كتب مصطفى الدمرداش
أعلنت شركة سوفوس، الرائدة عالميًا في حلول الجيل التالي للأمن السيبراني، عن نتائج استطلاعها العالمي “حالة برمجيات طلب الفدية 2021” الذي يظهر بأن متوسط التكلفة الإجمالية للتعافي من هجمات طلب الفدية ارتفع بأكثر من الضعف خلال عام واحد، إذ زاد من 761,106 دولار عام 2020 إلى 1.85 مليون دولار عام 2021. وبلغ متوسط مبالغ الفدية المدفوعة 170.404 دولار أمريكي، فيما أظهرت النتائج العالمية كذلك أن 8% فقط من المؤسسات تمكنت من استعادة جميع بياناتها بعد دفع الفدية، بينما لم تحصل 29% منها سوى على نصف بياناتها.
شمل الاستطلاع 5,400 صانع قرار في قطاع تقنية المعلومات، من العاملين بالمؤسسات المتوسطة في 30 دولة في كل من أوروبا والأمريكيتين وآسيا والمحيط الهادي وآسيا الوسطى والشرق الأوسط وإفريقيا.
ورغم انخفاض عدد المؤسسات التي تعرضت لهجمات طلب الفدية من 51% من المشاركين في استطلاع العام 2020 إلى 37% من المشاركين عام 2021، بينما تعرض عدد أقل من المؤسسات لتشفير بياناتها نتيجة لهجمة كبرى (54% عام 2021 مقارنة مع 73% عام 2020)، فقد كشفت نتائج الاستطلاع الأخير توجهات تصاعدية مقلقة – وبخاصة فيما يتعلق بأثر الهجمة.
في تعليقه على النتائج قال تشيستر ويزنيفسكي، كبير علماء الأبحاث لدى سوفوس: “يعد الانخفاض الواضح في عدد المؤسسات التي تعرضت لهجمات طلب الفدية أمرًا إيجابيًا، ولكننا نرى بالمقابل تغييرات في سلوك المهاجمين حيث بدأوا بالانتقال من الهجمات الآلية على نطاق واسع إلى هجمات مركّزة تتضمن المشاركة البشرية في القرصنة. وبينما انخفض العدد الإجمالي للهجمات نتيجة لذلك، تظهر خبرتنا أن احتمال التعرض للضرر من تلك الهجمات الأكثر تطورًا وتعقيدًا يفوق الاحتمالات السابقة بكثير. كما أن التعافي من هذه الهجمات أكثر صعوبة، ونرى ذلك واضحًا في الاستطلاع الذي يظهر تضاعف تكلفة التعافي.”
وفيما يلي مجموعة من أبرز نتائج الاستطلاع العالمي لحالة برمجيات طلب الفدية للعام 2021:
ارتفع متوسط تكلفة معالجة آثار هجمات طلب الفدية بأكثر من الضعف خلال آخر 12 شهرًا. زاد متوسط تكلفة معالجة آثار الهجمة، بما فيها توقف العمل وخسارة الطلبات والتكاليف التشغيلية وغيرها، من 761,106 دولار عام 2020 إلى 1.85 مليون دولار عام 2021، مما يعني أن متوسط تكلفة التعافي من الهجمة أصبح الآن، بالمتوسط، يقارب عشرة أضعاف حجم دفعة الفدية.
بلغ متوسط مبالغ الفدية المدفوعة 170,404 دولار. فقد وصل أعلى مبلغ بين المؤسسات المشاركة في الاستطلاع إلى 3.2 مليون دولار، وكان الرقم الأكثر شيوعًا هو 10,000 دولار، بينما دفعت عشر مؤسسات فدية بواقع 1 مليون دولار وأكثر.
على الصعيد العالمي، ارتفع عدد المؤسسات التي دفعت مبلغ الفدية من 26% عام 2020 إلى 32% عام 2021، على الرغم من أن 8% منها – أي أقل من واحدة من كل 10 مؤسسات – تمكنت من استعادة كافة بياناتها. وبلغت نسبة المؤسسات التي دفعت مبالغ الفدية في الشرق الأوسط 28% من إجمالي المؤسسات التي تعرضت لتلك الهجمات.
وقال ويزنيفسكي: “تؤكد النتائج الحقيقة القاسية المتعلقة بهجمات طلب الفدية، وهي أن دفع المبلغ المطلوب لا يؤدي إلى النتائج المرجوة دومًا. فرغم أن المزيد من المؤسسات تسعى لدفع الفدية، فإن نسبة المؤسسات التي تسترجع بياناتها كاملة هي نسبة ضئيلة للغاية لأن استعمال مفاتيح فك التشفير لاستعادة المعلومات أمر معقد للغاية. كما أنه لا توجد ضمانة للنجاح – فعلى سبيل المثال، شهدنا مؤخرًا استخدام برمجيات DearCry و Black Kingdom لطلب الفدية، حيث انطلقت الهجمات برموز ذات جودة متدنية أو تم إعدادها على عجل مما يجعل استعادة البيانات أمرًا بالغ الصعوبة، إن لم يكن مستحيلًا.”
يعتقد أكثر من نصف المشاركين في الاستطلاع (54%) أن الهجمات السيبرانية أصبحت أكثر تطورًا بكثير مما يمكن لفريق تقنية المعلومات لديهم التعامل معه.
ارتفاع معدل الابتزاز دون تشفير البيانات. قالت نسبة متدنية بلغت 7% من المشاركين أن بياناتهم لم تتعرض للتشفير ولكنها احتجزت مقابل الفدية على أي حال – وربما يكون ذلك نتيجة لتمكّن المهاجمين من سرقة المعلومات. وبلغت تلك النسبة 3% عام 2020.
وأضاف ويزنيفسكي: “قد يستغرق التعافي من هجمات طلب الفدية سنوات، فهو يحتاج لأكثر من مجرد فك تشفير البيانات واسترداداها، بل إن النظم بأكملها تحتاج لإعادة بنائها من الصفر بالإضافة إلى أثر تعطل العمل والأثر المترتب على العملاء، وكلها أمور لا بد من التفكير بها وبغيرها. كما أن تعريف ما يمثل هجمة لطلب الفدية يتطور باستمرار، فقد تضمنت الهجمات بالنسبة لأقلية هامة من المشاركين طلب دفع مبالغ الفدية دون تشفير البيانات – وقد يكون ذلك بسبب استخدام تقنيات مضادة لتلك الهجمات تمنع تعرضها للتشفير أو لأن المهاجمين اختاروا ببساطة عدم تشفير البيانات. من الممكن أن يطلب المهاجمون الدفعة مقابل عدم تسريب المعلومات المسروقة عبر الإنترنت. ومن الأمثلة الحديثة على هذا التوجه ما قامت به عصابة كلوب لطلب الفدية باستخدام جهة شهيرة للتهديدات بهدف المكاسب المالية، والتي استهدفت أكثر من عشر ضحايا بهجمات هدفها الابتزاز فقط.”
“باختصار، أصبحت الحماية من المهاجمين قبل دخولهم وتمكنهم من السيطرة وشنّ الهجمات أمرًا أكثر أهمية من أي وقت مضى. ولحسن الحظ أن المؤسسات التي تتعرض للهجمات لا تضطر لمواجهة التحدي منفردة، فالدعم متاح على مدار الساعة من خلال مراكز عمليات الأمن الخارجية وتقصي التهديدات بجهود بشرية وخدمات الاستجابة للحوادث.”
وتوصي سوفوس بالممارسات الستة التالية للمساعدة في الدفاع ضد هجمات طلب الفدية وما يرتبط بها من هجمات سيبرانية:
افتراض التعرض للهجمة. لا تزال برمجيات طلب الفدية سائدة بشكل كبير، ولم يعد هناك قطاع أو دولة أو مؤسسة بمنأى عن خطرها. من الأفضل الاستعداد للهجمة ومنعها بدلًا من التعرض لها دون استعداد.
الحرص على عمل النسخ الاحتياطية وإبقاء نسخة غير متصلة بالإنترنت. تمثل النسخ الاحتياطية الوسيلة الأساسية التي لجأت إليها المؤسسات المشاركة في الاستطلاع لاستعادة بياناتها بعد الهجمة. لا بد من الحرص على اتباع المنهج القياسي في القطاع وهو 3:2:1 (ثلاث نسخ احتياطية، وسيلتان للتخزين، وواحدة غير متصلة بالإنترنت).
استخدام طبقات من الحماية. مع تزايد هجمات طلب الفدية التي تتضمن الابتزاز، فمن المهم للغاية تجنب وصول المهاجمين إلى البيانات أصلًا، ولهذا ينصح باستخدام طبقات من الحماية لحظر وصول المهاجمين في أكبر عدد ممكن من النقاط.
دمج الخبرات البشرية مع التقنيات المضادة لبرمجيات طلب الفدية. مفتاح إيقاف هجمات طلب الفدية هو الدفاع على مستويات عميقة تجمع بين تقنيات مكافحة برمجيات طلب الفدية والجهود البشرية لتقصي التهديدات. تتيح التقنيات إمكانات الأتمتة والتوسع التي تحتاج إليها المؤسسات بينما توفر الخبرة البشرية أفضل إمكانات الكشف عن التكتيك والإجراءات التي يحاول المهاجمون من خلالها الدخول إلى بيئة المؤسسة. إذا لم تتوفر تلك الخبرات في المؤسسة فيمكن الاستعانة بشركة متخصصة بالأمن السيبراني للدعم، حيث تعد مراكز العمليات الأمنية خيارات واقعية ومفيدة للمؤسسات على اختلاف أحجامها.
لا تدفع الفدية. القول أسهل من التطبيق الفعلي بالطبع، وبخاصة عندما يتوقف عمل المؤسسة بسبب هجمات طلب الفدية. وبغض النظر عن أية اعتبارات أخلاقية، فإن دفع الفدية طريقة غير فعالة لاستعادة البيانات، وعليك – إذا قررت الدفع – أن تأخذ بالاعتبار أن المهاجمين قد يعيدون ثلثي ملفاتك فقط.
ضرورة وجود خطة للتعافي من البرمجيات الضارة. الطريقة المثلى لإيقاف تحول الهجمات السيبرانية إلى خرق كامل للبيانات هي الاستعداد لها مسبقًا. فالمؤسسات التي تقع ضحية للهجمات غالبًا ما تدرك بأنه كان بوسعها تجنب الخسائر المالية الضخمة وتوقف سير العمل إذا كانت لديها خطة للاستجابة للحوادث.
يمكن الاطلاع على تقرير استطلاع حالة برمجيات طلب الفدية بالكامل عبر الرابط Sophos.com.
أجري استطلاع حالة برمجيات طلب الفدية 2021 من قبل شركة فانسون بورن، وهي شركة مستقلة مختصة بأبحاث الأسواق، خلال شهري يناير وفبراير 2021. شارك في الاستطلاع 5,400 صانع قرار بقطاع تقنية المعلومات في 30 دولة هي الولايات المتحدة الأمريكية وكندا والبرازيل وشيلي وكولومبيا والمكسيك والنمسا وفرنسا وألمانيا والمملكة المتحدة وإيطاليا وهولندا وبلجيكا وإسبانيا والسويد وسويسرا وبولندا وجمهورية التشيك وتركيا وإسرائيل والإمارات والسعودية والهند ونيجيريا وجنوب إفريقيا وأستراليا واليابان وسنغافورة وماليزيا والفلبين. كان جميع المشاركين من مؤسسات يعمل لديها بين 100 و 5,000 موظف.
توفر حلول Intercept X من سوفوس الحماية للمستخدمين عبر الكشف عن سلوكيات برامج طلب الفدية وغيرها من الهجمات.