المجرمون السيبرانيون يجنون الملايين جراء هجمات Formjacking

يسعى مجرمو الإنترنت إلى إيجاد طرق بديلة لمواجهة تناقص العائدات المادية من هجمات الفدية وهجمات تعدين العملات الرقمية المشفرة، ومن هذه الطرق البديلة شن هجمات Formjacking، وذلك وفقاً لتقريرالتهديدات الأمنية السيبرانية الذي أصدرته شركة “سيمانتك” (ISTR)، المجلد 24.

ويقدم تقرير “سيمانتك السنوي للتهديدات السيبرانية” نظرة عامة على مشهد التهديدات السيبرانية، بما في ذلك إحصاءات حول نشاط التهديدات العالمي وتوجهات الجريمة السيبرانية ودوافع المهاجمين. ويحلل التقرير البيانات من شبكة التحليلات العالمية التابعة لشركة “سيمانتك”، وهي أكبر شبكة مدنية لتحليل التهديدات في العالم، والتي تسجل الأحداث من 123 مليون وحدة استشعار للهجوم من جميع أنحاء العالم، وتحجب 142 مليون تهديد بشكل يومي وتراقب أنشطة التهديدات في أكثر من 157 دولة.

وارتفعت هجمات البرامج الضارة عبر البريد الإلكتروني على أساس سنوي في السعودية، وهو ما يمثل أربعة أضعاف المعدل العالمي. وفي العام الماضي، جاءت رسالة واحدة من أصل 118 رسالة إلكترونية في المملكة على شكل ملف مرفق أو رابط خبيث، في حين كان المتوسط العالمي 1 من 412 رسالة بريد إلكتروني في الفترة الزمنية نفسها. وفي الوقت نفسه، انخفضت مستويات التصيد الاحتيالي على مستوى العالم، حيث تراجعت من 1 لكل 2995 بريد إلكتروني في عام 2017، إلى 1 لكل 3207 رسائل بريد إلكتروني في عام 2018، وظلت مستويات التصيد في المملكة مرتفعة بشكل كبير، حيث تم اختراق 1 من كل 675 رسالة إلكترونية. وعلى المستوى الإقليمي، وجد التقرير أن إيران احتلت المرتبة الأعلى من حيث نشاط جرائم الإنترنت في الشرق الأوسط في عام 2018، تليها مصر وجنوب إفريقيا والمملكة العربية السعودية والجزائر.

ومن أبرز النقاط الرئيسية من تقرير هذا العام:

هجمات Formjacking وسيلة الثراء السريعة الجديدة للمجرمين السيبرانيين:

وتُصنّفFormjacking  على أنها من الهجمات البسيطة، وتستهدف في جوهرها أجهزة الصراف الآلي الافتراضية، حيث يقوم المجرمون الإلكترونيون بوضع شفرة خبيثة في مواقع متاجر التجزئة لسرقة تفاصيل بطاقات الدفع الخاصة بالمتسوقين. وفي المتوسط، يوجد أكثر من 4800 موقع يتم اختراقها بواسطة formjacking كل شهر. وأوقفت “سيمانتك” أكثر من 3,7 مليون هجوم على نقاط النهاية في عام 2018، والتي شملت الكومبيوترات المكتبية والمحمولة والأجهزة العاملة بنظام ماكنتوش والأجهزة المحمولة الأخرى، مع ما يقرب من ثلث جميع عمليات الكشف التي حدثت، كانت خلال فترة التسوق عبر الإنترنت الأكثر ازدحاماً خلال العام، وذلك في شهري نوفمبر وديسمبر.

وبحسب التقديرات المتحفظة، ربما جمع مجرمو الإنترنت عشرات الملايين من الدولارات في العام الماضي، وسرقوا المعلومات المالية والشخصية للمستهلكين من خلال الاحتيال على بطاقات الائتمان والمبيعات على مواقع الإنترنت المتخفية. ويمكن أن تحقق سرقة 10 بطاقات ائتمانية فقط، من كل موقع مصاب، عائداً يصل إلى 2,2 مليون دولار شهرياً، ويصل سعر بطاقة الائتمان في منتديات البيع الموجودة على الشبكة المتخفية إلى 45 دولار.

وقال غوردون لاف، نائب رئيس الأسواق الناشئة في منطقة أوروبا والشرق الأوسط وأفريقيا في “سيمانتك”: “تم وقف هجوم على أجهزة وشبكات في السعودية من كل 284 هجوماً على مستوى العالم، وهو ما يمثل تهديداً خطيراً لكل من الشركات والعملاء المحليين، ولا يمتلك المستخدمون طريقة لمعرفة ما إذا كان المتجر الذين يقومون بزيارته على الإنترنت مصاباً، دون استخدام حلٍ أمني شامل، تاركاٍ معلوماتهم الشخصية والمالية القيّمة عرضة لسرقة الهوية المدمرة المحتملة. وبالنسبة للمؤسسات، تعكس الزيادة الهائلة في formjacking تنامي مخاطر الهجمات على سلاسل التوريد، ناهيك عن التأثير على السمعة والمخاطر التي تواجهها الشركات عند تعرضها للاختراق.”

وتعرضت بعض القطاعات بشكل أكبر للهجمات مقارنة بغيرها. ووفقًا لأحدث البيانات، فإن فرصة تلقي قطاع تجارة الجُملة في السعودية بريداً إلكترونياً ضاراً ترتفع عن غيره من القطاعات الأخرى. في حين أن قطاع التصنيع المحلي تأثر في الغالب بأنشطة التصيّد، وغالباً ما كانت المؤسسات بقطاع تجارة التجزئة على الطرف المستلم من رسائل البريد الإلكتروني غير المرغوبة.

 

تراجع عائدات هجمات الفدية وتعدين العملات الرقمية المشفّرة

وكانت هجمات الفدية وهجمات تعدين العملات الرقمية المشفرة، والتي يسخر فيها المجرمون السيبرانيون قوة المعالجة الخاصة بالأجهزة المصابة واستخدام وحدة المعالجة المركزية السحابية الخاصة بالمستهلكين والشركات لتعدين العملات الرقمية المشفرة، هي الأساليب التي يعتمد عليها المجرمون السيبرانيون في جمع المال بطريقة سهلة. ومع ذلك، فقد شهد العام 2018 انخفاضاً في النشاط ما أدى إلى تراجع العائدات، ويرجع ذلك إلى انخفاض قيمة العملات الرقمية المشفّرة، وزيادة اعتماد الحوسبة السحابية وأثناء التنقل، مما أثر على فاعلية الهجمات. وللمرة الأولى منذ عام 2013، انخفضت حالات الإصابة بهجمات الفدية بنسبة 20 في المئة. ومع ذلك، لا يجب على الشركات أن تستهين بالأمر، فقد قفزت معدلات الإصابة بهجمات الفدية في المؤسسات بنسبة 12 في المئة في عام 2018، ما يرفع الاتجاه الهبوطي العام، ويؤكد على استمرار هجمات الفدية ضد المؤسسات. وفي الواقع، فإنه يوجد أكثر من ثماني لكل عشر إصابات من هجمات الفدية تؤثر على شبكات المؤسسات.

وعلى الرغم من أن نشاط هجمات تعدين العملات الرقمية المشفّرة قد بلغ ذروته في أوائل العام الماضي، فقد انخفض نشاط هذه الهجمات بنسبة 52 في المئة خلال عام 2018. إلا أنه مع انخفاض قيمة العملات الرقمية المشفرة بنسبة 90 في المئة ومن ثَمّ انخفاض الربحية بشكل كبير، لا زالت هجمات تعدين العملات الرقمية المشفّرة تجذب المهاجمين بسبب سهولتها وكلفتها وسهولة إخفاء المهاجم لهويته. وحجبت “سيمانتك” 3,5 مليون هجوم لتعدين العملات الرقمية المشفرة على نقاط النهاية في ديسمبر 2018 وحده.

 

المنصات السحابية تثير مخاوف أمنية مجدّداً

وتواجه المنصات السحابية اليوم الأخطاء الأمنية نفسها التي واجهها المستخدمون للكومبيوترات الشخصية في بدايات ظهورها بالشركات والمؤسسات. ويمكن أن تتسبب التهيئة الخاطئة لأعباء العمل أو التخزين في خسارة شركة ما ملايين الدولارات، أو أن يضعها أمام أزمة الامتثال. وفي العام الماضي وحده، تمت سرقة أو تسريب أكثر من 70 مليون سجل من مجموعات S3 سيئة التهيئة. وتوجد أيضاً العديد من الأدوات التي تسهّل مهمة الوصول أمام المهاجمين وتسمح لهم بتحديد موارد السحابة المهيئة بشكل خاطئ على الإنترنت.

فالاكتشافات الحديثة لنقاط الضعف الخاصة برقاقات الأجهزة، بما في ذلك Meltdown وSpecter وForeshadow، تعرض الخدمات السحابية أيضاً لخطر اختراق مساحات الذاكرة المحمية الخاصة بموارد الشركات الأخرى المستضافة على نفس الخادم المادي.

 

أدوات الهجمات عديمة الملفات (LotL) وضعف سلاسل التوريد يؤدي إلى ارتفاع معدل الهجمات الشرسة

وأصبحت هجمات سلسلة التوريد والهجمات عديمة الملفات (LotL)، اليوم، هي الدعامة الأساسية لطبيعة التهديدات الحديثة التي يعتمدها على نطاق واسع كل من مجرمي الإنترنت ومجموعات الهجمات المستهدفة. وتضاعفت هجمات سلاسل التوريد بنسبة 78 في المئة في 2018.

تسمح طرق LotL للمهاجمين بالحفاظ على الاختراق وإخفاء نشاطهم داخل كتلة من العمليات المشروعة. وعلى سبيل المثال، ارتفع استخدام أكواد PowerShell الضارة بنسبة 1000 بالمئة خلال العام الماضي. بينما توقف “سيمانتك” 115000 ملف من ملفاتPowerShell الضارة كل شهر، ويمثل هذا أقل من 1٪ من إجمالي استخدام PowerShell. ومن شأن اتباع نهج sledgehammer  لوقف جميع أنشطة PowerShell أن يصبح نقطة تحول في المؤسسات، مما يفسر ارتفاع استخدام تقنيات LotL في الهجوم لتصبح الطريقة المفضلة عند العديد من مجموعات الهجمات المستهدفة.

ويتطلب تحديد هذه الهجمات وحظرها استخدام طرق الكشف المتقدمة مثل التحليلات وتعلم الآلة، مثل خدمة الاكتشاف والاستجابة لنقاط النهاية المدارة (MEDR) ، وتقنيتها المحسنة EDR 4.0، بالإضافة إلى الأداة المتقدمة القائمة على الذكاء الاصطناعي “تحليل الهجمة المستهدفة” (TAA). وأتاحت أداة TAA لشركة “سيمانتك” بالكشف عن العشرات من الهجمات المستهدفة الخفية، بما في ذلك هجمات مجموعة Gallmaker التي قامت بحملات تجسس على الإنترنت بدون استخدام برامج ضارة.

وبالإضافة إلى هجمات عديمة الملفات والثغرات في برامج سلسلة التوريد، زاد المهاجمون أيضاً من استخدام أساليب الهجوم التقليدية، مثل التصيّد الاحتيالي لاختراق المنظمات. وفي حين يظل جمع المعلومات هو الدافع الرئيسي للهجمات المستهدفة، فإن عدد مجموعات الهجوم التي تستخدم برامج ضارة مصممة لتدمير وتعطيل العمليات التجارية ارتفع بنسبة 25٪ خلال 2018.

 

إنترنت الأشياء محور اهتمام المجرمين السيبرانيين ومجموعات الهجوم

تركز مجموعات الهجمات المستهدفة بشكل متزايد على إنترنت الأشياء كنقطة دخول رئيسية. ويمثل ظهور البرمجيات الخبيثة الخاصة بأجهزة الموجهات (“راوتر”) VPNFilter، تطوراً في تهديدات إنترنت الأشياء التقليدية. ونظراً لحدوثها بواسطة مهاجمين محترفين ومزودين بموارد جيدة، فإنها تسمح لمطوريها بتدمير أو حذف البيانات من الجهاز، وسرقة الاعتمادات والبيانات واعتراض اتصالات SCADA.

<

p style=”font-weight: 400;”>وتابع غوردون: “في ظل الاتجاه المتزايد نحو تقارب تقنية المعلومات وتقنية إنترنت الأشياء في المجال الصناعي، فإن ساحة المعركة الإلكترونية القادمة هي التكنولوجيا التشغيلية.” وأضاف: “تظهر المجموعات الهجومية، مثل ثريب وتريتون، اهتماماً متزايداً نحو اختراق أنظمة التشغيل وأنظمة التحكم الصناعية، من أجل الاستعداد للحرب السيبرانية القادمة.”