كشفت دراسة أجرتها مؤسسة بروبابليكا ProPublica أن معظم مقدمي خدمات مقاومة القرصنة الإلكترونية لديهم طريقة غريبة للتخلص من المخترقين، وهي الدفع لهم.
بحسب ما قاله خبراء من شركة كوفروير Coverware فإن أنشطة فيروس الفدية آخذة في الزيادة بشكل أسبوعي. والنتيجة؟ شركات تدفع المال كي تتجاوز الأمر.
بحسب كوفروير، فإن هجمات برمجيات الفدية ازدادت في الربع الأول من عام 2019: في الربع الأول من عام 2019، ازدادت معدل هجمات برمجيات الفدية بنسبة 89 بالمائة بخسائر تساوي 12,762 دولار مقارنة بخسائر الربع الأخير من عام 2018 والتي كانت قيمتها 6,733 دولار. وتعبر هذه الزيادة عن إصابات متزايدة بأنواع أكثر تكلفة من فيروسات الفدية مثل ريوك Ryuk وبتبايمر Bitpaymer ولينكريبت Lencrypt. عادة ما تستخدم هذه الأنواع في حالات الاختراق الكبيرة المخطط إتمامها على الشركات الكبرى.
عندما يشفّر الفيروس أحد الأجهزة، تكون المشكلة الحقيقية هي فك تشفير بيانات الجهاز. واكتشفت بروبابليك أن كثيراً من شركات استعادة البيانات تدفع الفدية لاستعادة البيانات وهذه التكلفة يدفعها العميل فيما بعد للشركة.
ووفقاً لعملاء سابقين ورسائل أرسلتها شركة بروفن داتا Proven Data عبر البريد الإلكتروني، فإن الشركة تعِد بمساعدة ضحايا فيروس الفدية باستعادة بياناتهم باستخدام “أحدث تكنولوجيا”. ولكن بحسب ستورفير Storfer وشهادة حصلت عليها بروبابيلكا من وكالة الاستخبارات الفيدرالية FBI، فإن الشركة قد حصلت من المخترقين على أدوات التشفير في مقابل دفع الفدية.
ووجدت بروبابليك أيضاً أن شركة مونستركلاود MonsterCloud الأميركية والتي يقع مقرها في فلوريدا، تدّعي استخدام أدوات استرجاع البيانات الخاصة بها ولكنها في الواقع تدفع الفدْيات، وأحيانا تفعل هذا دون إخبار الضحايا، الذين من بينهم بعض السلطات المحلية. تتشابه الشركتان في أن كليهما يحمّل الضحايا رسوماً إضافية على قيمة الفدية. وتقدم كلا الشركتين خدمات أخرى مثل تحصين العملاء ضد الهجمات المستقبلية. بالإضافة إلى ذلك، استخدمت كلا الشركتين أسماء مستعارة لموظفيها بدلاً من أسمائهم الحقيقية خلال التواصل مع الضحايا.
الأمر في تزايد
مشكلة برمجيات الفدية تزداد سوءاً.
بعد تعقب المحامي العام وتوجيهه الاتهام لإثنين من المخترقين الإيرانيين اللذين أطلقا فيروس فدية يسمى سام سام SamSam، كانت السلطات تأمل في انخفاض معدل الهجمات، ولكن ما حدث هو العكس، إذ ازداد معدل الهجمات ليتخطى مستواه في عام 2018 بفارق ملحوظ.
ويعتقد الكثيرون أن السبب وراء هذا هو أن الاختراقات التي تتم باستخدام فيروس الفدية مربحة للغاية. فالمخترقون يبدأون الهجوم، وبعدئذ يكتشف الضحايا هذا الاختراق، ومن ثم يتفاوض المخترقون مع شركات مثل مونستر كلاود وغيرها لفك تشفير الأجهزة المُخترَقة. هذا بالرغم من تقديم العديد من هذه الشركات لطرق أخرى لاستعادة البيانات، بينما يعمل عدد من الباحثين في مجال الأمن المعلوماتي على تطوير أدوات مجانية لفك تشفير الفيروس الشهير المعروف باسم وانا كراي WannaCry.
ولسوء الحظ، تزداد خطورة الهجمات وبالتالي يزداد مدى تعقيد البرمجيات المطلوبة لاسترجاع البيانات بعد تلك الهجمات.
واعترفت شركة كوفروير بأنها تتفاوض بالفعل مع المخترقين. إذ وجدت الشركة أن هذه الطريقة تعد من أسهل الطرق لاسترجاع البيانات. ولكن القلق يأتي من أن هذه الأفعال تسهم في تمويل الإرهاب بشكل غير مباشر. وبفضل النسخ الجديدة من فيروسات الفدية، فإن فك تشفير الحواسيب المصابة بفيروسات الفدية أصبح يستغرق وقتاً أطول. وكتبت شركة كوفروير قائلةً إن “معدل مدة التوقف الناتجة عن الاختراق ارتفعت في الربع الأول من عام 2019 لتساوي 7.3 يوماً مقارنة بمدة 6.2 يوماً في الربع الأخير من عام 2018”.
التعرف على النمط
واكتشف المدير التنفيذي لشركة كوفروير بيل سيغل أنه في أغلب حالات استرجاع البيانات بعد هجوم الفدية فإن التفاوض لا يكون تفاوضاً حقيقياً مع “الإرهابيين” كما يعتقد موظفي الحكومة الأميركية. إذ تفاوضت الشركة في “مئات قليلة” من حالات اختراق الفدية هذا العام ووجدت أن كل مخترق يختلف عن الآخر.
وقال سيغل: “بنينا استنتاجاتنا على دراسات وخبرات اكتسبناها من الصناعة، وما وصلنا إليه أن الأغلبية العظمى من المخترقين هم أناس عاديون نسبياً وليس لديهم الوعي الاقتصادي أو القانوني المتكافئ مع مهاراتهم التقنية. وهم أيضاً يعيشون في أماكن ليست خاضعة للسلطات الغربية ولا يجدون في السرقة من الغرب أمراً خاطئاً”.
وتعد عملية التفاوض مع المخترقين التي تجريها الشركة دقيقة للغاية أيضاً. إذ قال سيغيل: “ندرس أنماط وأشكال التواصل الخاصة بالمخترقين لتساعدنا في بناء قاعدة بيانات تعطينا مزيداً من الخبرة. وهناك مجموعة صغيرة من المهددين النشطين دائماً، والشيء المميز فيهم أنهم واضحون ومباشرون نسبياً. ومن هنا، حصلنا على بعض النصوص والتكتيكات بسبب خبرتنا ونستعين بها في تطوير استراتيجية للتفاوض بالنيابة عن العميل. نستطيع معرفة نوع المخترقين من أنماط أنشطتهم. ولا نتواصل معهم في غياب عملائنا. نحن أيضاً نقدم جميع البيانات التي نجمعها للسلطات القضائية بمعدل ربع سنوي”.
وقال زوهار بينهاسي من شركة مونستر كلاود إن شركته تسعى جدياً للعمل على استخدام كلتا الطريقتين: الاسترجاع ودفع الفدية.
يقول بنهاسي: “تتباين عمليات الاسترجاع من حالة لأخرى بحسب حجم وطبيعة الاختراق. ونحن بنينا طرقنا الخاصة باسترجاع البيانات والحماية عبر سنوات من الخبرة والممارسة العملية، لذا، لا نصرح بها للعامة ولا حتى لعملائنا. وهذا معروف للجميع، إلا أنني أريد التأكيد على أننا شركة مختصة بالأمن المعلوماتي وليس استرجاع البيانات. لدينا خبرة واسعة في التعامل مع هذا النوع من المجرمين، ونمضي ساعات كثيرة لكي نسبقهم في مدى تطور وسائلهم مما يمكننا من تقديم الحماية لعملائنا ضد الهجمات المستقبلية، أياً كان نوعها. ونقدم لعملائنا أيضاً ضماناً مالياً يحصل عليه في حالة عدم قدرتنا على استرجاع بياناته، وللتوثيق فقط، لم يحدث من قبل أن يأتينا أحد عملائنا للإبلاغ عن تكرار اختراقه بعد استرجاعنا لبياناته وتأمينه”.
وبالرغم من أن دفع الفدية التي قد تقدر ببضعة آلاف ليس الخيار الأفضل للعديد من الضحايا، إلا أنه يبدو الحل الأفضل لتقليل وقت التوقف. وعلى كل حال، فإن المسئولية الأكبر تقع على المؤسسة التي استقبلت الفيروس منذ البداية. وكما يقولون دائماً: الوقاية خيرٌ من العلاج.
إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.