كشف فريق البحث والتحليل العالمي في كاسبرسكي أن مجموعة «Fog Ransomware»، التي تشتهر باستهداف مجموعة متنوعة من القطاعات، بدأت في ربط عناوين بروتوكول الإنترنت (IP) الخاصة بضحاياها مع بياناتهم المسروقة ونشر هذه المعلومات على شبكة الإنترنت المظلم، مما يمثل تحولاً في تكتيكات ابتزاز برمجيات الفدية التقليدية. فمن خلال نشر عناوين بروتوكول الإنترنت بهذا الأسلوب، تكثف المجموعة الضغط النفسي على الضحايا، حيث تظهر الاختراقات بشكل أكثر مباشرة وقابلية للتتبع، مع تصاعد مخاطر الغرامات التنظيمية على المؤسسات المتضررة.
برمجيات الفدية كخدمة (RaaS) هي نموذج عمل يقوم فيه مطورو البرمجيات الخبيثة بتأجير برمجيات الفدية والبنية التحتية للتحكّم بها للمجرمين السيبرانيين الآخرين. وتُعد مجموعة «Fog Ransomware» من الجهات التي تقدّم خدمات برمجيات الفدية التي ظهرت في بداية عام 2024، وتشتهر باستهدافها قطاعات مثل التعليم والترفيه والمال. واستغلت المجموعة بيانات اعتماد الشبكات الخاصة الافتراضية (VPN) المخترقة للنفاذ إلى بيانات الضحايا وتشفيرها، وأحياناً كانت تفعل ذلك في أقل من ساعتين. استهدفت الهجمات أنظمة التشغيل Windows و Linux. واعتمدت مجموعة Fog سابقاً تكتيكات الابتزاز المضاعف، من خلال تشفير البيانات والتهديد بنشرها علناً للضغط على الضحايا لدفع المبالغ المطلوبة.
اتخذت مجموعة Fog منحىً غير مسبوق، لتصبح أول مجموعة في مجال برمجيات الفدية كخدمة تنشر عناوين بروتوكول الإنترنت والبيانات المسروقة لضحاياها بشكل علني على شبكة الإنترنت المظلم عقب تنفيذ هجماتها. بالإضافة إلى تصعيد الضغط النفسي على الضحايا، فإن الكشف عن عناوين بروتوكول الإنترنت قد يمهد الطريق لنشاط إجرامي سيبراني إضافي، حيث يوفر لمصادر التهديد الخارجية نقاط دخول محتملة إلى الشبكات المُخترقة. ويمكن أن تتضمن الهجمات التالية عمليات حشو بيانات الاعتماد أو نشاط شبكات الروبوتات الخبيثة التي تستهدف المؤسسات التي سبق اختراقها.
يعلّق مارك ريفيرو، رئيس باحثي الأمن في فريق البحث والتحليل العالمي لدى كاسبرسكي قائلاً: «نظراً لانخفاض المدفوعات التي يتلقاها مشغلو برمجيات الفدية نتيجة تعزيز آليات الدفاع السيبراني وتزايد الضغوط التنظيمية، فإنهم يعمدون إلى تطوير أساليب الابتزاز للحفاظ على قوة تأثيرهم على الضحايا.» ويضيف: «إن الكشف العلني عن عناوين IP مع تسريب البيانات قد يزيد من احتمال استجابة المؤسسات لمطالب الفدية في الحوادث المستقبلية. قد يكون هذا الأسلوب استراتيجية تسويقية قائمة على الخوف، حيث يستعرض المهاجمون قسوتهم لتخويف الضحايا المستقبليين ودفعهم للسداد بسرعة.»
تقدّم كاسبرسكي التوصيات التالية للحماية من هجمات برمجيات الفدية:
- تقديم برامج تدريبية للعاملين لتمكينهم من استيعاب المبادئ الأساسية للأمن السيبراني.
- إجراء نسخ احتياطي دوري للبيانات، والاحتفاظ بهذه النسخ في وحدات تخزين منفصلة ومعزولة عن الشبكة الرئيسية.
- تركيب أنظمة حماية معتمدة وموثوقة على كافة الأجهزة المؤسسية. واستخدام حل XDR لرصد الأنشطة المشبوهة في الشبكة.
- تفويض مهام اكتشاف التهديدات والاستجابة لها إلى شركة متخصصة تمتلك خبرات متقدمة في هذا المجال.
