الأعمال التجارية المزدهرة للبرامج الضارة كخدمة للمتسللين: تقرير
تعرف الجهات الخبيثة على الإنترنت معنى الخدمة. في تقرير صدر يوم الثلاثاء حول التهديدات الرقمية للنصف الأول من عام 2024، وجدت شركة عالمية للأمن السيبراني تعمل بالذكاء الاصطناعي أن العديد من التهديدات السائدة التي تم نشرها خلال هذه الفترة استخدمت بكثافة أدوات البرامج الضارة كخدمة (MaaS).
أوضح تقرير Darktrace، استنادًا إلى تحليل البيانات عبر عمليات نشر عملاء الشركة، أن الشعبية المتزايدة لـ MaaS ترجع إلى الدخل المربح القائم على الاشتراك في أنظمة MaaS البيئية، فضلاً عن انخفاض حاجز الدخول وارتفاع الطلب.
وأضاف التقرير أنه من خلال تقديم برامج ضارة جاهزة للتوصيل والتشغيل، مكّن سوق MaaS حتى المهاجمين عديمي الخبرة من تنفيذ هجمات مدمرة محتملة بغض النظر عن مستوى مهاراتهم أو قدرتهم التقنية.
وتوقع التقرير أن تظل MaaS جزءًا سائدًا من مشهد التهديد في المستقبل المنظور. وأشار التقرير إلى أن هذا الاستمرار يسلط الضوء على الطبيعة التكيفية لسلالات MaaS، التي يمكنها تغيير تكتيكاتها وتقنياتها وإجراءاتها (TTPs) من حملة إلى أخرى وتجاوز الأدوات الأمنية التقليدية.
وقالت كالي جونثر، مديرة أولى لأبحاث التهديدات السيبرانية في شركة “من المتوقع أن يرتفع تطور خدمات البرمجيات الخبيثة كخدمة بسبب الطلب على أدوات هجوم أكثر قوة، مما يشكل تحديات لمحترفي الأمن السيبراني ويتطلب تقدمًا في استراتيجيات الدفاع”. Critical Start، شركة وطنية لخدمات الأمن السيبراني.
وقالت لـ TechNewsWorld: “ستقدم عروض MaaS هذه نواقل هجوم جديدة وقابلة للتكيف، مثل مخططات التصيد المتقدمة والبرامج الضارة متعددة الأشكال التي تتطور باستمرار لتفادي اكتشافها”. “يمثل ظهور البرامج الضارة كخدمة تحديًا تحويليًا في عالم الأمن السيبراني. لقد أضفت طابعًا ديمقراطيًا على الجرائم الإلكترونية ووسعت نطاق التهديدات.
البرمجيات الخبيثة القديمة تزدهر في الهجمات الحديثة
وأشار تقرير Darktrace إلى أن العديد من أدوات MaaS، مثل Amadey وRaspberry Robin، استخدمت عائلات متعددة من البرامج الضارة من السنوات السابقة. يوضح هذا أنه في حين أن سلالات MaaS غالبًا ما تتكيف مع TTPs الخاصة بها من حملة إلى أخرى، فإن العديد من السلالات تظل دون تغيير ولكنها تستمر في تحقيق النجاح. وأضافت أن بعض الفرق والمنظمات الأمنية لا تزال مقصرة في الدفاع عن بيئاتها.
قال فرانك داونز، المدير الأول للخدمات الاستباقية في شركة BlueVoyant، وهي شركة للأمن السيبراني للمؤسسات في مدينة نيويورك: “يشير النجاح المستمر لسلالات البرامج الضارة القديمة إلى أن العديد من المؤسسات لا تزال تعاني من نقاط ضعف كبيرة في بيئاتها الأمنية”.
وقال لـ TechNewsWorld: “قد يكون هذا بسبب الأنظمة القديمة، أو البرامج غير المصححة، أو الافتقار إلى الإجراءات الأمنية الشاملة”. “يشير استمرار هذه التهديدات القديمة إلى أن بعض المؤسسات قد لا تستثمر بشكل كافٍ في دفاعات الأمن السيبراني أو تفشل في اتباع أفضل الممارسات لصيانة النظام وتحديثاته.”
وأضاف روجر غرايمز، أحد دعاة الدفاع لدى شركة KnowBe4، وهي شركة تقدم التدريب على التوعية الأمنية في كليرووتر بولاية فلوريدا، أن معظم برامج الكشف عن البرامج الضارة ليست جيدة كما يدعي بائعوها.
وقال لـ TechNewsWorld: “تحتاج المؤسسات إلى معرفة أنه لا يمكنها الاعتماد على اكتشاف البرامج الضارة باعتباره فعالًا بنسبة تقترب من 100%، ويتعين عليها الاستجابة والدفاع وفقًا لذلك”. “إن برامج مكافحة البرامج الضارة وحدها لن تنقذ معظم المؤسسات. تحتاج جميع المؤسسات إلى دفاعات متعددة عبر طبقات متعددة لاكتشافها والدفاع عنها بشكل أفضل.
غمس مزدوج اليائسين الرقمية
ومن النتائج الأخرى التي توصل إليها التقرير أن “الابتزاز المزدوج” أصبح سائداً بين سلالات برامج الفدية. من خلال الابتزاز المزدوج، لن تقوم الجهات الفاعلة الخبيثة بتشفير بيانات هدفها فحسب، بل ستقوم أيضًا بتصفية الملفات الحساسة مع التهديد بالنشر إذا لم يتم دفع الفدية.
وقال غرايمز: “بدأ الابتزاز المزدوج في نوفمبر 2019 ووصل إلى مستويات تزيد عن 90% من جميع برامج الفدية التي تستخدم هذه الاستراتيجية في غضون بضع سنوات”.
وتابع: “إنه أمر شائع لأنه حتى الضحايا الذين لديهم نسخة احتياطية جيدة حقًا لا ينفون المخاطر بأكملها”.
“لقد انخفضت النسبة المئوية للضحايا الذين يدفعون الفدية بشكل كبير بمرور الوقت، لكن أولئك الذين يدفعون يدفعون أكثر بكثير، عدة مرات لحماية البيانات السرية المسروقة من الكشف عنها علنًا أو استخدامها ضدهم في هجوم مستقبلي من قبل نفس المهاجم. ” هو قال.
وأضاف ماثيو كوروين، المدير الإداري لشركة Guidepost Solutions، وهي شركة عالمية للأمن والامتثال والتحقيقات، أن تهديد الابتزاز المزدوج يجعل الحاجة إلى برنامج لمنع فقدان البيانات أكثر أهمية بالنسبة للمؤسسات. وقال لـ TechNewsWorld: “يجب أن يتضمن تنفيذ DLP لجميع نقاط النهاية والأصول السحابية الأخرى تصنيف البيانات، وإنفاذ السياسات، والحظر في الوقت الفعلي، والحجر الصحي، والتنبيه”.
مهاجمة الحافة
أفادت Darktrace أيضًا أن الجهات الفاعلة الخبيثة استمرت خلال الأشهر الستة الأولى من العام في تنفيذ الاستغلال الجماعي لنقاط الضعف في أجهزة البنية التحتية الطرفية، مثل Ivanti Connect Secure وJetBrains TeamCity وFortiClient Enterprise Management Server وPalo Alto Networks PAN-OS.
وأوضح التقرير أن الاختراقات الأولية لهذه الأنظمة يمكن أن تكون بمثابة نقطة انطلاق للجهات الخبيثة للقيام بمزيد من الأنشطة، مثل الأدوات واستطلاع الشبكة والحركة الجانبية.
وأوضح داونز: “من خلال اختراق الأجهزة الطرفية، يمكن للمهاجمين الحصول على موطئ قدم استراتيجي في الشبكة، مما يسمح لهم بمراقبة واعتراض حركة البيانات أثناء مرورها عبر هذه النقاط”.
وتابع: “وهذا يعني أن الأجهزة الطرفية التي يتم استغلالها بعناية يمكن أن توفر للمهاجمين إمكانية الوصول إلى ثروة من معلومات الشركة، بما في ذلك البيانات الحساسة، دون الحاجة إلى اختراق أنظمة داخلية متعددة”. “وهذا لا يجعل الهجوم أكثر كفاءة فحسب، بل يزيد أيضًا من التأثير المحتمل، حيث تتعامل الأجهزة الطرفية غالبًا مع تدفقات كبيرة من البيانات من وإلى الشبكة.”
وأضاف مورغان رايت، كبير المستشارين الأمنيين في شركة SentinelOne، وهي شركة لحماية نقاط النهاية في ماونتن فيو، كاليفورنيا: “من المرجح أن تكون العديد من المؤسسات متأخرة في تصحيح الأجهزة الضعيفة، مثل جدران الحماية أو الشبكات الافتراضية الخاصة أو بوابات البريد الإلكتروني”.
وقال لـ TechNewsWorld: “إن الأمر لا يساعد عندما تكون هناك نقاط ضعف عديدة وحرجة”. “بالنسبة للمهاجمين، هذا هو المعادل الرقمي لإطلاق النار على الأسماك في البرميل.”
وافق غرايمز من KnowBe على أن صيانة أجهزة البنية التحتية المتطورة غالبًا ما تكون متساهلة. وقال: “للأسف، كانت الأجهزة المتطورة على مدى عقود من الزمن من بين الأجهزة والبرامج الأكثر عدم إصلاحًا في بيئاتنا”. “تنفق معظم متاجر تكنولوجيا المعلومات الجزء الأكبر من جهود التصحيح على الخوادم ومحطات العمل. ينظر المهاجمون إلى الأجهزة الطرفية ويستغلونها لأنها أقل عرضة للتصحيح وغالبًا ما تحتوي على بيانات اعتماد إدارية مشتركة.
نهاية تشغيل DMARC
وبعد تحليل 17.8 مليون رسالة بريد إلكتروني، اكتشف باحثو Darktrace أيضًا أن 62% منها يمكنها تجاوز عمليات التحقق من DMARC.
تم تصميم DMARC للتحقق من أن رسالة البريد الإلكتروني واردة من النطاق الذي تدعي أنها منه، ولكن لها قيود. يمكن للمحتالين إنشاء نطاقات بأسماء قريبة من علامة تجارية معروفة وDMARC عليها. وأوضح غرايمز: “طالما تمكنوا من التسلل عبر النطاق المزيف المشابه للضحايا، فإن رسائل البريد الإلكتروني الخاصة بهم ستتجاوز عمليات فحص DMARC”.
وأضاف ستيفن كوفسكي: “تسلط الإحصاءات المثيرة للقلق الواردة في أحدث تقرير عن التهديدات نصف السنوية لشركة Darktrace، الضوء على حاجة المؤسسات إلى اعتماد نهج متعدد الطبقات لأمن البريد الإلكتروني، يتضمن الكشف المتقدم عن الحالات الشاذة والتحليل السلوكي القائم على الذكاء الاصطناعي لاستكمال التدابير الأمنية التقليدية”. الرئيس التنفيذي للتكنولوجيا الميداني لشركة SlashNext، وهي شركة متخصصة في أمن الكمبيوتر والشبكات، في بليزانتون، كاليفورنيا.
وقال لـ TechNewsWorld: “يمكن لهذه الإستراتيجية الشاملة أن تساعد في تحديد وتخفيف هجمات التصيد الاحتيالي المتطورة التي تتهرب من DMARC والدفاعات التقليدية الأخرى”. “من خلال المراقبة المستمرة والتكيف مع أنماط التهديدات المتطورة، يمكن للمؤسسات تعزيز وضع أمان البريد الإلكتروني الخاص بها بشكل كبير.”
يؤكد درور ليوير، المؤسس المشارك لشركة Coro، وهي شركة للأمن السيبراني تعتمد على السحابة ومقرها تل أبيب، إسرائيل، أن معظم نتائج التقرير تشير إلى نفس السبب. ونقلاً عن تقرير أصدرته شركة Coro في وقت سابق من هذا العام، أشار إلى أن 73% من فرق الأمن تعترف بفقدان التنبيهات الهامة أو تجاهلها.
وقال لـ TechNewsWorld: “إن وجود عدد كبير جدًا من الأدوات المتباينة، التي تحتاج كل منها إلى الصيانة والتحديثات المنتظمة والمراقبة، يؤدي إلى تعامل فرق الأمان مع الإدارة بدلاً من الحماية”.
ومع ذلك، اقترح رايت أن النتائج قد تشير إلى خلل أكبر في الصناعة. “مع إنفاق كل الأموال على الأمن السيبراني والتهديدات التي لا تزال تنتشر، يطرح السؤال – هل ننفق ما يكفي من المال على الأمن السيبراني، أم أننا ننفقها فقط في الأماكن الخطأ؟” سأل.