زمن المكوث في برامج الفدية يصل إلى أدنى مستوى له وهو 24 ساعة
يُظهر التحليل من تقرير حالة التهديد السنوي لـ Secureworks أن متوسط زمن المكوث لبرامج الفدية قد انخفض من 4.5 أيام إلى أقل من 24 ساعة في سنة
أتلانتا، 6 أكتوبر 2023 /PRNewswire/ -- يتم نشر برامج الفدية خلال يوم واحد من الوصول الأولي في أكثر من 50% من الارتباطات، هذا ما تقوله شركة Secureworks® (NASDAQ: SCWX) Counter Threat Unit™ (CTU™). في غضون 12 شهرًا فقط، انخفض متوسط زمن المكوث (dwell time) المحدد في تقرير حالة التهديد السنوي لـ Secureworks من أربعة أيام ونصف إلى أقل من يوم واحد. في 10% من الحالات، تم نشر برامج الفدية في غضون خمس ساعات من الوصول الأولي.
"من المحتمل أن يكون الدافع وراء تقليل متوسط وقت المكوث هو رغبة مجرمي الإنترنت في الحصول على فرصة أقل للكشف. قد أصبحت صناعة الأمن السيبراني أكثر مهارة في اكتشاف النشاط الذي يعد مقدمة لبرمجيات الفدية. ونتيجة لذلك، تركز مصادر التهديد على تنفيذ العمليات بشكل أبسط وأسرع، بدلًا من أحداث التشفير الكبيرة متعددة المواقع على مستوى المؤسسات والتي تكون أكثر تعقيدًا بشكل كبير. لكن خطر هذه الهجمات لا يزال مرتفعًا" هذا ما قاله Don Smith، نائب رئيس استخبارات التهديدات في وحدة مكافحة التهديدات في Secureworks.
"في حين أننا ما زلنا نرى أسماء مألوفة باعتبارها مصادر التهديد الأكثر نشاطًا، فإن ظهور العديد من مجموعات التهديد الجديدة والنشطة للغاية يؤدي إلى ارتفاع كبير في تسريبات الضحايا والبيانات. وأكمل Smith: "على الرغم من عمليات الإزالة والعقوبات عالية المستوى، إلا إن مجرمي الإنترنت هم أسياد التكيف، وبالتالي يستمر التهديد في التزايد".
التقرير السنوي عن حالة التهديد يفحص مشهد الأمن السيبراني من يونيو 2022 إلى يوليو 2023. وتتضمن النتائج الرئيسية ما يلي:
- في حين أن بعض الأسماء المألوفة تتضمن GOLD MYSTIC (LockBit) و GOLD BLAZER BlackCat/ALP)) و GOLD TAHOE (Cl0p) لا تزال تهيمن على مشهد برامج الفدية، تظهر مجموعات جديدة وتعتمد على مواقع التسريب "التسمية والفضح". كانت الأشهر الأربعة الماضية من هذه الفترة المشمولة بالتقرير هي الأكثر إنتاجًا لأعداد الضحايا منذ أن بدأت هجمات التسمية والفضح في عام 2019.
- كانت أكبر ثلاثة نواقل وصول أولي (IAV) لوحظت في ارتباطات برامج الفدية حيث تفاعل العملاء مع المستجيبين لحوادث Secureworks: المسح والاستغلال وبيانات الاعتماد المسروقة والبرامج الضارة في هيئة سلع عبر رسائل البريد الإلكتروني الاحتيالية.
- استمر استغلال نقاط الضعف المعروفة من عام 2022 وحتى قبل هذا التاريخ وشكل أكثر من نصف نقاط الضعف الأكثر استغلالًا خلال الفترة المشمولة بالتقرير.
مجموعات برامج الفدية الأكثر نشاطًا
استمرت مجموعات التهديد نفسها في الهيمنة في عام 2023 كما في عام 2022. لا يزال LockBit من GOLD MYSTIC هو رأس المجموعة، مع عدد ضحايا أكثر بحوالي ثلاثة أضعاف عدد ضحايا المجموعة الأكثر نشاطًا التالية وهي BlackCat، التي تديرها .GOLD BLAZER
كما ظهرت مخططات جديدة ونشرت العديد من الضحايا. MalasLocker و 8BASE و Akira (التي احتلت المرتبة 14) جميعهم وافدون جدد أحدثوا تأثيرًا اعتبارًا من الربع الثاني من عام 2023. 8BASE أدرجت ما يقرب من 40 ضحية على موقع التسريب الخاص بهم في يونيو 2023، أي أقل بقليل من LockBit. يُظهر التحليل أن بعض الضحايا يعودون إلى منتصف عام 2022، على الرغم من أنه تم التخلص منهم في نفس الوقت. تسبب هجوم MalasLocker على خوادم Zimbra في نهاية أبريل 2023 في مقتل 171 ضحية على موقع التسريب الخاص بهم في مايو. يفحص التقرير معدلات نجاح هجمات برامج الفدية التي يكشفها نشاط موقع التسريب بالفعل — فهي ليست واضحة كما تبدو.
يكشف التقرير أيضًا أن أعداد الضحايا شهريًا من أبريل إلى يوليو 2023 كانت الأكثر غزارة منذ ظهور التسمية والفضح في عام 2019. أكبر عدد من الضحايا الشهريين على الإطلاق تم نشره في مواقع التسريب في مايو 2023 وهم 600 ضحية، أي ثلاثة أضعاف العدد في مايو 2022.
أهم نواقل الوصول الأولي لبرامج الفدية
كانت أكبر ثلاثة نواقل وصول أولي (IAV) لوحظت في ارتباطات برامج الفدية حيث تفاعل العملاء مع المستجيبين لحوادث Secureworks: المسح والاستغلال (32%)، وبيانات الاعتماد المسروقة (32%)، والبرامج الضارة في هيئة سلع عبر رسائل البريد الإلكتروني الاحتيالية (14%).
يتضمن المسح والاستغلال تحديد الأنظمة الضعيفة، ربما عبر محرك بحث مثل Shodan أو ماسح ضوئي للثغرات، ثم محاولة اختراقها باستغلال معين. داخل أهم 12 نقطة ضعف مستغلة بشكل شائع، 58% منها لديها تواريخ CVE في وقت سابق من عام 2022. كما تم وضع أحدها (CVE-2018-13379) ضمن قائمة الـ 15 الأكثر استغلالًا بشكل روتيني في عامي 2021 و2020.
"على الرغم من أن هناك الكثير من الضجيج حول هجمات أسلوب ChatGPT والذكاء الاصطناعي، فإن الهجومين الأكثر بروزًا في عام 2023 حتى الآن كانا نتيجة للبنية التحتية غير المصححة". وأكمل Smith: "في نهاية المطاف، يجني مجرمو الإنترنت المكافآت من طرق الهجوم المجربة والمختبرة، لذلك يجب على المنظمات التركيز على حماية نفسها من خلال النظافة السيبرانية الأساسية وعدم الوقوع في الضجيج".
عالم مهاجمي الدولة القومية
كما يدرس التقرير الأنشطة والاتجاهات المهمة في سلوك مجموعات التهديد التي ترعاها الدولة والتي تنتمي إلى الصين وروسيا وإيران وكوريا الشمالية. لا تزال الجغرافيا السياسية هي المحرك الرئيسي لمجموعات التهديد التي ترعاها الدولة في جميع المجالات.
الصين:
حولت الصين جزءًا من اهتمامها إلى أوروبا الشرقية، مع الحفاظ أيضًا على التركيز على تايوان وغيرها من الجيران القريبين. فإنها تعرض تركيزًا متزايدًا على التجارة الخفية في هجمات التجسس السيبراني — وهو تغيير عن سمعتها السابقة "التحطيم والاقتحام". استخدام الأدوات التجارية مثل Cobalt Strike، بالإضافة إلى الأدوات الصينية مفتوحة المصدر، يقلل من خطر الإسناد ويمتزج مع النشاط من مجموعات برامج الفدية بعد التسلل.
إيران:
لا تزال إيران تركز على النشاط المنشق، وعلى عرقلة التقدم في اتفاقيات إبراهيم، وعلى النوايا الغربية نحو إعادة التفاوض على الاتفاقيات النووية. تستخدم أجهزة الاستخبارات الإيرانية الرئيسية — وزارة الاستخبارات والأمن (MOIS أو VAJA) والحرس الثوري الإسلامي ((IRGC — شبكة من المقاولين لدعم الاستراتيجيات السيبرانية الهجومية. يعد استخدام الشخصيات (انتحال شخصيات حقيقية أو أشخاص مزيفين) تكتيكًا رئيسيًا عبر مجموعات التهديد الإيرانية.
روسيا:
ظلت الحرب في أوكرانيا محور النشاط الروسي. ينقسم هذا إلى معسكرين؛ التجسس الإلكتروني والتعطيل. شهد هذا العام زيادة في عدد الجماعات السيبرانية ذات التفكير الوطني التي تستهدف المنظمات التي تعتبر خصوم روسيا. بالنسبة للعصابات، يعد Telegram منصة التواصل الاجتماعي/الرسائل المفضلة للتجنيد والاستهداف والاحتفالات بالنجاح. غالبًا ما يتم دمج الاستخدام الضار للخدمات السحابية الموثوقة من طرف ثالث في عمليات مجموعة التهديد الروسية.
كوريا الشمالية:
تنقسم مجموعات التهديد في كوريا الشمالية إلى مجموعتين: التجسس السيبراني وتوليد الإيرادات للنظام المعزول. كانت AppleJeus أداة أساسية لمبادرات السرقة المالية في كوريا الشمالية، ووفقًا لـ Elliptic، سرقت مجموعات التهديد الكورية الشمالية 2.3 مليار دولار أمريكي من الأصول المشفرة بين مايو 2017 ومايو 2023 (30% من هذا المبلغ من اليابان).
تقرير حالة التهديد 2023
هذا التقرير الأخير عن حالة التهديد هو التقرير السنوي السابع من Secureworks الذي يقدم تحليلًا موجزًا لكيفية تطور المشهد العالمي لتهديدات الأمن السيبراني على مدى الأشهر الـ 12 الماضية. المعلومات الواردة في التقرير مستمدة من الملاحظات المباشرة لوحدة مكافحة التهديدات (CTU) في Secureworks حول أدوات وسلوكيات مصدر التهديد وتشمل حوادث الحياة الواقعية. يوفر تحليلنا السنوي للتهديدات نظرة متعمقة على التهديدات التي لاحظها فريقنا على الخط الأمامي للأمن السيبراني.
يمكن قراءة تقرير حالة التهديد لـ Secureworks بالكامل من هنا: https://www.secureworks.com/resources/rp-state-of-the-threat-2023
نبذة عن Secureworks
Secureworks NASDAQ: SCWX)) هي شركة عالمية رائدة في مجال الأمن السيبراني تؤمن التقدم البشري من خلال Secureworks® Taegis™، وهي منصة XDR مفتوحة قائمة على البرمجيات كخدمة مبنية على أكثر من 20عامًا من المعلومات والأبحاث حول التهديدات في العالم الحقيقي، مما يحسن قدرة العملاء على اكتشاف التهديدات المتقدمة، وتبسيط التحقيقات والتعاون فيها، والتشغل الآلي للإجراءات الصحيحة. تواصل مع Secureworks على Twitter و LinkedIn و Facebook و اقرأ مدونة Secureworks
الشعار - https://mma.prnewswire.com/media/1558509/Secureworks_V1_Logo.jpg
شارك هذا المقال