"إنها معركة .. إنها حرب".. الخبراء يسعون إلى هزيمة مهاجمي برامج الفدية

يحب خبراء الأمن السيبراني أن يمزحوا قائلين إن المتسللين الذين حولوا هجمات برامج الفدية إلى صناعة بمليارات الدولارات غالبا ما يكونون أكثر احترافا حتى من أكبر ضحاياهم. هجمات برامج الفدية - عندما يحبس المهاجمون السيبرانيون أنظمة الكمبيوتر أو البيانات لدى هدفهم إلى أن يتم دفع الفدية - عادت إلى دائرة الضوء هذا الأسبوع بعد الهجمات التي ضربت أحد أكبر خطوط أنابيب البترول في الولايات المتحدة، وأعمال توشيبا الأوروبية والخدمات الصحية في إيرلندا.
وبينما تعهدت الحكومات بمعالجة المشكلة، قال الخبراء إن العصابات الإجرامية أصبحت أكثر جرأة ولا تزال لها اليد العليا. وقالوا إنه بالنسبة للشركات فإن هناك المزيد من الألم في المستقبل.
قالت ميرنا سوتو، كبيرة مسؤولي الاستراتيجية والثقة في Forcepoint: "ربما يكون هذا هو اللغز الأكبر في الأمن لأن الشركات عليها أن تقرر مدى مشاركتها في لعبة القط والفأر هذه. لكي نكون صادقين، إنها معركة، إنها حرب".
في العام الماضي، ارتفع عدد هجمات برامج الفدية بأكثر من 60 في المائة إلى 305 ملايين، وفقا لبيانات من SonicWall، حيث استغل المتسللون التحول إلى العمل من المنزل، ونقاط الضعف التي انفتحت نتيجة لذلك. يدفع أكثر من ربع الضحايا بقليل من أجل فك القفل عن أنظمتهم، وفقا لباحثي الأمن السيبراني في CrowdStrike.
تهيمن نحو 20 عصابة على سوق هجمات برامج الفدية، وكانت الأعمال نشطة. فقد كسبوا ما لا يقل عن 18 مليار دولار في 2020، وفقا لمجموعة Emsisoft للأمن السيبراني، بمتوسط دفع نحو 150 ألف دولار لكل حالة. بعد أن كانوا عشوائيين في هجماتهم، ينخرط الكثيرون الآن في "لعبة صيد كبيرة" - ملاحقة أكبر الأهداف للمطالبة بدفعات ضخمة.
انضم أيضا مجرمون أقل توجها من الناحية التكنولوجية، بعد ظهور برامج الفدية كخدمة، أو Raas، حيث تقوم المجموعات بتأجير فيروساتها على الويب المظلم إلى "شركات زميلة" وتقتطع من أرباحها. قال ريك هولاند، كبير مسؤولي أمن المعلومات في مجموعة الأمن السيبراني Digital Shadows: "هناك حواجز منخفضة للغاية للدخول الآن".
كان الجناة المزعومون لقرصنة كولونيال بايب لاين، وهي عصابة روسية تدعى دارك سايد، يديرون أحد هذه البرامج الزميلة، وفقا لمجموعة الأمن السيبراني فاير آي، ما يعني أن مجموعة أخرى ربما شاركت أيضا في الهجوم على كولونيال. قال جوشوا موتا، الشريك المؤسس والرئيس التنفيذي لمجموعة كوليتشن للتأمين الإلكتروني: "يوجد الآن تقسيم للعمل والمجرمون يتعاونون عبر حدود الدول".

اتبع المال

يواصل خبراء وحكومات الإنترنت مناقشة الطريقة الأكثر فعالية للتغلب على عصابات الإنترنت. أحد الأسئلة الشائكة هو ما إذا كان يجب على الحكومات منع الضحايا من دفع الفدية تماما. قال بريت كالو، المحلل في Emsisoft: "هذا شيء تحتاج الحكومات بجدية إلى مراعاته. حين جعل هجمات برامج الفدية غير مربحة، ستتوقف الهجمات".
لكن المعارضين يحذرون من أن الحظر لن يفعل الكثير لردع المتسللين، بالنظر إلى التكلفة المنخفضة والمخاطر المنخفضة لشن الهجمات، ويمكن أن يدفع العصابات نحو أهداف أكثر عرضة للخطر، مثل المستشفيات.
ينصح مكتب التحقيقات الفيدرالي بعدم دفع الفدية، ولكن في حالة كولونيال، أقر البيت الأبيض بالموقف الصعب الذي علقت الشركات فيه.
في الشهر الماضي، أوصت فرقة عمل بين القطاعين العام والخاص من مجموعات التكنولوجيا الكبيرة بما في ذلك مايكروسوفت وأمازون، جنبا إلى جنب مع مسؤولين أمريكيين، بجعل الأمر إلزاميا للشركات لمراجعة البدائل قبل دفع فدية، ثم تقديم تقرير إلى هيئة حكومية إذا دفعت فدية.
يتردد كثير من الضحايا في الكشف عما إذا كانوا قد تعرضوا للهجوم أو قاموا بالدفع، بسبب مخاوف من الإضرار بالسمعة أو رد الفعل القانوني والتنظيمي. لكن جين إليس، نائبة رئيس شؤون المجتمع والشؤون العامة في مجموعة Rapid7 الإلكترونية وعضو مجلس الإدارة، قالت: "يمكن القيام بذلك بشكل خاص، وهناك طرق للقيام بذلك حتى تزيل الوصمة عنه. لكن الإبلاغ عن ذلك يمنحنا قدرة أكبر على التحقيق في المدفوعات وتعقبها".
يرتبط هذا بمطلب آخر دعا إليه فريق العمل وآخرون: مزيد من الرقابة الحكومية على بورصات العملات المشفرة، التي يعتقدون أنها ينبغي أن تلتزم بقوانين "اعرف عميلك" وقوانين مكافحة غسيل الأموال مثل قوانين الخدمات المالية التقليدية.

كيف يمكن للمحققين العثور على أدلة؟

في الوقت نفسه، كثفت الحكومة الأمريكية جهودها لتعقب ومحاكمة عصابات برامج الفدية نفسها، حيث أطلقت وزارة العدل الشهر الماضي وحدتها المخصصة لبرامج الفدية. من بين أهدافها، وفقا لمذكرة من نائب وزير العدل بالنيابة جون كارلين، التي اطلعت عليها الفاينانشيال تايمز، اتخاذ إجراءات "لتعطيل وتفكيك النظام البيئي الإجرامي".
قد يتضمن هذا عادة محو الخوادم وخدمات الاستضافة الأخرى التي تسهل مشروع عصابات الإنترنت، وفقا لتوم كيليرمان، رئيس استراتيجية الأمن السيبراني لـ VMware وعضو المجلس الاستشاري للتحقيقات الإلكترونية في الخدمة السرية الأمريكية.
اقترح كيليرمان أنه يمكن أن يكون هناك دور لمزودي خدمة الإنترنت في القضاء على منتديات الويب المظلمة المرتبطة بعصابات معينة. يتساءل: "لماذا لا يغرقونها، أي يوقفونها تماما عن الإنترنت؟".
غالبا ما يكون الإهمال من جانب الفروع الإجرامية هو الذي يترك أدلة للمحققين تجعل من الممكن اتخاذ مثل هذا الإجراء، وفقا لما يقوله ألان ليسكا، من فريق الاستجابة لحوادث أمان الكمبيوتر في Recorded Future، لأنهم "ليسوا على القدر نفسه من الجودة لتغطية مساراتهم" باعتبارهم مشغلي برامج الفدية النهائية.
منذ الآن، هناك مؤشرات على أن استهداف البنية التحتية للقراصنة ساعد على منع مصيبة أكثر حتى كارثية في حالة إغلاق كولونيال. السبت، قامت مجموعة من شركات التكنولوجيا والإنترنت، إضافة إلى الوكالات الأمريكية مثل مكتب التحقيقات الفيدرالي، بإحباط المهاجمين من خلال إغلاق الخوادم الموجودة في الولايات المتحدة التي كان يستخدمها المتسللون لتخزين البيانات قبل إرسالها إلى روسيا، وفقا لشخصين مطلعين على الوضع. تم الإبلاغ عن الاضطراب لأول مرة بواسطة بلومبيرج.
كانت هناك محاولة قليلة لمقاضاة العصابات، التي يعمل كثير منها في ظل الإفلات من العقاب من روسيا، التي من غير المرجح أن تقوم بتسليمهم. في الشهر الماضي، اتهمت وزارة الخزانة الأمريكية أحد أجهزة المخابرات الروسية، FSB، "بتشجيع واستقطاب" مجموعة برامج الفدية Evil Corp.
في المقابل، يتجنب المجرمون عادة استهداف المنظمات في روسيا، ويمكن دعوتهم لمشاركة وصولهم إلى أنظمة الضحية. قال ليسكا: "أنا أمزح بقولي إن الطريقة الأكثر أمانا لحماية نفسك من برامج الفدية هي تحويل جميع لوحات المفاتيح الخاصة بك إلى الأبجدية الروسية".

استخدام العقوبات

قال ديمتري ألبيروفيتش، المؤسس المشارك لمجموعة CrowdStrike الأمنية الذي يدير الآن مؤسسة Silverado Policy Accelerator الفكرية، على تويتر: "ليست لدينا مشكلة في برامج الفدية. لدينا مشكلة روسيا. هذا كل شيء".
أوصى فريق عمل برامج الفدية بين القطاعين العام والخاص بمزيد من التنسيق الدولي و "ممارسة الضغط" على الدول التي ترفض التعاون - على سبيل المثال، من خلال العقوبات أو عن طريق حجب المساعدات أو التأشيرات.
حتى الآن، اختارت الولايات المتحدة فرض عقوبات على مجموعات معينة، مثل شركة Evil Corp، كرادع لدافعي الفدية المحتملين. في أكتوبر، أصدرت وزارة الخزانة الأمريكية تحذيرا لأي مجموعة قد تساعد على تسهيل دفع الفدية - الأمن السيبراني والمفاوضين وشركات التأمين - بعدم انتهاك العقوبات، وأعطت تحذيرا مماثلا للهيئات المالية مثل بورصات العملات المشفرة.
لم يستجب الجميع لتلك التحذيرات. وفقا لبيانات من Chainalysis، التي تحلل معاملات البلوكتشين، فإن نحو 15 في المائة من مدفوعات الفدية التي تابعتها في 2020 - أو نحو 60 مليون دولار إجمالا - ربما تكون قد انتهكت العقوبات، حيث يبدو أنها أرسلت إلى مجموعات مدرجة في القائمة السوداء أو مجموعات منتسبة إلى مثل هذه المجموعات.
مع وجود خيارات قليلة للمقاضاة، قال أحد الخبراء المطلعين على نهج الحكومة إنه يتوقع أن تنتظر السلطات قبل أن تطارد بقوة مرتكبي عملية اختراق كولونيال. "إنهم عشرة أو 15 شابا أو فتاة يحتفلون كثيرا ويريدون الكثير من المال. أنت لا تلاحقهم في روسيا، بل تلاحقهم عندما يذهبون في إجازة في اليونان".