بقلم فريق «فيدير لابس» Vedere Labs
شهدت برمجيات الفدية Ransomware تطوراً ملحوظاً في الأعوام القليلة الماضية نتيجة ظهور توجهين رئيسيين هما أولاً، التحول الرقمي ودوره في زيادة عدد أجهزة إنترنت الأشياء المستخدمة في الشركات. وثانياً، ترابط شبكات تكنولوجيا المعلومات مع شبكات التكنولوجيا التشغيلية.
وتطوّر كذلك أداء منفذي هجمات برمجيات الفدية من التركيز حصراً على تشفير البيانات حتى عام 2019، إلى سحب البيانات قبل تشفيرها خلال عام 2020، وصولاً إلى هجمات الابتزاز واسعة النطاق التي تتضمن عدة مراحل في عام 2021. واستمر هذا التوجه خلال العام الحالي مع ظهور عائلات جديدة ومتطورة للغاية من برمجيات الفدية، مثل برمجيات ALPHV، فضلاً عن شن مزيد من الهجمات باستخدام برمجيات الفدية القابلة للبيع مثل Conti. ويتيح تطوّر طرائق الاستهداف للمهاجمين إمكانية تعطيل عمليات مختلف المؤسسات دون استثناء.
هجمات الفدية
وفي هذا السياق، أطلق فريق «فيدير لابس» التابع لشركة «فورسكاوت» تقرير معلومات يشتمل على دليل يوضّح بالتفصيل الطرق التي يمكن للمؤسسات اتباعها للتصدي للنمط الجديد من هجمات برمجيات الفدية التي تعتمد على أجهزة إنترنت الأشياء، مثل كاميرات الفيديو. ويقدّم التقرير استعراضاً شاملاً ومثبتاً لهذا التوجه الجديد من الهجمات، والذي يطلق عليه فريق «فيدير لابس» اسم «هجمات الفدية على أجهزة إنترنت الأشياء» (R4IoT)، ويتوقع أن يمثّل المرحلة المقبلة في تطوّر هجمات برمجيات الفدية. ويبيّن التقرير كيفية استغلال أجهزة إنترنت الأشياء لتحقيق الوصول الأولي والانتقال الأفقي إلى أجهزة شبكات تكنولوجيا المعلومات والتكنولوجيا التشغيلية، والذي يهدف إلى إحداث اضطراب في عمليات الشركة على أرض الواقع.
وتعتمد نماذج برمجيات الفدية الواردة في التقرير على استغلال الأجهزة المعرضة لخطر الهجوم، مثل الكاميرات التي تدعم بروتوكول الإنترنت أو أجهزة التخزين الموصولة بالشبكة، بوصفها نقاط الوصول الرئيسية إلى الشبكة، أما برمجيات الانتقال الأفقي فتتحكم بأجهزة التكنولوجيا التشغيلية وتوقف عملها، وبالتالي تضيف عامل ابتزاز إضافي إلى الهجمات.
ويُعتبر التقرير فريداً من نوعه في القطاع لأنه:
- – يستند إلى خطوات رصد واستجابة مجرّبة ومفصّلة للحماية من هجمات الفدية على أجهزة إنترنت الأشياء، والتي توفر دليلاً عملياً للمؤسسات الراغبة بحماية عملياتها من التهديدات القائمة والمستقبلية.
- – يجمع للمرة الأولى بين برمجيات الفدية التي تستهدف شبكات تكنولوجيا المعلومات والتكنولوجيا التشغيلية وإنترنت الأشياء، ويقدّم نموذجاً شاملاً لجميع المراحل، انطلاقاً من نقطة الدخول الأولي من خلال أجهزة إنترنت الأشياء، ووصولاً إلى الحركة الأفقية ضمن شبكة تكنولوجيا المعلومات، ووصولاً إلى التأثير على شبكة التكنولوجيا التشغيلية. ويتضمن نموذج استخدام أجهزة تكنولوجيا المعلومات عمليات التشفير وتطبيق برمجيات تعدين العملات الرقمية، بالإضافة إلى سحب البيانات.
- – ويدرس التقرير تأثيرات الهجمات على شبكة التكنولوجيا التشغيلية بصورة تتجاوز أنظمة التشغيل الاعتيادية (مثل لينوكس) أو أنماط الأجهزة الشائعة (مثل أتمتة المباني)، ويغطي البرمجيات التي لا تتطلب العمل لفترة طويلة أو إجراء تعديلات في البرمجيات الثابتة للأجهزة المستهدفة، ويشمل مجموعةً واسعة ومتنوعة من الأجهزة المعرّضة لاستغلال نقاط الضعف القائمة في بروتوكولات TCP/IP.
ويمكن الاطلاع على النموذج التجريبي من خلال هذا الفيديو أو قراءة تفاصيل أوفى عنه ضمن التقرير الفني. ويقدم النموذج دليلاً واضحاً على إمكانية استهداف أجهزة إنترنت الأشياء والتكنولوجيا التشغيلية بالتوازي مع الهجمات التقليدية. ويشير التقرير إلى ضرورة اعتماد الشركات حلولاً توفر شفافية واسعة وتحكماً أفضل بجميع الأصول ضمن الشبكة لتكون قادرة على الحد من هذا النمط من الهجمات.
الحد من هجمات برمجيات الفدية
يستعرض التقرير آلية عمل هجمات الفدية على أجهزة إنترنت الأشياء بهدف تسليط الضوء على الطرق الكفيلة بالحد من احتمالية هذه الهجمات وتأثيراتها على المؤسسات، وبالتالي تقليل المخاطر الإجمالية التي تواجهها. ويتضمن التقرير ثلاث ملاحظات هامة استُخلصت من دراستنا لتهديدات برمجيات الفدية، مما يتيح الحد من هذه التهديدات بالاعتماد على الوظائف الواردة في إطار الأمن السيبراني الصادر عن المعهد الوطني للمعايير والتقنية. وتشمل هذه الملاحظات:
- – إمكانية تحديد الهجمات والوقاية منها نظراً لشن المئات من الهجمات المماثلة في نفس الوقت. فعلى سبيل المثال، حققت برمجيات Conti أكثر من 400 هجوم ناجح على المؤسسات الأمريكية والدولية في عام وبالتالي من الممكن تحديد الأجهزة ومواطن الضعف التي تستغلها الهجمات بغرض التركيز على حمايتها.
- – إمكانية رصد الهجمات نظراً لأن معظم الأدوات والطرق التي يستخدمها المهاجمون معروفة جيداً. ويستعرض التقرير بهذا السياق أهم التكتيكات والتقنيات والإجراءات التي اتبعتها البرمجيات الخبيثة خلال عام
- – تتيح طبيعة الهجمات غير المباشرة وغير المؤتمتة بالكامل إمكانية الاستجابة لها والتعافي من تأثيراتها، إذ بلغ الزمن الوسطي لاستمرار هجمات الفدية خمسة أيام في عام
ويستلزم النجاح بالحد من هجمات الفدية شفافية واسعة وتحكماً أفضل بجميع الأصول ضمن الشبكة. وتتيح منصة فورسكاوت كونتينيوم تحقيق هذه المتطلبات من خلال:
- – توفير تحليلات متعمقة تشمل جميع أصول الشركة دون التأثير على العمليات التجارية الحساسة. وتعمل المنصة على استكشاف الأجهزة المتصلة وتصنيفها وتقييمها بشكل تلقائي بالمقارنة مع سياسات الشركة. وتتيح قدرات الاستكشاف والتصنيف والتقييم المتقدمة هذه الشفافية اللازمة لإعداد السياسات واتخاذ الخطوات المطلوبة.
- – توفير شفافية شاملة ومرونة سيبرانية متكاملة للأصول وعمليات التواصل بالاعتماد على طريقة الفحص العميق لحزم البيانات، والتي توفر القدرات اللازمة لمراقبة الشبكة ورصد التهديدات، بما يشمل مؤشرات التهديدات ومواطن الضعف.
- – تسريع جهود تصميم التقسيم الديناميكي للشبكة وتخطيطها وتطبيقها على امتداد مختلف عمليات المؤسسة، بهدف الحد من المساحة المعرضة للهجوم والمخاطر التنظيمية. وتساعد هذه العملية في تسهيل إنشاء سياسات تقسيم الشبكة القائمة على جمع المعلومات حول البيئة الخاصة بها، وتتيح تصوير ومحاكاة السياسات قبل تطبيقها، وبالتالي ضمان إجراء عمليات الضبط والتحقق بشكل استباقي.
- – مشاركة بيئة الأجهزة بين منصة فورسكاوت كونتينيوم وغيرها من منتجات تكنولوجيا المعلومات والأمن بهدف أتمتة عملية تطبيق السياسة على امتداد جميع الحلول، إلى جانب تسريع الاستجابة الشاملة للحد من التهديدات.