كشف فريق Kaspersky الدولي للدراسات والتحليل عن تغيير خطير في طريقة عمل مجموعة Fog Ransomware. بدلاً من التهديد بنشر ضحايا الضحايا في التشفير، فإن مجموعة Fog Ransomware هي مجموعة من المقيمين على الإنترنت اكتسبت شهرة واسعة النطاق من هجمات منهجية على مختلف القطاعات، وبدأت في نشرها من قبل الضحايا الصادر عن الضحايا. انه يظلم. ينشره في الظلام، وهو ينشره في الظلام، وينشره في الظلام.
هذا التكتيك الجديد هو تصعيد غير مسبوق للضغط النفسي على الضحايا لأنه يجعل الانتهاكات أكثر وضوحًا، ويتتبعها، ويزيد من خطر الغرامات التي قد تصادفها المؤسسات التي أثرت على المؤسسات.
تفاصيل هجمات مجموعة (Fog Ransomware):
تُعدّ مجموعة (Fog Ransomware) من الجهات التي تقدم خدمات (برمجيات الفدية كخدمة) RaaS، وهي عبارة عن نموذج عمل يعتمد على تأجير مطوري البرمجيات الخبيثة أدواتهم وبنيتهم التحتية لمجرمين سيبرانيين آخرين لتنفيذ الهجمات، وقد ظهرت هذه المجموعة في بداية عام 2024، وسرعان ما اشتهرت باستهدافها لقطاعات حيوية مثل: التعليم، والترفيه، والقطاع المالي.
وتعتمد المجموعة على استغلال بيانات اعتماد الشبكات الخاصة الافتراضية (VPN) المخترقة للوصول إلى بيانات الضحايا وتشفيرها، وغالبًا ما يحدث ذلك في غضون ساعتين فقط، وتستهدف هجماتها أنظمة التشغيل (ويندوز) Windows و Linux.
وقد اعتمدت مجموعة (Fog Ransomware) سابقًا على تكتيكات الابتزاز المزدوج، التي تجمع بين تشفير البيانات والتهديد بنشرها علنًا للضغط على الضحايا لدفع الفدية المطلوبة.
ومع ذلك، اتخذت المجموعة خطوة غير مسبوقة جعلتها تتميز عن غيرها في مجال (برمجيات الفدية كخدمة)، إذ أصبحت أول مجموعة تنشر عناوين بروتوكول الإنترنت والبيانات المسروقة لضحاياها علنًا عبر شبكة الإنترنت المظلم بعد تنفيذ هجماتها.
ولا يقتصر هذا الأسلوب على تعزيز الضغط النفسي فحسب، بل يفتح الباب أمام تهديدات إضافية، إذ يمكن أن يستغل مجرمون آخرون عناوين IP المكشوفة كنقاط دخول لشن هجمات لاحقة، مثل: (حشو بيانات تسجيل الدخول) Credential stuffing، أو تشغيل شبكات الروبوتات الخبيثة التي تستهدف المؤسسات التي سبق اختراقها.
وقد أشار مارك ريفيرو، رئيس باحثي الأمن في فريق البحث والتحليل العالمي في شركة كاسبرسكي، إلى أنَّ تراجع المدفوعات التي يحصل عليها مشغلو برمجيات الفدية نتيجة تحسين الدفاعات السيبرانية وتشديد الإجراءات التنظيمية، قد دفع هؤلاء المهاجمين إلى ابتكار طرق جديدة للابتزاز.
وقال: “قد يزيد الكشف العلني عن عناوين بروتوكول الإنترنت مع تسريب البيانات من احتمال استجابة المؤسسات لمطالب الفدية في المستقبل، وقد يكون هذا الأسلوب بمنزلة إستراتيجية تسويقية قائمة على التخويف، إذ يعرض المهاجمون قوتهم لإرهاب الضحايا المحتملين وإجبارهم على الدفع بسرعة”.
وصايا خبراء كاسبرسكي:
للحماية من هجمات برمجيات الفدية، يوصي خبراء كاسبرسكي المؤسسات باتباع التعليمات التالية:
- تقديم برامج تدريبية للعاملين لتمكينهم من استيعاب المبادئ الأساسية للأمن السيبراني.
- إجراء نسخ احتياطي دوري للبيانات، والاحتفاظ بهذه النسخ في وحدات تخزين منفصلة ومعزولة عن الشبكة الرئيسية.
- تركيب أنظمة حماية معتمدة وموثوقة في كافة الأجهزة المؤسسية، واستخدام حل XDR لرصد الأنشطة المشبوهة في الشبكة.
- تفويض مهام اكتشاف التهديدات والاستجابة لها إلى شركة متخصصة تمتلك خبرات متقدمة في هذا المجال.
