كشفت "سيكيوروركس "Secureworks، الشركة العالمية الرائدة في توفير الحماية للشركات في العالم الرقمي المتصل بالإنترنت الاثنين تفاصيل جديدة بشأن برمجيات الفدية "سام سام"، وهي عبارة عن حملات إلكترونية خبيثة للاستغلال المالي باستخدام برمجية الفدية الخبيثة ظهرت أواخر العام 2015 (التي تعرف أيضًا باسم "ساماس"، و"سام سام كريبت"، وربط باحثو وحدة مكافحة التهديدات نشاط هذه الحملات بمجموعة القرصنة الإلكترونية "غولد لويل"، وتقوم مجموعة "غولد لويل" بعملية مسح لاستغلال الثغرات الأمنية المعروفة في أنظمة الإنترنت بهدف الحصول على موطئ قدم أولية على شبكة الضحية.

وينشر مطلقو التهديدات برمجية الفدية "سام سام"، ويطلبون مبلغًا لفك التشفير عن ملفات الشبكة المستهدفة، وتشير الأدوات والسلوكيات المرتبطة بهجمات "سام سام" منذ العام 2015 إلى أن "غولد لويل" هي إما مجموعة تهديد محددة أو عبارة عن مجموعة من الجهات الإجرامية الإلكترونية الفاعلة المرتبطة ببعضها ارتباطًا وثيقًا.

و يشكِّل تطبيق التحديثات الأمنية في الوقت المناسب، والمراقبة الدورية للسلوكيات الشاذة على الأنظمة المرتبطة بالإنترنت، وسيلة دفاعية فعالة ضد هذه التهديدات، كما يتوجب على الشركات إنشاء واختبار خطط استجابة واضحة لحوادث الإصابة ببرمجيات الفدية، واستخدام حلول النسخ الاحتياطية التي تمتاز بالمرونة تجاه محاولات الاختراق والتهديد المختلفة.

وقسَّم الباحثون في وحدة مكافحة التهديدات لدى شركة "سيكيوروركس" المعلومات الخاصة بالتهديد الإلكتروني إلى قسمين: قسم استراتيجي، وقسم تكتيكي، ويمكن للتنفيذيين استخدام التقييم الاستراتيجي للتهديد المتواصل لتحديد كيفية الحد من المخاطر التي يمكن أن تتعرض لها الأصول والبيانات الحساسة لدى مؤسساتهم، ويمكن للمدافعين عن شبكات الكمبيوتر استخدام المعلومات التكتيكية التي جُمِعت من الأبحاث وتحقيقات الاستجابة للحوادث للحد من الوقت والجهد المرتبط بعملية الاستجابة لأنشطة المجموعة الإجرامية.

ويشير تحليل "وحدة مكافحة التهديدات" الخاصة ببرمجية الفدية الخبيثة "سام سام" إلى أنه عادة ما تنشر هذه البرمجية بعد أن تتمكن الجهات المهاجمة من استغلال الثغرات الأمنية المعروفة على الأنظمة الخارجية للتمكن من الوصول إلى شبكة الضحية، وتتسم عمليات الفدية هذه بالانتهازية، وأثرت كثيرًا على هيئات ومؤسسات من مختلف القطاعات والصناعات حول العالم.  

ويرنو قرار مجموعات التهديد إلى نشر برمجية الفدية عقب اختراق أولي للشبكة إلى تركيز هذه المجموعات على عمليات الاستغلال الفردية عوضًا عن نشر برمجيات الفدية عشوائيًا عبر حملات للتصيُّد والاحتيال الواسعة عبر الشبكة، وتعود هذه الحملات الخبيثة بالربح المادي الكبير على المهاجمين، فعلى سبيل المثال، حققت هجمة واحدة قامت بها مجموعة القرصنة الإلكترونية "غولد لويل" بين أواخر العام 2017 وبداية العام 2018 ربح مادي لا يقل عن 350 ألف دولار أميركي.

ويمكن لتحليل أهداف وأصول وكفاءة مجموعات القرصنة الإلكترونية أن تحدد ماهية الشركات التي يمكن أن تكون عرضة لهجمات هذه المجموعات. ويمكن لهذه المعلومات أن تساعد الشركات على اتخاذ قرارات دفاعية استراتيجية فيما يتعلق بهذه التهديدات.

وتجمع مجموعة القرصنة الإلكترونية "غولد لويل" بين أدوات ومنتجات الملكية مع تقنيات الاستغلال والاستهداف المتاحة أمام العامة، وإن تطوير مجموعة "غولد لويل" لأداة فدية برمجية خاصة يشير إلى أنهم يتمتعون بمعرفة كبيرة بعمليات التشفير وبيئات "ويندوز" الشبكية، وتظهر هذه المجموعة قدرة على الاستفادة من النفاذ إلى الأنظمة المرتبطة بالإنترنت وتصعيد الامتيازات ضمن الشبكات المخترقة، وتتطلب أعمال مجموعة القرصنة الإلكترونية "غولد لويل" خبرات عملية وتفاعلية على لوحة المفاتيح لتأسيس علاقة مباشرة بين مجموعة التهديد الضحية، وعادة ما يعرض مطلقي التهديد على الضحايا خيارات لاختبار فك التشفير قبل عملية الدفع بهدف بناء الثقة بين الطرفين.

ويشير زيادة نشاط مجموعة القرصنة الإلكترونية "غولد لويل" بين العام 2015 والعام 2018 إلى أن المجموعة تستفيد ماليًا من حملات برمجيات الفدية الخبيثة عقب عمليات الاستهداف الانتهازية للشبكات، وعدَّلت المجموعة أسلوب عملها قليلاً للاستفادة من الأدوات المتاحة للجهور، وطوَّرت تدريجيًا أدوات الملكية بهدف مواصلة النجاح في عمليات الاستهداف، ودائمًا ما يبحث مطلقو التهديدات على الأنظمة غير المحمية والمعرضة للخطر، لذا، تشجع وحدة مكافحة التهديدات العملاء على منح الأولوية للضوابط الأمنية للأنظمة والخدمات المرتبطة بشبكة الإنترنت، وتعتبر عمليات تحديث البرمجيات والقيام باختبارات دورية للكشف عن الخروق، ومراقبة السلوكيات الشاذة، والحد من النفاذ إلى الشبكة من أفضل الممارسات المتبعة للحد من مخاطر الإصابة بالهجمات الإلكترونية الخبيثة، ويجب على الشركات أن تقيِّم مدى قدرتها على الصمود أمام هجمات الفدية والذي يتضمن إيجاد واختبار خطط استجابة للحوادث، وتوليد وحماية النسخ الاحتياطية للبيانات الحساسة.