توصل باحثو الأمن السيبراني يوم الثلاثاء إلى أربع مجموعات من برامج الفدية الصاعدة التي يمكن أن تشكل تهديدًا خطيرًا للمؤسسات والبنية التحتية الحيوية ، حيث أظهر التأثير المتتالي للطفرة الأخيرة في حوادث برامج الفدية أن المهاجمين يزدادون تطورًا وأكثر ربحية في انتزاع مدفوعات من الضحايا.
قال فريق معلومات التهديد بالوحدة 42 في بالو ألتو نتووركس في تقرير تمت مشاركته مع The Hacker News: "بينما يبدو أن أزمة برامج الفدية تبدو على وشك أن تزداد سوءًا قبل أن تتحسن ، فإن مجموعات الجرائم الإلكترونية التي تسبب أكبر قدر من الضرر تتغير باستمرار" .
"تسكت المجموعات أحيانًا عندما تحقق سمعة سيئة لدرجة أنها أصبحت من أولويات سلطات إنفاذ القانون. يعيد آخرون تشغيل عملياتهم لجعلها أكثر ربحًا من خلال مراجعة تكتيكاتهم وتقنياتهم وإجراءاتهم ، وتحديث برامجهم وإطلاق حملات تسويقية لتجنيد أشخاص جدد. الشركات التابعة ".
يأتي هذا التطور في الوقت الذي تزداد فيه هجمات برامج الفدية وتزايد حجمها وشدتها ، بينما تتطور أيضًا إلى ما هو أبعد من الابتزاز المالي إلى مخاوف تتعلق بالأمن القومي والسلامة الملحة والتي هددت المدارس والمستشفيات والشركات والحكومات في جميع أنحاء العالم ، مما دفع الجهات الدولية. السلطات لصياغة سلسلة من الإجراءات ضد كل من مشغلي برامج الفدية والنظام البيئي الأوسع لتكنولوجيا المعلومات والبنية التحتية لغسيل الأموال التي يساء استخدامها لسرقة الأموال.
من بين الوافدين الجدد ، AvosLocker ، مجموعة برامج الفدية كخدمة (RaaS) التي بدأت عملياتها في أواخر يونيو عبر "البيانات الصحفية" التي تحمل شعار الخنفساء الزرقاء لتجنيد منتسبين جدد. ويقال إن الكارتل ، الذي يدير أيضًا موقعًا لتسريب البيانات والابتزاز ، قد انتهك ست منظمات في الولايات المتحدة والمملكة المتحدة والإمارات العربية المتحدة وبلجيكا وإسبانيا ولبنان ، بمطالب فدية تتراوح في أي مكان بين 50 ألف دولار و 75 ألف دولار.
في المقابل ، هايف ، على الرغم من افتتاح متجر في نفس الشهر مع AvosLocker ، فقد أصاب بالفعل العديد من مقدمي الرعاية الصحية والمنظمات متوسطة الحجم ، بما في ذلك شركة طيران أوروبية وثلاث كيانات مقرها الولايات المتحدة ، من بين ضحايا آخرين في أستراليا والصين والهند ، هولندا والنرويج وبيرو والبرتغال وسويسرا وتايلاند والمملكة المتحدة
تم اكتشاف أيضًا في البرية هو متغير Linux من HelloKitty ransomware ، والذي يميز خوادم Linux التي تشغل ESXi hypervisor من VMware. قال الباحثان Doel Santos و Ruchna Nigam في الوحدة 42 "إن المتغيرات التي لوحظت أثرت على خمس منظمات في إيطاليا وأستراليا وألمانيا وهولندا والولايات المتحدة". "كان أعلى طلب فدية لوحظ من هذه المجموعة هو 10 ملايين دولار ، ولكن في وقت كتابة هذا التقرير ، تلقى الفاعلون المهددون ثلاث معاملات فقط تصل قيمتها إلى حوالي 1.48 مليون دولار".
آخر من انضم إلى القائمة هو LockBit 2.0 ، مجموعة برامج الفدية التي عادت إلى الظهور في يونيو مع إصدار 2.0 من البرنامج التابع لها الذي يروج "لفوائدها التي لا مثيل لها" من "سرعة التشفير ووظيفة الانتشار الذاتي". لا يدعي المطورون فقط أنه "أسرع برنامج تشفير في جميع أنحاء العالم" ، بل تقدم المجموعة أداة سرقة تسمى StealBit تمكن المهاجمين من تنزيل بيانات الضحايا.
منذ ظهوره لأول مرة في يونيو 2021 ، قام LockBit 2.0 بضرب 52 مؤسسة في مجالات المحاسبة والسيارات والاستشارات والهندسة والتمويل والتكنولوجيا الفائقة والضيافة والتأمين وإنفاذ القانون والخدمات القانونية والتصنيع والطاقة غير الربحية وتجارة التجزئة والنقل والخدمات اللوجستية تمتد الصناعات عبر الأرجنتين وأستراليا والنمسا وبلجيكا والبرازيل وألمانيا وإيطاليا وماليزيا والمكسيك ورومانيا وسويسرا والمملكة المتحدة والولايات المتحدة
إذا كان هناك أي شيء ، فإن ظهور متغيرات برامج الفدية الجديدة يُظهر أن المجرمين الإلكترونيين يضاعفون من هجمات برامج الفدية ، مما يؤكد الطبيعة المربحة للغاية للجريمة.
وقال الباحثون: "مع وجود مجموعات برامج الفدية الرئيسية مثل REvil و DarkSide منخفضة أو تغيير علامتها التجارية لتجنب حرارة تطبيق القانون واهتمام وسائل الإعلام ، ستظهر مجموعات جديدة لتحل محل المجموعات التي لم تعد تستهدف الضحايا بنشاط". "بينما كان كل من LockBit و HelloKitty نشطين سابقًا ، فإن تطورهما الأخير يجعلهما مثالًا جيدًا على كيفية عودة ظهور المجموعات القديمة والبقاء تهديدات مستمرة."