ارتفعت مدفوعات فيروسات هجوم الفدية إلى مستوى قياسي بلغ 1.1 مليار دولار في عام 2023، أي ما يقرب من ضعف المدفوعات في العام السابق 2022 والتي بلغت حينها 567 مليون دولار، وفقًا لتقرير جديد من شركة شايناليسيس المتخصصة في تتبع العملات المشفرة.
بالطبع تلك المدفوعات كانت بالعملات المشفرة، وتمكنت شركة شايناليسيس من متابعة محافظ تلك العملات التي ترتبط بمجموعات القرصنة الإلكترونية وتتلقي بها مدفوعات هجوم الفدية من ضحاياها.
كما أشار التقرير إلى أن تلك الأرقام تمثل فقط المدفوعات المباشرة لمجموعات القرصنة، ولا تعبر عن الأضرار المصاحبة للهجمات التي تلحق بالضحايا من المؤسسات المرموقة وبعض البنى التحتية المهمة كالمستشفيات والمدارس والهيئات الحكومية.
تطور لافت
ففي عام 2022 انخفضت مدفوعات الفدية بنسبة ملحوظة مقارنة بالعامين السابقين، وهو انخفاض جاء لعدة عوامل محتملة، منها الأحداث الجيوسياسية عالميا، مثل اندلاع الحرب الروسية الأوكرانية التي عطلت عمليات بعض مجموعات القرصنة، بل حولت أيضا تركيزها من المكاسب المالية إلى هجمات إلكترونية تحمل دوافع سياسية بهدف التجسس والتدمير لصالح أطراف الصراع.
لكن في عام 2023 كان الأمر اللافت للنظر هو تطور هجمات فيروس الفدية من حيث التعقيد ونطاق الحجم، إذ سجلت شركة ريكورد فيوتشر للأمن السيبراني نحو 538 نوعا جديدا من فيروسات الفدية خلال 2023، مما يشير إلى ظهور مجموعات قرصنة جديدة ومستقلة تطور برمجياتها الخبيثة الخاصة.
أكبر اختراق سيبراني
أحد أهم أسباب ارتفاع هذا الرقم في 2023 كان الاختراق السيبراني الأكبر خلال العام، بسبب ثغرة أمنية فجائية “يوم الصفر” في برمجية نقل الملفات “موف إت”، وهي من تطوير شركة بروغرس سوفت واير التي تستخدمها الآلاف من المؤسسات والهيئات الحكومية والمؤسسات المالية وغيرها من الشركات الخاصة، لإرسال واستقبال البيانات والمعلومات التي غالبا ما تكون حساسة وبحاجة إلى وسيلة نقل آمنة، وهو ما كانت تقدمه المنصة فعلا.
إلا أن تلك الثغرة الأمنية نتج عنها سرقة بيانات أكثر من 2600 شركة ومؤسسة حكومية كبرى في أكثر من 30 دولة حول العالم، بعد أن استغلتها مجموعة الاختراق الروسية المعروفة باسم “سي آي 0 بي” بهدف الاستيلاء على تلك البيانات وطلب الفدية في المقابل.
وأصدرت شركة بروغرس سوفت واير تحذيرا وتصحيحا للثغرة الأمنية، وخصصت لها تصنيف خطورة بلغ 9.8 من أصل 10، لأنها أتاحت للمخترقين الوصول إلى قواعد البيانات الخاصة بعملاء “موف إت” وتمكنوا من سرقة تلك البيانات.
وشملت قائمة الضحايا مؤسسات حكومية وفدرالية في الولايات المتحدة، كانت أهمها وزارة الطاقة وجامعة جونز هوبكنز، بجانب مؤسسات وشركات في المملكة المتحدة أهمها الخطوط الجوية البريطانية وإحدى أكبر صحف البلاد “بي بي سي”، بالإضافة إلى شركة النفط والغاز الأوروبية العملاقة “شل” وغيرها.
وتستخدم المجموعة هجوم الفدية من نوع “سي آي 0 بي” في الهجمات الإلكترونية منذ عام 2019، وتنشر بيانات الضحايا على موقعها في “دارك ويب”، ويكون الهدف الأساسي منها غالبا تشفير البيانات ثم طلب الفدية من الشركة أو المؤسسة المتضررة.
لكن بينما سبق للمجموعة استهداف الضحايا ببرمجيات الفدية التي تشفر الملفات، ثم مراسلة المتضرر وطلب دفع الفدية بالعملة المشفرة “بتكوين” في مقابل كود فك التشفير، فإن المجموعة تحولت أكثر إلى إستراتيجية الاختراق والاستيلاء على البيانات فقط، معتمدة في هذا على التهديد بنشر تلك البيانات الحساسة المسروقة بوصفها وسيلة لابتزاز الضحايا.
ويرجع هذا إلى إمكانية استغلال الثغرات الفجائية “يوم الصفر” التي تُمكِّن المخترق من استخراج وسرقة أكبر قدر من البيانات لأكثر عدد من المؤسسات والشركات التي تستخدم المنصة المتضررة وفي زمن قياسي، قبل أن تتمكن الشركة من تصحيح وغلق تلك الثغرة الأمنية التي يستغلها المخترق.
ثغرة يوم الصفر
عندما يكون هناك خطأ في الكود البرمجي لأحد الأنظمة ويمكن للمخترق استغلاله، يطلق عليه ثغرة “يوم الصفر”، وإذا لم يعلم مطور النظام بوجود هذا الخطأ البرمجي مسبقا، فلن يملك الوقت الكافي لإصلاح الثغرة وإيقاف هذا التهديد، أي سيكون أمامه عدد “صفر من الأيام”، ومن هنا جاء الاسم.
في معظم الحالات يوجد هذا الخطأ في الكود البرمجي منذ البداية، لكنَّ المطور وفريق الأمن الإلكتروني والمستخدمين لم يكونوا على دراية به، ويمكن أن تظل هذه الثغرة غير مكتشفة لفترة زمنية تتراوح بين أيام وشهور وربما سنوات حتى يجدها شخص ما.
هنا يمكن للمخترق البحث والعثور على هذا الخطأ في الكود البرمجي والمشكلة الناتجة بسببه، ثم يستغلها لمصلحته عبر تطوير برمجيات ضارة أو فيروسات يصعب اكتشافها، ومن ثم يشن هجوما فجائيا.
هذا النوع من الهجمات يشكل تهديدا خطيرا على الشركة أو المؤسسة وعلى بياناتها، فعند تشغيل النظام المصاب يمكن للبرمجية الضارة التي زرعها المخترق أن تصيب التطبيق أو نظام التشغيل أو الذاكرة، مما يعرض بيانات ومهام أحد الأجهزة للخطر، أو ربما يعرض شبكة الأجهزة بأكملها للخطر.