أطلقت شركة بالو ألتو نتوركس عمليات رصد وتتبع لبرمجيات الفدية حول العالم، وذلك في إطار مساعيها لحماية العملاء من هجمات برمجيات الفدية الجديدة والمتحوّرة. وشملت العمليات مراقبة أنشطة العصابات الإلكترونية ومواقع الإنترنت المظلمة بحثا عن مواقع تسريب البيانات والمواقع المشفرة الجديدة، بهدف تحديد الجماعات الجديدة وتحليل التكتيكات والأساليب والإجراءات التي تنتهجها. ورصدت العمليات 4 جماعات صاعدة في جرائم طلب الفدية والابتزاز والتي نجحت هجماتها في إصابة العديد من المؤسسات مع دلائل تشير إلى احتمال زيادة انتشارها مستقبلا:

 

• أفوس لوكر AvosLocker: تقوم هذه الجماعة ببيع خدمة هجمات طلب الفدية، وقد بدأت نشاطاتها شهر يونيو الفائت. استخدمت الجماعة شعار خنفسة زرقاء اللون للتعريف بنفسها أثناء التواصل مع الضحايا وفي "النشرات الإعلامية" الرامية إلى تجنيد منتسبين جدد. وتم رصد جماعة "أفوس لوكر" أثناء ترويجها برمجيات طلب الفدية وبحثها عن منتسبين جددا في منتديات الحوار التابعة لشبكة الإنترنت المظلمة وغيرها من المنتديات. ومثلها مثل منافسيها، تقدم جماعة "أفوس لوكر" خدمات الدعم الفني لمساعدة ضحاياها على التعافي إثر مهاجمتهم ببرمجيات التشفير والتي تدعي الجماعة أنها "عصية عن الفشل" ولا يمكن كشفها بسهولة مع القدرة على تناول الملفات الضخمة. ويتبع للجماعة موقع ابتزاز لضحاياها يدعي إصابة 6 مؤسسات في الدول التالية حتى اليوم: الولايات المتحدة والمملكة المتحدة والإمارات العربية المتحدة وبلجيكا وإسبانيا ولبنان. وقد رصدت بالو ألتو نتوركس وجود طلبات فدية تتراوح قيمتها بين 50 و75 ألف دولار.

 

• هايڤ Hive: وهي جماعة برمجيات فدية وابتزاز مزدوج بدأت أنشطتها في يونيو. ومنذ ذلك الحين هاجمت الجماعة 28 شركة وأدرجت أسماءها في موقع الابتزاز التابع لها، بما فيها شركة طيران أوروبية وثلاث مؤسسات مقرها الولايات المتحدة. وتستخدم جماعة هايڤ كافة الأدوات المتاحة في عالم الابتزاز الإلكتروني بهدف ممارسة الضغط على الضحايا، بما في ذلك نشر تاريخ أول اختراق، والتهديد بعداد تنازلي، وتاريخ الكشف عن التسريب فعليا على موقعها، وحتى إتاحة خيار مشاركة تسريب البيانات من خلال وسائل التواصل الاجتماعي.

 

• هالو كيتي HelloKitty: جماعة طلب الفدية هذه ليست جديدة ويمكن تعقب أنشطتها التي تستهدف أنظمة ويندوز منذ مطلع عام 2020. لكن في شهر يوليو، بدأت الجماعة باستهداف نظام لينوكس بمتحورة من برمجياتها الخبيثة لإصابة برنامج إدارة الأنظمة الافتراضية من إنتاج شركة "في إم وير" ESXi hypervisor، والذي يكثر استخدامه في بيئات السحابة ومراكز البيانات ضمن مباني الشركات. كما لوحظ تمركز الأنشطة حول محورين. حيث تبين تفضيل بعض الجماعات استخدام البريد الإلكتروني واستخدام جماعات أخرى برامج دردشة محمية بشبكة تشفير TOR لأجل التواصل مع الضحايا. وأصابت البرمجية المتحورة من هذه الجماعة 5 مؤسسات في إيطاليا وأستراليا وألمانيا وهولندا والولايات المتحدة. ولوحظ أن أعلى مبلغ فدية طلبته الجماعة كان 10 ملايين دولار. وحتى تاريخ كتابة هذا التقرير تبين استلامها ثلاث معاملات فقط، بلغ مجموعها حوالي 1.48 مليون دولار.

 

• لوك بِت LockBit: تنشط هذه الجماعة (المعروفة سابقا باسم إيه بي سي ديABCD ) منذ ثلاث سنوات كخدمة تزويد برمجيات طلب الفدية كان قد ارتبط اسمها بهجمات شهيرة بعد قيامها مؤخرا بإطلاق حملة تسويقية ماكرة لتجنيد منتسبين جدد. وتدعي الجماعة توفير أسرع خدمة تشفير في سوق برمجيات طلب الفدية. وقد أصاب الإصدار الثاني من برمجية "لوك بت" العديد من الصناعات– تم الكشف عن 52 من أسماء الضحايا على موقع الابتزاز التابع للجماعة. وورد من بين الضحايا شركات من الولايات المتحدة والمكسيك وبلجيكا والأرجنتين وماليزيا وأستراليا والبرازيل وسويسرا وإيطاليا والنمسا ورومانيا والمملكة المتحدة.

 

الجدير بالذكر أن العملاء المشتركين بخدمة جدار الحماية من الجيل الجديد لدى شركة بالو ألتو نتوركس يتمتعون بالحماية من تلك التهديدات.