كشف فريق البحث والتحليل العالمي في شركة كاسبرسكي عن تحول خطير في أساليب عمل مجموعة (Fog Ransomware)، وهي مجموعة إجرامية سيبرانية اكتسبت شهرة واسعة بسبب هجماتها الممنهجة على مجموعة متنوعة من القطاعات، فبدلًا من الاكتفاء بتشفير بيانات الضحايا وتهديدهم بنشرها، بدأت المجموعة بربط عناوين بروتوكول الإنترنت (IP) الخاصة بضحاياها بالبيانات المسروقة ونشرها علنًا عبر شبكة الإنترنت المظلم.
ويمثل هذا التكتيك الجديد تصعيدًا غير مسبوق في الضغط النفسي على الضحايا، إذ يجعل الاختراقات أكثر وضوحًا وقابلية للتتبع، ويزيد من مخاطر الغرامات التنظيمية التي قد تواجهها المؤسسات المتضررة.
تفاصيل هجمات مجموعة (Fog Ransomware):
تُعدّ مجموعة (Fog Ransomware) من الجهات التي تقدم خدمات (برمجيات الفدية كخدمة) RaaS، وهي عبارة عن نموذج عمل يعتمد على تأجير مطوري البرمجيات الخبيثة أدواتهم وبنيتهم التحتية لمجرمين سيبرانيين آخرين لتنفيذ الهجمات، وقد ظهرت هذه المجموعة في بداية عام 2024، وسرعان ما اشتهرت باستهدافها لقطاعات حيوية مثل: التعليم، والترفيه، والقطاع المالي.
وتعتمد المجموعة على استغلال بيانات اعتماد الشبكات الخاصة الافتراضية (VPN) المخترقة للوصول إلى بيانات الضحايا وتشفيرها، وغالبًا ما يحدث ذلك في غضون ساعتين فقط، وتستهدف هجماتها أنظمة التشغيل (ويندوز) Windows و Linux.
وقد اعتمدت مجموعة (Fog Ransomware) سابقًا على تكتيكات الابتزاز المزدوج، التي تجمع بين تشفير البيانات والتهديد بنشرها علنًا للضغط على الضحايا لدفع الفدية المطلوبة.
ومع ذلك، اتخذت المجموعة خطوة غير مسبوقة جعلتها تتميز عن غيرها في مجال (برمجيات الفدية كخدمة)، إذ أصبحت أول مجموعة تنشر عناوين بروتوكول الإنترنت والبيانات المسروقة لضحاياها علنًا عبر شبكة الإنترنت المظلم بعد تنفيذ هجماتها.
ولا يقتصر هذا الأسلوب على تعزيز الضغط النفسي فحسب، بل يفتح الباب أمام تهديدات إضافية، إذ يمكن أن يستغل مجرمون آخرون عناوين IP المكشوفة كنقاط دخول لشن هجمات لاحقة، مثل: (حشو بيانات تسجيل الدخول) Credential stuffing، أو تشغيل شبكات الروبوتات الخبيثة التي تستهدف المؤسسات التي سبق اختراقها.
وقد أشار مارك ريفيرو، رئيس باحثي الأمن في فريق البحث والتحليل العالمي في شركة كاسبرسكي، إلى أنَّ تراجع المدفوعات التي يحصل عليها مشغلو برمجيات الفدية نتيجة تحسين الدفاعات السيبرانية وتشديد الإجراءات التنظيمية، قد دفع هؤلاء المهاجمين إلى ابتكار طرق جديدة للابتزاز.
وقال: “قد يزيد الكشف العلني عن عناوين بروتوكول الإنترنت مع تسريب البيانات من احتمال استجابة المؤسسات لمطالب الفدية في المستقبل، وقد يكون هذا الأسلوب بمنزلة إستراتيجية تسويقية قائمة على التخويف، إذ يعرض المهاجمون قوتهم لإرهاب الضحايا المحتملين وإجبارهم على الدفع بسرعة”.
وصايا خبراء كاسبرسكي:
للحماية من هجمات برمجيات الفدية، يوصي خبراء كاسبرسكي المؤسسات باتباع التعليمات التالية:
تقديم برامج تدريبية للعاملين لتمكينهم من استيعاب المبادئ الأساسية للأمن السيبراني.
إجراء نسخ احتياطي دوري للبيانات،
والاحتفاظ بهذه النسخ في وحدات تخزين منفصلة ومعزولة عن الشبكة الرئيسية.
تركيب أنظمة حماية معتمدة وموثوقة في كافة الأجهزة المؤسسية
واستخدام حل XDR لرصد الأنشطة المشبوهة في الشبكة.
تفويض مهام اكتشاف التهديدات والاستجابة لها إلى شركة متخصصة تمتلك خبرات متقدمة في هذا المجال.
