تحذير من عصابة برمجيات فدية تبتز الضحايا بعد كشف بياناتهم علناً

كشف فريق البحث والتحليل العالمي في مركز الأبحاث الروسي كاسبرسكي أن مجموعة "Fog Ransomware"، التي تشتهر باستهداف مجموعة متنوعة من القطاعات، بدأت في ربط عناوين بروتوكول الإنترنت (IP) الخاصة بضحاياها مع بياناتهم المسروقة ونشر هذه المعلومات على شبكة الإنترنت المظلم، مما يمثل تحولاً في تكتيكات ابتزاز برمجيات الفدية التقليدية، فمن خلال نشر عناوين بروتوكول الإنترنت بهذا الأسلوب، تكثف المجموعة الضغط النفسي على الضحايا، حيث تظهر الاختراقات بشكل أكثر مباشرة وقابلية للتتبع، مع تصاعد مخاطر الغرامات التنظيمية على المؤسسات المتضررة.

برمجيات الفدية كخدمة RaaS هي نموذج عمل يقوم فيه مطورو البرمجيات الخبيثة بتأجير برمجيات الفدية والبنية التحتية للتحكم بها للمجرمين السيبرانيين الآخرين. وتُعد مجموعة Fog Ransomware من الجهات التي تقدّم خدمات برمجيات الفدية التي ظهرت في بداية عام 2024، وتشتهر باستهدافها قطاعات مثل التعليم والترفيه والمال.

واستغلت المجموعة بيانات اعتماد الشبكات الخاصة الافتراضية (VPN) المخترقة للنفاذ إلى بيانات الضحايا وتشفيرها، وأحياناً كانت تفعل ذلك في أقل من ساعتين.

واستهدفت الهجمات أنظمة التشغيل Windows و Linux، واعتمدت مجموعة Fog سابقاً تكتيكات الابتزاز المضاعف، من خلال تشفير البيانات والتهديد بنشرها علناً للضغط على الضحايا لدفع المبالغ المطلوبة.

اتخذت مجموعة Fog منحىً غير مسبوق، لتصبح أول مجموعة في مجال برمجيات الفدية كخدمة تنشر عناوين بروتوكول الإنترنت والبيانات المسروقة لضحاياها بشكل علني على شبكة الإنترنت المظلم عقب تنفيذ هجماتها.

بالإضافة إلى تصعيد الضغط النفسي على الضحايا، فإن الكشف عن عناوين بروتوكول الإنترنت قد يمهد الطريق لنشاط إجرامي سيبراني إضافي، حيث يوفر لمصادر التهديد الخارجية نقاط دخول محتملة إلى الشبكات المُخترقة.

ويمكن أن تتضمن الهجمات التالية عمليات حشو بيانات الاعتماد أو نشاط شبكات الروبوتات الخبيثة التي تستهدف المؤسسات التي سبق اختراقها.

يعلق مارك ريفيرو، رئيس باحثي الأمن في فريق البحث والتحليل العالمي لدى مركز الأبحاث  قائلاً: نظراً لانخفاض المدفوعات التي يتلقاها مشغلو برمجيات الفدية نتيجة تعزيز آليات الدفاع السيبراني وتزايد الضغوط التنظيمية، فإنهم يعمدون إلى تطوير أساليب الابتزاز للحفاظ على قوة تأثيرهم على الضحايا.

ويضيف: أن الكشف العلني عن عناوين IP مع تسريب البيانات قد يزيد من احتمال استجابة المؤسسات لمطالب الفدية في الحوادث المستقبلية، كمل قد يكون هذا الأسلوب استراتيجية تسويقية قائمة على الخوف، حيث يستعرض المهاجمون قسوتهم لتخويف الضحايا المستقبليين ودفعهم للسداد بسرعة.