سيمانتك: هجمات Formjacking تدر الملايين على المخربين

يكشف تقرير التهديدات السنوي من سيمانتك عن المزيد من الهجمات الطموحة والمدمرة والخفية، مما يزيد من المخاطر التي تواجه المؤسسات في دولة الإمارات العربية المتحدة بعد رصد هجمة Formjacking بين كل 344 هجمة على مستوى العالم.

---

يسعى مجرمو الإنترنت إلى إيجاد طرق بديلة لمواجهة تناقص العائدات المادية من هجمات الفدية وهجمات تعدين العملات الرقمية المشفرة، ومن هذه الطرق البديلة شن هجمات Formjacking، وذلك وفقاً لتقرير التهديدات الأمنية السيبرانية الذي أصدرته شركة “سيمانتك” (ISTR)، المجلد 24.

ويقدم تقرير “سيمانتك السنوي للتهديدات السيبرانية” نظرة عامة على مشهد التهديدات السيبرانية، بما في ذلك إحصاءات حول نشاط التهديدات العالمي وتوجهات الجريمة السيبرانية ودوافع المهاجمين. ويحلل التقرير البيانات من شبكة التحليلات العالمية التابعة لشركة “سيمانتك”، وهي أكبر شبكة مدنية لتحليل التهديدات في العالم، والتي تسجل الأحداث من 123 مليون وحدة استشعار للهجوم من جميع أنحاء العالم، وتحجب 142 مليون تهديد بشكل يومي وتراقب أنشطة التهديدات في أكثر من 157 دولة. وتشمل أبرز النقاط الرئيسية من تقرير هذا العام ما يلي:

هجمات Formjacking وسيلة الثراء السريعة الجديدة للمجرمين السيبرانيين

وتُصنّفFormjacking  على أنها من الهجمات البسيطة، وتستهدف في جوهرها أجهزة الصراف الآلي الافتراضية، حيث يقوم المجرمون الإلكترونيون بوضع شفرة خبيثة في مواقع متاجر التجزئة لسرقة تفاصيل بطاقات الدفع الخاصة بالمتسوقين. وفي المتوسط، يوجد أكثر من 4800 موقع يتم اختراقها بواسطة formjacking كل شهر. وأوقفت “سيمانتك” أكثر من 3.7 مليون هجوم على نقاط النهاية في عام 2018، والتي شملت أجهزة الحاسوب المكتبية والمتنقلة والأجهزة العاملة بنظام ماكنتوش والأجهزة المتنقلة الأخرى، مع ما يقرب من ثلث جميع عمليات الكشف التي حدثت، كانت خلال فترة التسوق عبر الإنترنت الأكثر ازدحاماً خلال العام، وذلك في شهري نوفمبر وديسمبر.

وبحسب التقديرات المتحفظة، قد جمع مجرمو الإنترنت عشرات الملايين من الدولارات في العام الماضي، وسرقوا المعلومات المالية والشخصية للمستهلكين من خلال الاحتيال على بطاقات الائتمان والمبيعات على مواقع الإنترنت المتخفية. ويمكن أن تحقق سرقة 10 بطاقات ائتمانية فقط، من كل موقع مصاب، عائداً يصل إلى 2.2 مليون دولار شهرياً، ليصل سعر بطاقة الائتمان في منتديات البيع الموجودة على الشبكة المتخفية إلى 45 دولار.

وقال غوردون لاف، نائب رئيس الأسواق الناشئة في منطقة أوروبا والشرق الأوسط وأفريقيا في “سيمانتك”: “تم وقف هجوم داخل دولة الإمارات من كل 344 هجوماً على مستوى العالم، وهو ما يمثل تهديداً خطيراً لكل من الشركات والمستهلكين المحليين، ولا يمتلك المستهلكون طريقة لمعرفة ما إذا كان المتجر الذين يقومون بزيارته على الإنترنت مصاباً، دون استخدام حلٍ أمني شامل، تاركاٍ معلوماتهم الشخصية والمالية القيّمة عرضة لسرقة الهوية المدمرة المحتملة. وبالنسبة للمؤسسات، تعكس الزيادة الهائلة في formjacking تنامي مخاطر الهجمات على سلاسل التوريد، ناهيك عن التأثير على السمعة والمخاطر التي تواجهها الشركات عند تعرضها للاختراق.” 

وارتفعت هجمات البرامج الضارة عبر البريد الإلكتروني على أساس سنوي في دولة الإمارات العربية المتحدة، وهو ما يمثل ضعف المعدل العالمي. وفي العام الماضي، جاءت رسالة واحدة من أصل 183 رسالة إلكترونية في دولة الإمارات على شكل ملف مرفق أو رابط خبيث، في حين كان المتوسط العالمي 1 من 412 رسالة بريد إلكتروني في الفترة الزمنية نفسها. وفي الوقت نفسه، انخفضت مستويات التصيد الاحتيالي على مستوى العالم، حيث تراجعت من 1 لكل 2995 بريد إلكتروني في عام 2017، إلى 1 لكل 3207 رسائل بريد إلكتروني في عام 2018، وظلت مستويات التصيد في دولة الإمارات مرتفعة بشكل غير عادي، حيث تم اختراق 1 من كل 2312 رسالة إلكترونية.

وتعرضت بعض القطاعات بشكل أكبر للهجمات مقارنة بغيرها. ووفقًا لأحدث البيانات، فإن فرصة تلقي قطاع النقل والمرافق العامة بدولة الإمارات العربية المتحدة بريداً إلكترونياً ضاراً ترتفع عن غيره من القطاعات الأخرى. في حين أن قطاع الخدمات المحلية يتأثر في الغالب بأنشطة التصيد، وغالباً ما تكون المؤسسات غير المصنّفة على الطرف المستلم من رسائل البريد الإلكتروني غير المرغوبة. 

ويعتمد عدد الهجمات أيضاً على حجم الشركة، حيث أن الشركات الموجودة في دولة الإمارات العربية المتحدة والتي لديها أكثر من 2500 موظف مستهدفة من قبل البرامج الضارة والتصيّد الاحتيالي بشكل أكبر، في حين أن الشركات متوسطة الحجم والتي يعمل بها 500 إلى 1000 موظف، يحتمل أن تكون الأكثر تأثراً بالرسائل الإلكترونية غير المرغوبة.

وعلى المستوى الإقليمي، وجد التقرير أن إيران احتلت المرتبة الأعلى من حيث نشاط جرائم الإنترنت في الشرق الأوسط في عام 2018، تليها مصر وجنوب إفريقيا والمملكة العربية السعودية والجزائر. 

تراجع عائدات هجمات الفدية وتعدين العملات الرقمية المشفّرة

وكانت هجمات الفدية وهجمات تعدين العملات الرقمية المشفرة، والتي يسخر فيها المجرمون السيبرانيون قوة المعالجة الخاصة بالأجهزة المصابة واستخدام وحدة المعالجة المركزية السحابية الخاصة بالمستهلكين والشركات لتعدين العملات الرقمية المشفرة، هي الأساليب التي يعتمد عليها المجرمون السيبرانيون في جمع المال بطريقة سهلة. ومع ذلك، فقد شهد العام 2018 انخفاضاً في النشاط ما أدى إلى تراجع العائدات، ويرجع ذلك إلى انخفاض قيمة العملات الرقمية المشفّرة، وزيادة اعتماد الحوسبة السحابية والمتنقلة، مما أثر على فاعلية الهجمات. وللمرة الأولى منذ عام 2013، انخفضت حالات الإصابة بهجمات الفدية بنسبة 20 في المئة. ومع ذلك، لا يجب على الشركات أن تستهين بالأمر، فقد قفزت معدلات الإصابة بهجمات الفدية في المؤسسات بنسبة 12 في المئة في عام 2018، ما يرفع الاتجاه الهبوطي العام، ويؤكد على استمرار هجمات الفدية ضد المؤسسات. وفي الواقع، فإنه يوجد أكثر من ثماني لكل عشر إصابات من هجمات الفدية تؤثر على شبكات المؤسسات.

وعلى الرغم من أن نشاط هجمات تعدين العملات الرقمية المشفّرة قد بلغ ذروته في أوائل العام الماضي، فقد انخفض نشاط هذه الهجمات بنسبة 52 في المئة خلال عام 2018. إلا أنه مع انخفاض قيمة العملات الرقمية المشفرة بنسبة 90 في المئة ومن ثَمّ انخفاض الربحية بشكل كبير، لا زالت هجمات تعدين العملات الرقمية المشفّرة تجذب المهاجمين بسبب سهولتها وكلفتها وسهولة إخفاء المهاجم لهويته. وحجبت “سيمانتك” 3.5 مليون هجوم لتعدين العملات الرقمية المشفرة على نقاط النهاية في ديسمبر 2018 وحده.

المنصات السحابية تثير مخاوف أمنية مجدّداً

تواجه المنصات السحابية اليوم الأخطاء الأمنية نفسها التي واجهها المستخدمون للحواسيب الشخصية في بدايات ظهورها بالشركات والمؤسسات. ويمكن أن تتسبب التهيئة الخاطئة لأعباء العمل أو التخزين في خسارة شركة ما ملايين الدولارات، أو أن يضعها أمام أزمة الامتثال. وفي العام الماضي وحده، تمت سرقة أو تسريب أكثر من 70 مليون سجل من مجموعات S3 سيئة التهيئة. ويوجد أيضاً العديد من الأدوات التي تسهّل مهمة الوصول أمام المهاجمين وتسمح لهم بتحديد موارد السحابة المهيأة بشكل خاطيء على الإنترنت.

فالاكتشافات الحديثة لنقاط الضعف الخاصة برقاقات الأجهزة، بما في ذلك Meltdown وSpecter وForeshadow، تعرض الخدمات السحابية أيضاً لخطر اختراق مساحات الذاكرة المحمية الخاصة بموارد الشركات الأخرى المستضافة على نفس الخادم المادي.

أدوات الهجمات عديمة الملفات (LotL) وضعف سلاسل التوريد يؤدي إلى ارتفاع معدل الهجمات الشرسة

أصبحت هجمات سلسلة التوريد والهجمات عديمة الملفات (LotL) ، اليوم، هي الدعامة الأساسية لطبيعة التهديدات الحديثة، التي يعتمدها على نطاق واسع كل من مجرمي الإنترنت ومجموعات الهجمات المستهدفة. وتضاعفت هجمات سلاسل التوريد بنسبة 78 في المئة في 2018.

تسمح طرق LotL للمهاجمين بالحفاظ على الاختراق وإخفاء نشاطهم داخل كتلة من العمليات المشروعة. وعلى سبيل المثال، ارتفع استخدام أكواد PowerShell الضارة بنسبة 1000 بالمئة خلال العام الماضي. بينما توقف “سيمانتك” 115000 ملف من ملفات PowerShell الضارة كل شهر، ويمثل هذا أقل من 1٪ من إجمالي استخدام PowerShell. ومن شأن اتباع نهج sledgehammer  لوقف جميع أنشطة PowerShell أن يصبح نقطة تحول في المؤسسات، مما يفسر ارتفاع استخدام تقنيات LotL في الهجوم لتصبح الطريقة المفضلة عند العديد من مجموعات الهجمات المستهدفة.

يتطلب تحديد هذه الهجمات وحظرها استخدام طرق الكشف المتقدمة مثل التحليلات وتعلم الآلة، مثل خدمة الاكتشاف والاستجابة لنقاط النهاية المدارة (MEDR) ، وتقنيتها المحسنة EDR 4.0، بالإضافة الأداة المتقدمة القائمة على الذكاء الاصطناعي “تحليل الهجمة المستهدفة” (TAA)، وأتاحت أداة TAA  لشركة “سيمانتك” بالكشف عن العشرات من الهجمات المستهدفة الخفية، بما في ذلك هجمات مجموعة Gallmaker التي قامت بحملات تجسس على الإنترنت بدون برامج ضارة.

وبالإضافة إلى الهجمات عديمة الملفات والثغرات في برامج سلسلة التوريد، زاد المهاجمون أيضاً من استخدام أساليب الهجوم التقليدية، مثل التصيّد الاحتيالي لاختراق المنظمات. وفي حين يظل جمع المعلومات هو الدافع الرئيسي للهجمات المستهدفة، فإن عدد مجموعات الهجوم التي تستخدم برامج ضارة مصممة لتدمير وتعطيل العمليات التجارية ارتفع بنسبة 25٪ خلال 2018. 

إنترنت الأشياء محور اهتمام المجرمين السيبرانيين ومجموعات الهجوم

تركز مجموعات الهجمات المستهدفة بشكل متزايد على إنترنت الأشياء كنقطة دخول رئيسية. ويمثل ظهور البرمجيات الخبيثة الخاصة بأجهزة الراوتر VPNFilter، تطوراً في تهديدات إنترنت الأشياء التقليدية. ونظراً لحدوثها بواسطة مهاجمين محترفين ومزودين بموارد جيدة، فإنها تسمح لمطوريها بتدمير أو محو البيانات من الجهاز، وسرقة الاعتمادات والبيانات واعتراض اتصالات SCADA.

وتابع غوردون: “في ظل الاتجاه المتزايد نحو تقارب تقنية المعلومات وتقنية إنترنت الأشياء في المجال الصناعي، فإن ساحة المعركة الإلكترونية القادمة هي التكنولوجيا التشغيلية.” وأضاف: “تظهر المجموعات الهجومية، مثل Thrip and Triton ، اهتماماً متزايداً نحو اختراق أنظمة التشغيل وأنظمة التحكم الصناعية، من أجل الاستعداد للحرب السيبرانية القادمة.