بوزارة العدل الفرنسية وقام بتشفير ملفاتهم. تدعي المجموعة الآن أنها انتهكت وكالة الضرائب الإيطالية (L'Agenzia delle Entrate) وسرقة 100 جيجابايت من البيانات.
الحماية من هجمات برامج الفدية
لا تزال Ransomware صناعة مزدهرة في السوق السوداء ، وتدر عائدات بمليارات الدولارات لهذه العصابات سيئة السمعة كل عام. بالنظر إلى الفوائد المالية والتوافر المتزايد لنموذج RaaS ، فإن التهديدات لا بد أن تزداد.
كما هو الحال مع أي برنامج ضار ، فإن اليقظة واستخدام برامج الأمان المناسبة هي خطوات في الاتجاه الصحيح لمكافحة برامج الفدية. إذا لم تكن مستعدًا للاستثمار في أداة أمان متميزة حتى الآن ، فيمكنك استخدام أدوات حماية برامج الفدية المضمنة في Windows للحفاظ على جهاز الكمبيوتر الخاص بك آمنًا.
