عندما تدخل برامج الفدية إلى شبكة إحدى الشركات، فإنها تدخل عادةً من خلال البريد الإلكتروني، أو الثغرات الأمنية في البرامج، أو الاتصالات عن بُعد غير المحمية. ويبدو قيام أحد الأشخاص المطّلعين بنشر البرامج الضارة عمدًا أمرًا غير قابل للتصديق. ولكن كما يظهر من الأدلة الواقعية، فإن بعض المهاجمين يعتقدون أن هذه الطريقة تُعد فعالة في توصيل برامج الفدية، ويقوم بعض المهاجمين الآن بتجنيد موظفي الشركات من خلال منحهم نسبة من الفدية.
مخطط توصيل مُبتكر
بقدر ما قد يبدو هذا الأمر سخيفًا، يبحث البعض عن المتواطئين من خلال البريد العشوائي. على سبيل المثال، تعرض إحدى الرسائل بشكل مباشر “40%، مليون دولار بعملة البيتكوين” لأي شخص يرغب في تثبيت ونشر برامج الفدية DemonWare على الخادم الرئيسي لمؤسسته العامل بنظام Windows.
وقد تلقى الباحثون الذين يتنكرون كشركاء مهتمين رابطًا إلى ملف بالإضافة إلى تعليمات لتشغيل البرنامج الضار. إلا أنه كان من الواضح أن الشخص الذي يقف وراء المراسلات البريدية كان مجرمًا إلكترونيًا عديم الخبرة؛ إذ لم يجد الباحثون صعوبة في إقناعه بالتحدث. كان المجرم المسؤول شابًا نيجيريًا بحث في موقع LinkedIn عن كبار المديرين التنفيذيين للاتصال بهم. حيث تخلى عن خطته الأصلية التي كانت تتمثل في إرسال البرامج الضارة عبر البريد الإلكتروني، بمجرد أن أدرك مدى قوة أنظمة الأمن السيبراني للشركات.
ما الخطأ في المخطط؟
لإقناع أهدافه بأن مشاركتهم ستكون آمنة، ادعى المجرم أن برنامج الفدية سيمحو جميع الأدلة على الجريمة، بما في ذلك أي لقطات أمنية محتملة، وأوصى بحذف الملف القابل للتنفيذ لتجنب ترك أي أدلة. قد يتوقع المرء أن المجرم الذي خطط لخداع شركائه، إن جاز التعبير، بمجرد تشفير الخادم، لا يهتم بما حدث للشخص الذي فعل ذلك، لكن يبدو أنه لم يفهم طريقة سير تحقيقات الأدلة الجنائية الرقمية.
كما كان قرار استخدام DemonWare ناتجًا أيضًا عن قلة خبرته. على الرغم من أن المهاجمين لا يزالون يستخدمون DemonWare، إلا أنه في الواقع برنامج ضار غير متطور يتوفر كود مصدره على GitHub. ويُزعم أن منشئ البرنامج الضار قد صنعه ليوضح مدى سهولة كتابة برامج الفدية.
كيف تحافظ على سلامتك
على الرغم من أن هذا المثال هو مجرد مثال واحد محدد، إلا أن مشاركة المطلعين في الهجمات ببرامج الفدية تُعد أمرًا واقعيًا تمامًا. ومع ذلك، فإن الاحتمال الأكبر بكثير من قيام شخص ما بتشغيل برامج ضارة على إحدى الشبكات هو سيناريو بيع شخص ما لبيانات الوصول إلى نظام معلومات المؤسسة.
لطالما كان سوق بيانات الوصول إلى شبكات الشركات موجودًا على الويب المظلم، وعادةً ما يقوم مرتكبو هجمات برامج الفدية بشراء بيانات الوصول من المجرمين السيبرانيين الآخرين، أو ما يُطلق عليهم وسطاء الوصول الأولي. وهم الذين قد يكونون مهتمين بشكل خاص بشراء البيانات للوصول عن بُعد إلى شبكة المؤسسة أو خوادمها السحابية. حيث تمتلئ كل أنحاء الويب المظلم بإعلانات لمثل هذه المشتريات التي تستهدف الموظفين الساخطين أو المطرودين من العمل.
لضمان عدم قيام أي شخص بتعريض أمن شركتك للخطر من خلال السماح لمرتكبي هجمات برامج الفدية بالدخول إلى شبكاتها، نوصيك بما يلي:
- تبني إستراتيجية ذات امتيازات أقل؛
- الاحتفاظ بسجلات دقيقة لمحاولات الوصول إلى شبكة المؤسسة وخوادمها، وإلغاء الحقوق وتغيير كلمات المرور عند فصل الموظفين؛
- تثبيت حلول أمنية يمكنها مواجهة البرامج الضارة الحالية على كل خادم؛
- استخدام حلول الكشف والاستجابة المُدارة التي تساعد في تحديد النشاط المشبوه في بنيتك الأساسية قبل أن تُتاح للمهاجمين فرصة إلحاق أضرار جسيمة.