عندما تبلغ وسائل الإعلام عن شركة تتعرض للهجوم من قبل برامج الفدية، يتخيل العديد من الناس أن القراصنة الماكرين كتبوا أولاً برامج خبيثة خطيرة، ثم بحثوا طويلاً وبجدية عن طريقة لاختراق الشركة، وأخيراً قاموا بتشفير بياناتها السرية. لهذا السبب، لا يزال بعض أصحاب الأعمال مقتنعين بأن شركتهم ليست مثيرة للاهتمام بما يكفي للمهاجمين لإنفاق الكثير من الموارد على اختراقها.
في الواقع، الأمور مختلفة تمامًا. ففي حقيقة الأمر، لا يكتب المهاجم الحديث البرمجيات الخبيثة بنفسه، ولكنه يستأجرها، ولا ينفق الموارد على القرصنة — بل يذهب ببساطة إلى سوق الظل لوسطاء الوصول الأولي. قرر الخبراء في خدمة استخبارات الكشف عن البصمة الرقمية لدينا (Digital Footprint Intelligence) معرفة مقدار الأموال التي تتغير عندما يشتري مجرمو الإنترنت ويبيعون الوصول إلى البنية التحتية للشركة.
كم يكلف الوصول والدخول؟
كم ينفق المهاجمون عند شراء الوصول إلى البنية التحتية الخاصة بك؟ يعتمد هذا على العديد من العوامل، ولكن أهمها هو إيرادات شركتك. بعد تحليل حوالي مائتي إعلان على الشبكة المظلمة، توصل خبراؤنا إلى الاستنتاجات التالية:
- توفر معظم الإعلانات الوصول إلى الشركات الصغيرة؛
- ما يقرب من نصف الإعلانات توفر الوصول بأقل من 1000 دولار؛
- الحالات التي يتم فيها بيع وتوفير ضمان الوصول بأكثر من 5000 دولار نادرة جدًا؛
- يتراوح متوسط تكلفة الوصول إلى الشركات الكبيرة بين 2000 إلى 4000 دولار.
ومن المؤكد أن هذه المبالغ والأموال طائلة بالكاد. لكن مشغلي برامج الفدية يتوقعون جني مبالغ أكبر بكثير من مساعيهم في الابتزاز، لذلك هم على الأقل على استعداد لإنفاق هذا القدر على الوصول الأولي. يبدو أن سعر السوق هو الذي تم الاستقرار عليه من خلال العرض والطلب العضوي والقوة الشرائية المعروفة على نطاق واسع.
ما هو المعروض للبيع؟
يقدم المهاجمون أنواعًا مختلفة من الوصول. في بعض الأحيان تكون المعلومات حول الثغرة الأمنية هي التي يمكن استغلالها للوصول. وأحيانًا أخرى تكون بيانات اعتماد للوصول إلى أنظمة سايتركس (Citrix) أو لوحة استضافة الموقع. ولكن في الغالبية العظمى من الحالات (في أكثر من 75٪ من الإعلانات) يقدمون نوعًا مختلفًا من الوصول عبر RDP (أحيانًا بالتزامن مع VPN). وبناء على ذلك، ينبغي إيلاء مزيد من الاهتمام لهذا الخيار المتمثل في الوصول عن بُعد إلى الهياكل الأساسية للشركة.
من أين يحصل الأشرار على حق الوصول؟
هناك العديد من الخيارات للحصول على الوصول الأولي. في بعض الأحيان يستخدم مجرمو الإنترنت أبسط طريقة: التنقيب عن كلمة المرور. ولكن في معظم الأحيان يرسلون رسائل بريد إلكتروني تصيد إلى الموظفين، أو رسائل بريد إلكتروني مع مرفقات خبيثة (برامج التجسس، أو، على سبيل المثال، السارقون، الذين يجمعون تلقائيًا بيانات الاعتماد، ورموز التفويض، وملفات تعريف الارتباط، وما إلى ذلك من الأجهزة المصابة). في بعض الأحيان يستغل المهاجمون أيضًا نقاط الضعف المعروفة في البرامج قبل أن يقوم المسؤولون بتصحيحها.
يمكن العثور على النتائج التفصيلية للدراسة، مع أمثلة على إعلانات الوصول الأولية الحقيقية، في التقرير على موقع Securelist.
كيف تحافظ على أمانك تجاه تلك الأشياء؟
نظرًا لأن موضوع البيع هو في الغالب الوصول عن بُعد إلى البنية التحتية للشركة عبر RDP، فإن هذا هو ما يجب حمايته أولًا. يقدم خبراؤنا التوصيات التالية:
- تنظيم الوصول إلى RDP فقط من خلال VPN؛
- استخدِم كلمات مرور قوية؛
- استخدام مصادقة مستوى الشبكة (إن أمكن)؛
- استخدام المصادقة الثنائية لجميع الخدمات الهامة.
من أجل جعل كلمات المرور أقل عرضة للتسرب من خلال التصيد الاحتيالي، يوصى أيضًا باستخدام حلول أمان موثوقة مع محرك مكافحة التصيد الاحتيالي على أجهزة الموظفين وعلى مستوى بوابة البريد. ولكي تكون في الجانب الآمن، قم بشكل دوري برفع وعي موظفيك بالأمن السيبراني .
بالإضافة إلى ذلك، من المفيد جدًا معرفة ما إذا كان شخص ما يناقش بالفعل طرق الوصول إلى البنية التحتية لشركتك على الشبكة المظلمة، لذلك يُنصح بمراقبة هذا النشاط. إنها المراقبة التي تقوم بها خدمة استخبارات البصمة الرقمية .