الوجه الجديد لعصابات القرصنة الابتزازية في 2022 : أكثر مرونة بنكهة سياسية

كاب نيوز -  قطعت عمليات القرصنة الابتزازية بونا شاسعا في السنوات الأخيرة –

فمن هواة يشتغلون إلى حد ما في سرية في بدايات هذه الظاهرة، أصبحنا اليوم نواجه منظمات حقيقية تتوفر على علاماتها الصناعية وأساليبها المميزة، وتسود بينها ومنافسة شادة على الشبكات المظلمة للأنترنيت (دارك ويب). وبشكل عام، فعلى الرغم من تفكيك بعض المجموعات الرئيسية، تواصل عصابات القرصنة الابتزازية نموها وازدهارها. ولا تَعْدَمُ المجموعات المرتبطة بممارسة الابتزاز الإلكتروني أساليب غير مألوفة لشن هجمات ضد ضحاياها، وتتفنن في اختلاس المعطيات لجعل هجماتهم أكثر دقة وفعالية.

وفي غضون ذلك، يواصل فريق خبراء كاسبيرسكي اليقظة وتتبع أنشطة هذه الجماعات، وفي إطار تخليد يوم مكافحة الابتزاز الإلكتروني في 12 مايو 2022، أصدر الفريق  تقريرا مجملا حول أهم التوجهات التي تم رصدها خلال سنة 2022 في مجال القرصنة الابتزازية.

التوجه الأول الملفت للأنظار هو انتشار استعمال قدرات عابرة للمنصات من طرف مجموعات القرصة الابتزازية. ففي الفترة الأخيرة، تَمَثِّلَ هدف هذه المجموعات في إلحاق الضرر بأكبر عدد ممكن من الأنظمة باستعمال نفس البرنامج  الخبيث من خلال كتابة شيفرات يمكن أن تُنَفَّذَ في عدة أنظمة استغلال مختلفة دون تمييز. وفي هذا السياق قامت مجموعة Conti، التي تعتبر من بين مجموعات القرصنة الابتزازية الأكثر نشاطا، بتطوير صِنفٍ خاص يستهدف أنظمة لينكس، والذي يتم توزيعه عبر شبكة من التابعين للمجموعة تم انتقاؤهم بعناية. وفي نهاية 2021، عرفت لغات البرمجة العابرة للمنصات، خاصة Rust و Golang، انتشارا واسعا. للإشارة، فإن مجموعة  BlackCat، التي أعلنت نفسها من طرف واحد "عصابة قرصة ابتزازية من الجيل الجديد" ونفذت هجومات على ما يزيد عن 60 مؤسسة منذ ديسمبر 2021، كتبت برمجياتها الخبيثة بلغة Rust. أما لغة Golang فتم استعمالها في صياغة البرمجيات الخبيثة لمجموعة DeadBolt التي داع صيتها بسبب هجماتها على الشركة التيوانية QNAP.

فضلا على ذلك، واصلت مجموعات المهاجمين، في نهاية 2021 وبداية 2022، أنشطتهم الموجهة لتسهيل عملياتهم التجارية، بما في ذلك تغيير العلامة بشكل منتظم بهدف التحايل على السلطات والإفلات من مراقبتها، إضافة إلى التحيين المستمر للأدوات التي تستعملها في الاختراق والاستيلاء على المعطيات وتسريبها. وطورت بعض المجموعات واستعملت حقائب أدوات كاملة شبيهة بنظيراتها لدى شركات البرمجيات النفعية. وتعد مجموعة Lockbit  من أبرز الأمثلة عن التطور الذي عرفته عصابات القرصة الابتزازية. فالمجموعة لا  تستنكف عن استعراض سلسلة التحسينات التي عرفتها مقارنة مع منافسيها بافتخار بالغ، خاصة التحديثات والإصلاحات المنتظمة التي أدخلتها على بنيتها التحتية. وقدمت Lockbit للمرة الأولى أداتها الاختراقية الخاصة StealBIT التي تُمَكِّنُ من تسريب المعطيات بسرعة عالية لا نظير لها، الشيء الذي يؤشر على المجهودات الجبارة التي تبدلها هذه المجموعات في سبيل تسريع أداء البرمجيات الخبيثة.

أما التوجه الثالث الذي رصده خبراء كاسبيرسكي، فيرتبط بالوضع الجيو – سياسي، على خلفية الحرب الأوكرانية، التي أثرت كثيرا في مشهد القرصنة الابتزازية. فرغم أن مثل هذه الهجمات غالبا ما ترتبط بمنفذي التهديدات المستمرة المتقدمة (APT)، إلا أن كاسبيرسكي لاحظ وجود أنشطة كبرى في منتديات الإجرام الإلكتروني، وقيام فاعلين في مجال القرصنة الابتزازية بعمليات بدت كرد فعل على هذه الوضعية. فخلال وقت قصير من بداية الحرب، عبرت بعض مجموعات القرصنة الابتزازية عن مواقفها، الشيء الذي تمخض عن هجمات محفزة سياسيا من طرف بعض عصابات الابتزاز الإلكتروني، إما مُسانَدةً لروسيا أم لأوكرانيا. ويعد Freeud، الذي طوره مساندون لأوكرانيا، واحدا من بين البرمجيات الخبيثة التي تم اكتشافها أخيرا خلال الحرب الأوكرانية. ويتميز Freeud بانطوائه على خصائص ماسحة للمعطيات (wiper). فإذا كان البرنامج الخبيث يضم لائحة ملفات، فإنه يقوم بمسحها نهائيا من النظام بدل الاقتصار على تشفيرها.

« إذا كنا في العام الماضي نقول بأن برمجيات القرصنة الابتزازية كانت في عز نموها، فإنها في هذه السنة قد أصبحت في أوج تفتحها. فعلى الرغم من أن بعض المجموعات التي كانت نشطة خلال السنوات الأخيرة قد تم إجبارها على التوقف، إلا أن فاعلين جدد قد ظهروا في الميدان ومعهم تقنيات لم يسبق لها مثيل »، يقول ديميتري غالوف، الباحث في المجال الأمني في GreAT لدى كاسبيرسكي. ويضيف غالوف قائلا : « ومع ذلك، فبقدر ما  تتطور التهديدات المرتبطة بالقرصنة الابتزازية وتتوسع تقنيا وجغرافيا، فإنها تصبح أكثر قابلية للتوقع، الشيء الذي يُمَكِّنُ من رصدها  بشكل أفضل والدفاع عن أنفسنا في مواجهتها ».

لمعرفة المزيد حول التوجهات الجديدة المرتبطة بالقرصة الابتزازية في تقرير Securelist.

سجل في مذكرتك

يوم 16 مايو على الساعة 16:00 حسب توقيت وسط أوروبا، سيقدم ديميتري غالوف، الباحث في المجال الأمني لدى كاسبيرسكي، آخر التوجهات التي تمت ملاحظتها في سوق القرصنة الابتزازية، مع التركيز على التقنيات والأهداف الجديدة لمجموعات المهاجمين.