منذ ظهورها علي الساحة، كان النمط المستخدم من قبل عصابات فيروسات الفدية، هو تشفير ملفات وحاسبات الضحايا، ثم طلب فدية مقابل ارسال مفاتيح فك التشفير، لكن يبدو أن الطبيعة الإجرامية لهؤلاء قد جعلت شهيتهم للابتزاز والسرقة لا تكتفي بالحصول علي الفدية، وإنما تتجاوز ذلك إلي تعريض الضحايا للمزيد من السلوكيات الإجرامية، بغرض المزيد من المكاسب المادية، ويقدر الخبراء أن هناك الآن ست مسارات إجرامية جديدة، قد ظهرت علي الساحة ولم تكن معهودة في مثل هذه الهجمات من قبل.
 |
بيع خروقات الشبكات لعصابات أخرىالمتاجرة بالبيانات المخترقة وعدم الاكتفاء بتشفيرهامجموعات لاستقطاب وتوظيف المهاجمين |
صدر التنبيه الخاص بالتحول في سلوكيات هذه العصابات عن خبراء في شركة ” آريت انسيدنس” المتخصصة في الاستجابة السريعة للهجمات الأمنية، و “إمسي سوفت ” لنظم أمن المعلومات، وجاءت المسارات الإجرامية الجديدة علي النحو التالي:
حدف ومحو البيانات
ـ
أضافت العصابات مجموعة جديدة من الأدوات المستخدمة في الهجمات، تسمح لها بحذف ومحو البيانات إذا لم يقم الضحية بالدفع، وبالتالي باتت أدوات الهجوم مزدوجة، المراحل، بحيث تقوم أولا بالتشفير، ثم يتم ضبط أدوات الحذف لتقوم بالعمل وتمحو البيانات تلقائيا بعد موعد محدد من إتمام عملية التشفير، أو يتم ضبطها علي العمل فور تلقي أوامر بالمحو من المهاجمين.
ـ طورت العصابات أدوات تقوم بنسخ وإرسال نسخة من أي بيانات يتم تشفيرها، لتكون في حوزتها، للمراجعة والفحص، ومعرفة ما إذا كان بيعها سيحقق عائد مادى اكبر من فك تشفيرها، أو لاستخدام التهديد بالبيع والتسريب كوسيلة لرفع قيمة الفدية، وكما هو الحال مع المحو، يمكن ضبط عملية تسريب البيانات وكشفها علانية، أو عرضها للبيع، بصورة تلقائية، أو عند تلقي أوامر بذلك.
توثيق الخروقات وبيعها
ـ وظفت العصابات مكون جديد في هجمات التشفير مهمته توثيق ونقل جميع التفاصيل الخاصة بنقاط الضعف الأمنية، والخروقات التي كانت قائمة بشبكة معلومات الضحية، وسهلت لها تنفيذ الهجمة، أو أي تخريب جديد تم احداثه خلال الهجمة، وإرساله للمهاجمين، بغرض عرضه للبيع، حتي بعد الحصول علي الفدية، باعتبار الشبكة مخترقة وخالية من الدفاعات، وجاهزة لأنماط اخري من الهجمات، كهجمات اليوم صفر، والتحكم من البعد وغيرها، وهنا يكون التفاوض والبيع بين مجموعات متنوعة من العصابات الاجرامية، وليس جرائم الفدية فقط.
ـ رصد الخبراء لجوء عصابات الفدية إلي إنشاء فرق لتدبير وإدارة الموارد البشرية المطلوبة لتنفيذ الهجمات، وتطوير الأدوات، واستقطاب اكفأ المجرمين والمهاجمين، وتستخدم في هذا السياق أسلوب الدفع المسبق، بأجر واضح منذ البداية، أو بأسلوب المشاركة في الأرباح بنسب متفق عليها، من قيمة ما تدفعه الضحية، وحددت العصابات مواصفات الكوادر المطلوبة في مهارات الاختراق وقدرات التشفير والتفاوض مع الضحايا.
تعاون نفسي
لوحظ لجوء العصابات إلي التعاون مع بعض الخبراء النفسيين، للحصول علي مهارات في كيفية ممارسة الضغط النفسي بصورة اشد قسوة، لاستنزاف الضحايا، فراحت تنفذ عمليات اتصال مباشرة بالضحايا، وليس فقط عن طريق الاتصال الالكتروني والرسائل المبهمة التي تظهر علي الشاشة بعد تنفيذ الاختراق، ويتم الاتصال المباشر عبر الروبوتات البرمجية المتخصصة في اجراء الاتصالات، وذلك من مراكز اتصال متخصصة يتعاونون في إنشائها معا، أو من خلال مراكز اتصال قائمة، وبتحليل محتوي المكالمات تبين انها تحمل تهديدا ووعيدا بشن هجمات اخري، أو بمحو البيانات في حال تأخير الدفع، وقد أورد خبراء أمن المعلومات نص رسالة صوتية، بعد تفريغها، فجاءت كالتالي: “نحن على علم بوجود شركة تكنولوجيا معلومات تابعة لجهة خارجية تعمل على شبكتك. نواصل المراقبة ونعلم أنك تقوم بتثبيت برنامج الحماية من الفيروسات على جميع أجهزة الحاسبات لديك. ولكن يجب أن تعلم أنه لن يساعدك. إذا كنت تريد التوقف عن إضاعة وقتك واستعادة بياناتك هذا الأسبوع ، نوصيك بمناقشة هذا الموقف معنا في الدردشة وإلا فلن تنتهي مشكلات شبكتك أبدًا. “
