مشهد التهديدات السيبرانية
عند وضع توقعات لعام 2020 ، لم نكن نتوقع كيف سيؤثر الواقع الجديد الذي أدى إلى انهيار الاقتصاد العالمي على حياتنا. ومع ذلك ، يمكننا الآن تقييم النصف الأول من العام وإظهار كيف تغير مشهد التهديدات الإلكترونية خلال هذا الوقت.
عدد التهديدات التي تم حظرها بواسطة شبكة Trend Micro Smart Protection Network في النصف الأول من عام 2020. المصدر هنا وأدناه: Trend Micro
في النصف الأول من عام 2020 ، حظرت حلول أمان Trend Micro أكثر من 27 مليار رسالة بريد إلكتروني احتيالية تحتوي على مرفقات ضارة وروابط تصيد. شهد الربع الثاني زيادة كبيرة في عدد الرسائل الخبيثة مقارنة ببداية العام.
أنواع المرفقات الخبيثة في حملات البريد العشوائي في النصف الأول من عام 2020
أصبحت ملفات PDF أكثر أنواع المرفقات الضارة شيوعًا في النصف الأول من عام 2020 ، حيث تمثل أكثر من 50٪ من الرسائل البريدية. ثاني أكثر أنواع المرفقات شيوعًا هو ملفات HTML. احتوت حوالي ستة بالمائة من رسائل البريد الإلكتروني على مرفقات XLS ، وكانت ملفات JavaScript والملفات التنفيذية ومستندات MS Word أقل شيوعًا.
عدد برامج الفدية الضارة في حملتي 2019 و 2020
كانت الميزة المميزة لعام 2020 هي الشعبية المتزايدة لبرامج الفدية الضارة. مقارنة بعام 2019 ، زاد عددها بنسبة 45٪ - من يناير إلى يونيو من هذا العام ، تم اكتشاف 68 عائلة جديدة من هذا النوع من البرامج الضارة.
عدد عينات البرامج الضارة المحمولة التي تم اكتشافها على مدار ستة أشهر
تستمر تهديدات الجوّال في النمو أيضًا ، مع زيادة تعقيد الحملات. على سبيل المثال ، في نهاية شهر مارس ، اكتشفنا هجومًا إلكترونيًا احتياليًا أطلق عليه اسم عملية الأخبار المسمومة. لقد كان هجومًا هائلاً ضد مستخدمي iOS في هونغ كونغ. تلقى مستخدمو أجهزة iOS روابط للأخبار في منتديات مختلفة في الشبكات الاجتماعية والمراسلين. أدت هذه الروابط إلى مواقع إخبارية ذات صلة ، ولكنها احتوت على إطارات مضمنة مخفية مع تعليمات برمجية ضارة تستغل نقاط الضعف في iOS 12.1 و 12.2. تهاجم الأجهزة المصابة بـ LightSpy ، والتي سمحت للمهاجمين بتنفيذ الأوامر ومعالجة الملفات على الأجهزة.
يظل الاحتيال الإعلاني هو النوع الأكثر شيوعًا للهجمات على مستخدمي الهاتف المحمول. تخفي التطبيقات الضارة على Google Play نفسها على أنها أدوات مساعدة مفيدة ، وبعد التثبيت ، تعرض إعلانات للمستخدم وتنفذ إجراءات أخرى غير مرغوب فيها ، بما في ذلك سرقة بيانات البطاقة المصرفية وبيانات المستخدم الشخصية.
تغيير في عدد محاولات هجوم BEC في 2019-2020 على الرسم البياني
ميزة أخرى مميزة لعام 2020 هي الزيادة في عدد الهجمات التي تهدف إلى اختراق المراسلات التجارية (Business Email Compromise، BEC). مقارنة بالنصف الثاني من عام 2019 ، زاد عدد حملات BEC بنسبة 19٪.
كان الهدف الأكثر شيوعًا لهجمات BEC هو الرئيس التنفيذي للشركة. تمثل هذه الفئة من الموظفين 30٪ من جميع الحوادث
الغريب أن عدد الرسائل "من الرئيس التنفيذي" قد انخفض: في عام 2019 ، بلغت حصة هذه الرسائل 41٪. قد يقوم المحتالون بتجربة وظائف أخرى لقياس فعاليتها.
بطبيعة الحال ، فإن الأشخاص الأكثر طلبًا هم الأشخاص المرتبطون بالتمويل ، على سبيل المثال ، المديرين الماليين والمديرين الماليين.
نمو الهجمات ذات العلامات التجارية لـ COVID-19
بين يناير ويونيو 2020 ، حددت شبكة Trend Micro Smart Protection Network (SPN) ما يقرب من 9 ملايين تهديد من COVID-19. وتألفت هذه التهديدات من رسائل بريد إلكتروني تحتوي على روابط وملفات ضارة ، تستغل بشكل مباشر أو غير مباشر موضوع الوباء. قد يكون هذا ، على سبيل المثال ، تطبيقات إعلام أو إخطارات حول التأخير في تقديم الخدمات بسبب فيروس.
عدد الهجمات التي تحمل علامة COVID وتوزيعها حسب الدولة
كانت الولايات المتحدة هي الرائدة في عدد هذه التهديدات - 38٪ من الحالات. وكان من بين "القادة" الثلاثة ألمانيا بنسبة 14.6٪ وفرنسا 9.2٪. حدثت معظم الحالات المكتشفة في أبريل ، وهو ما يتوافق مع ذروة الإصابة في العديد من البلدان.
توزيع أنواع المحتوى الضار في رسائل البريد الإلكتروني الاحتيالية في حملات COVID-19
الغالبية العظمى من تهديدات البريد الإلكتروني - 93.5٪ - تحتوي على مرفق ضار ورابط ضار. كان هناك عدد أقل بكثير من الأحرف التي تحتوي على رابط أو ملف.
تم استخدام موضوع COVID-19 أيضًا على نطاق واسع في هجمات BEC. تم تعزيز فعالية هذه الخدع من خلال حقيقة أن التحول إلى العمل عن بعد جعل من الصعب تتبع الاتصالات بين الموظفين والمنظمات.
عدد حملات BEC المتعلقة بـ COVID-19
على سبيل المثال ، خلال إحدى هجمات BEC ، أرسل المجرمون إخطارًا إلى موظفي ضحية محتملة حول تغيير البنك فيما يتعلق بالوباء ، مشيرًا إلى حساب المستلم "بغل" في هونغ كونغ.
نمت محاولات التنقل إلى المواقع الضارة المتعلقة بـ COVID-19 على مدار العام ، وبلغت ذروتها في أبريل. تم استخدام معظم هذه المواقع في نوع من الاحتيال الوبائي ، على سبيل المثال:
- التطبيقات التي يُزعم أنها تحمي مستخدميها من الإصابة بفيروس كورونا ، لكنها أضافت بدلاً من ذلك جهاز الضحية إلى شبكة الروبوتات ؛
- بيع مجموعات اللقاحات غير الموجودة التي وافقت عليها منظمة الصحة العالمية مقابل 4.95 دولار أمريكي فقط ؛
- إصدار تعويض وهمي عن أنواع مختلفة من الأضرار الناجمة عن الوباء ؛
- سرقة بيانات الاعتماد وتفاصيل البطاقة المصرفية للحصول على "مزايا ضريبية" في الولايات المتحدة.
التكيف مع الواقع الجديد
في مواجهة قيود الحجر الصحي ، اضطرت الشركات إلى نقل جزء كبير من موظفيها إلى العمل عن بعد. لضمان سلامة مثل هذا النظام ، كان لا بد من حل العديد من المشاكل في وقت واحد:
- - ;
- ;
- , ;
- -;
- .
استفاد مجرمو الإنترنت أيضًا من الواقع الجديد وبدأوا في مهاجمة أجهزة التوجيه والأجهزة الخاصة بالمستخدمين المنزليين بنشاط.
عدد الهجمات على أجهزة المستخدمين المنزليين في 2019-2020.
معظم الهجمات هي هجمات القوة الوحشية على خدمات مختلفة للوصول عن بُعد: RDP ، SSH ، FTP. وبلغت نسبة هذه الهجمات 90٪ تقريبًا.
توزيع أنواع الهجمات على الأجهزة الخاصة بالمستخدمين المنزليين ، يوفر
التنازل عن أجهزة التوجيه والأجهزة الأخرى التي تعمل عن بُعد في المنزل للمستخدمين فرصة للمهاجمين لاستخدامها لمهاجمة شبكات الشركة.
Zumbombing وهجمات أخرى على خدمات مؤتمرات الفيديو
أدت الحاجة إلى الاتصال المستمر إلى نمو هائل في استخدام Zoom و Cisco Webex و Google Meet و Microsoft Skype وأنظمة اجتماعات الفيديو الأخرى. إحدى الظواهر المثيرة التي تسببت حتى في ظهور مصطلح جديد كانت هجمات القواد على المؤتمرات التي عقدت باستخدام خدمة Zoom. خلال هذه الهجمات ، كان الغرباء يستفيدون من المكالمات والاجتماعات الخاصة ثم ينظمون عرضًا بدرجات متفاوتة من الفحش ، مثل تشغيل مقاطع الفيديو الإباحية أو إهانة المشاركين الآخرين.
تم أيضًا استغلال شعبية خدمات الفيديو بطريقة أخرى: قام المحتالون بتسجيل مجالات التصيد الاحتيالي التي كان اسمها مرتبطًا بطريقة أو بأخرى بـ Zoom أو خدمة أخرى مماثلة ، وبعد ذلك عرضوا تنزيل مجموعة أدوات توزيع Zoom أو Skype المحملة بمواد ضارة.
حملات برامج الفدية
انخفض عدد حوادث برامج الفدية هذا العام بشكل ملحوظ مقارنة بالعام الماضي ، لكن جودتها تغيرت.
عدد المكونات المكتشفة والمرتبطة بهجمات برامج الفدية في 2019-2020
لم يعد مشغلو برامج الفدية يضيعون وقتهم في تفاهات ، حيث يرسلون الآلاف من رسائل البريد الإلكتروني العشوائية إلى الجميع ويطلبون مبلغًا صغيرًا من الفدية. يفضل المهاجمون الحديثون استهداف الشركات الكبيرة أو مؤسسات الرعاية الصحية أو الوكالات الحكومية ويطلبون فديات كبيرة يزيد هذا النهج من احتمالية الحصول على الفدية ، مما يعني أن الهجوم سيؤتي ثماره عدة مرات.
متغير "قديم" وجديد لهجمات برامج الفدية
. جمع WannaCry المثير أقل من ذلك بكثير في شكل فديةعلى سبيل المثال ، ما يمكن أن تكسبه Ryuk ransomware في هجوم واحد.
ريوك تهاجم الشركات في الصناعات الحيوية. تتيح أهمية البيانات المخزنة والمعالجة من قبل هذه المنظمات لمشغلي البرامج الضارة طلب فدية ضخمة: وفقًا لتقرير صادر عن شركة Coveware ، في الربع الأول من عام 2020 ، ارتفع متوسط فدية Ryuk إلى 1.3 مليون دولار .
تغيير مميز آخر في برامج الفدية الحديثة هو التوزيع السائد من خلال الحملات المستهدفة التي تستغل نقاط الضعف أو تسرق بيانات الاعتماد للاختراق.
الاستنتاجات والتوصيات
لم يغير الوباء حياتنا فقط ، ولكن أيضًا أسلوب تفكير شركات البرمجيات. إدراكًا للحقائق الجديدة ، فقد تبنوا نهجًا جديدًا للأمن.
- Microsoft , Windows 7, Windows 10: 2020 99, ( — 129 Patch Tuesday);
- Zoom ;
- .
تتطلب الأوقات الصعبة تقنيات أمنية موثوقة. لم تعد الأدوات المنفصلة والحماية ذات المستوى الواحد للمكونات الفردية لنظام معلومات الشركة كافية. يمكن للحلول متعددة الطبقات فقط توفير حماية مشتركة ضد التهديدات متعددة المكونات والأنظمة الأساسية للبريد الإلكتروني وأجهزة المستخدم والخوادم والشبكة والبنية التحتية السحابية.
من الناحية المثالية ، يجب أن توفر هذه الحلول مجموعة واسعة من المقاييس والتحليلات التي تمكن موظفي تكنولوجيا المعلومات من رؤية الصورة الكبيرة دون الحاجة إلى تكريس جزء كبير من وقتهم ومواردهم للتنقيب في جبال التنبيهات والبيانات الأخرى.
تظل الأساليب التي يستخدمها المهاجمون لجني الأرباح من الوباء كما هي. أصبحت الهندسة الاجتماعية أكثر فاعلية بسبب الخوف وعدم اليقين الذي يسببه الفيروس. في البيئة الحالية ، تحتاج المؤسسات ببساطة إلى إيلاء اهتمام خاص لتثقيف المستخدمين عن بُعد بشأن السلوك الآمن من خلال برامج التوعية بالأمن السيبراني.
من جانبهم ، يجب على المستخدمين توخي اليقظة والحس السليم عند التفاعل عن بُعد مع موارد معلومات الشركة.
هناك مشكلة أخرى تتطلب حلاً إلزاميًا وهي التسليم الفوري للتحديثات لأجهزة المستخدمين الشخصية. مع تزايد عدد الهجمات التي تستهدف المستخدمين عن بُعد ، فإن تحديث أجهزتهم سيؤدي إلى زيادة أمان شبكة الشركة.