برمجيات الفدية الخبيثة: إجراءات FATF لمكافحة الجرائم الإلكترونية

تزايدت هجمات برامج الفدية الخبيثة في السنوات الأخيرة، حيث تشير تقديرات القطاع إلى زيادة المدفوعات لمجرمي الإنترنت بمقدار أربعة أضعاف في عامي 2020 و2021 مقارنة بعام 2019.  

وقد كان لهذه الهجمات تأثير كبير على المجتمع، مما تسبب في تعطيل كبير وأضرار للحكومات والمؤسسات العامة والشركات والمواطنين. في بعض الحالات، أثرت هجمات الفدية الخبيثة حتى على أنظمة الرعاية الصحية وهددت الأمن القومي من خلال إيقاف البنية التحتية والخدمات الحيوية أو تعريض البيانات الحساسة للخطر.  

مع استمرار تزايد وتيرة وشدة هجمات الفدية الخبيثة في الازدياد، من الضروري فهم آثارها على المجتمع وكيفية الوقاية منها والتخفيف من حدتها. 

استجابة للتهديد المتزايد لهجمات برامج الفدية، أصدرت فرقة العمل المعنية بالإجراءات الماليةFATF) تقريرًا بعنوان تقرير "مكافحة تمويل برمجيات الفدية الخبيثة" الذي يقدم إرشادات للبلدان لمنع وكشف غسل عائدات هذه الهجمات. بالإضافة إلى ذلك، فقد أصدرت مؤشرات مخاطر محتملة لـ للمؤسسات المالية وغيرها من الشركات للمساعدة في تحديد الأنشطة المشبوهة المتعلقة بمدفوعات برامج الفدية الخبيثة والإبلاغ عنها.

 ما هي برمجيات الفدية الخبيثة؟ 

 برمجيات الفدية الخبيثة هي نوع من الابتزاز حيث يستخدم المهاجمون نوعًا من البرمجيات الخبيثة (برمجيات خبيثة) يستخدمها المجرمون لمنع الوصول إلى البيانات أو الأنظمة أو الشبكات مع المطالبة بدفع فدية في المقابل. وعادةً ما يستخدم المهاجمون أساليب مختلفة لمنع الوصول إلى البيانات مثل تشفير البيانات واستخراج البيانات وما إلى ذلك.  

ما يميز برمجيات الفدية الخبيثة عن الأنواع الأخرى من البرمجيات الخبيثة هو التهديد بنشر بيانات الضحية إذا لم يتم الوفاء بطلب الفدية. وعلى هذا النحو، يمكن أن تتسبب هجمات برامج الفدية الخبيثة في حدوث اضطرابات وخسائر كبيرة وحتى الإضرار بسمعة الشركات والمؤسسات والأفراد على حد سواء. 

تقنيات برمجيات الفدية الخبيثة 

لقد تطورت تقنيات برمجيات الفدية الخبيثة بشكل كبير في السنوات الأخيرة، حيث يستخدم المجرمون أساليب متطورة للوصول إلى أنظمة ضحاياهم. 

وغالباً ما تتضمن هذه التقنيات: 

• صيد الطرائد الكبيرة: ينطوي هذا الأسلوب على استهداف المؤسسات الكبيرة ذات القيمة العالية، وغالبًا ما تكون مؤسسات رفيعة المستوى، والتي من المرجح أن تكون تكاليف تعطلها أعلى، بما في ذلك البنية التحتية الحيوية. ويُعتقد أن هذه المؤسسات لديها احتمالية أكبر لدفع الفدية. وغالبًا ما يستهدف مهاجمو برمجيات الفدية الخبيثة قطاعات الطاقة والمصارف والاتصالات والتعليم، ولكنهم يستهدفون أيضًا الكيانات الحكومية/القطاع العام والرعاية الصحية والسلع الصناعية.
• راس: يشير هذا المصطلح إلى برمجيات الفدية الخبيثة كخدمة، وهو نموذج عمل يقوم فيه مجرمو برمجيات الفدية الخبيثة إما بتوفير خدمات برمجيات الفدية الخبيثة على الويب المظلم أو الاستعانة بمصادر خارجية لعناصر من الهجمات، مثل توزيع البرمجيات الخبيثة، والاختراق الأولي لشبكة الضحية، وبيانات الاعتماد المسروقة، وغيرها من الخدمات مقابل رسوم.
• الابتزاز المزدوج: ينطوي هذا الأسلوب على قيام المهاجم باختراق بيانات الضحية قبل تشفيرها ثم التهديد بنشر البيانات المسروقة إذا لم تُدفع الفدية.
• الابتزاز الثلاثي: يتضمن هذا الأسلوب طلب المهاجم فدية ليس فقط من الشركة الضحية ولكن أيضًا من الضحية التي تم الكشف عن بياناتها. وقد يشمل ذلك المعلومات الصحية المحمية، ومعلومات التعريف الشخصية، وبيانات اعتماد الحساب، والملكية الفكرية.
• الابتزاز المتعدد: تنطوي هذه الممارسة على أكثر من طريقتين للابتزاز. وقد تشمل الابتزاز المزدوج باستخدام التشفير، وكذلك أساليب ضغط إضافية مثل الحرمان من الخدمة الموزعة، والاتصال بعملاء الضحايا، وبيع أسهم الضحايا على المكشوف، وتعطيل أنظمة البنية التحتية.

يمكن أن يكون لهجمات برامج الفدية الخبيثة عواقب وخيمة وتشكل تهديدات أمنية وطنية كبيرة، بما في ذلك التسبب في إلحاق الضرر وتعطيل البنية التحتية الحيوية والخدمات الأساسية. 

البلدان التي ترتفع فيها مخاطر هجمات برامج الفدية الخبيثة 

هجمات الفدية الخبيثة هي مشكلة عالميةولكن بعض البلدان أكثر عرضة لخطر استهدافها من قبل هذه الجهات الخبيثة لغسل عائدات جرائمها.

تشمل هذه الدول ما يلي: 

• الدول المعروفة بتقديم التمويل أو الدعم لأنشطة الإرهاب أو دعمه 

• البلدان المعروفة بوجود مستويات كبيرة من الجريمة المنظمة، والفساد، والمخدرات، والاتجار بالبشر، و والقمار غير القانوني
• البلدان الخاضعة للعقوبات أو الحظر أو التدابير المماثلة 
• البلدان التي تعاني من ضعف الحوكمة وإنفاذ القانون والأنظمة التنظيمية، وخاصةً البلدان التي تعاني من ضعف الحوكمة وإنفاذ القانون والأنظمة التنظيمية، وخاصةً البلدان التي تعاني من ضعف في الحوكمة 

التوزيع الجغرافي لهجمات برمجيات الفدية الخبيثة 

يشير توزيع هجمات الفدية الخبيثة إلى الانتشار الجغرافي لهذه الأنواع من الهجمات. فالمناطق المختلفة لديها مستويات مختلفة من التعرض لهذه الهجمات بسبب الاختلافات في التدابير الأمنية والبنية التحتية الرقمية. وفقًا FATFأمريكا الشمالية يبدو أن أمريكا الشمالية هي الأكثر عرضة لهجمات برامج الفدية الخبيثة، بينما الشرق الأوسط و وأفريقيا الأقل.

طرق غسل العائدات المتأتية من هجمات الفدية الخبيثة 

غالبًا ما يطالب مهاجمو برمجيات الفدية الخبيثة بالدفع في الأصول الافتراضيةمما يجعل من الصعب تتبع العائدات غير المشروعة. ويستخدم المجرمون مجموعة من الأساليب لغسل الأصول الافتراضية التي يتلقونها كمدفوعات مقابل هجمات طلب الفدية. وتهدف هذه الأساليب إلى إخفاء مصدر الأموال غير المشروعة وحركتها، مما يجعل من الصعب على سلطات إنفاذ القانون تعقبها ومصادرتها وتشمل:

• نظير إلى نظير (P2P): يمكن للضحية إرسال أصول افتراضية إلى مشغّل برنامج الفدية مباشرةً باستخدام مفتاحه الخاص واتصاله بالإنترنت دون استخدام مؤسسة خاضعة للتنظيم. ونتيجة لذلك، لا يحتاج أطراف المعاملة إلى المرور بإجراءات KYC ".
• عناوين محفظة مختلفة: غالبًا ما يطلب مهاجمو برمجيات الفدية الخبيثة مدفوعات في عناوين محافظ مختلفة يتحكمون فيها لتلقي العائدات غير المشروعة من كل هجوم.
• استخدام عناوين وسيطة: بمجرد استلام الأموال، قد يستخدم المهاجمون عناوين وسيطة متعددة لنقل الأصول الافتراضية عن طريق تحويل مبالغ صغيرة إلى عناوين جديدة تستضيفها سلاسل VASPs المنظمة (سلاسل القشور).
• استخدام الخلاطات والبهلوانات: تخفي هذه الخدمات الاتصال بين عنوان إرسال الأصول الافتراضية وعنوان الاستقبال.
• عملات الخصوصية: على الرغم من أن معظم مهاجمي برمجيات الفدية الخبيثة يطلبون مدفوعاتهم بعملة البيتكوين، إلا أنهم في بعض الحالات يطلبون مدفوعاتهم بعملات الخصوصية (عملات رقمية معززة لإخفاء الهوية). تقوم هذه العملات بالتعتيم على محافظ الإرسال والاستقبال.

• التنقل بين السلاسل: غالبًا ما يقوم مهاجمو برمجيات الفدية الخبيثة بنقل الأصول الافتراضية من سلسلة بلوكشين إلى سلسلة بلوكشين مختلفة في تتابع سريع للتهرب من تتبع التحركات. في بعض الحالات، يستخدمون بروتوكولات DeFi للقفز المتسلسل إلى عملات مستقرة قبل تحويل الأموال إلى عملة ورقية.
• نقاط الضعف في الولايات القضائية عالية الخطورة: غالبًا ما يقوم المهاجمون بإرسال الأصول الافتراضية إلى مزودي خدمات افتراضية افتراضية في ولايات قضائية ذات ضوابط ضعيفة أو غير موجودة AMLCTF AML لتحويلها إلى عملة ورقية.
• بغال النقود: غالبًا ما يفتح المجرمون حسابات باستخدام هوية مسروقة أو مزيفة أو يستخدمون حسابات تحتفظ بها أطراف ثالثة يتم تجنيدها لهذا الغرض. وتُستخدم هذه الحسابات لنقل الأموال لإخفاء مصدر الأصول الافتراضية.

الممارسات المقترحة من قبل FATF فيما يتعلق بهجمات برامج الفدية الخبيثة 

ولمكافحة التهديد المتزايد لهجمات برامج الفدية الخبيثة بشكل فعال، اقترحت FATF ممارسات مختلفة على البلدان لاعتمادها. تهدف هذه التدابير إلى تعزيز الكشف عن هجمات برامج الفدية الخبيثة ومنعها وملاحقة مرتكبيها وغسل عائداتها من خلال مطالبة الدول بما يلي: 

• تجريم برمجيات الفدية كجريمة أصلية 
• الإسراع في تنظيم مقدمي خدمات الأصول الافتراضية (VASPs) لأغراض AML وضمان امتثالهم لقاعدة السفر والإبلاغ عن المعاملات المشبوهة. ويتيح التطبيق المحدود لقاعدة السفر من قبل مزودي خدمات الأصول الافتراضية فرصًا لمرتكبي الجرائم الإلكترونية لتجنب الكشف عن المعاملات المشبوهة وإعاقة التحقيقات، حيث تعتمد جهات إنفاذ القانون على هذه المعلومات لتحديد الأطراف المشاركة في المعاملة 
• تعزيز الكشف عن طريق تقديم إرشادات للكيانات الخاضعة للتنظيم للكشف عن برمجيات الفدية الخبيثة والمعاملات المشبوهة من خلال مشاركة الاتجاهات والأدلة ومؤشرات الإنذار الأحمر، وكذلك تشجيع الضحايا على الإبلاغ عن حوادث برمجيات الفدية الخبيثة 
• ضمان قيام سلطات إنفاذ القانون بالتحقيق في العائدات الإجرامية وتتبعها ومصادرتها 
• إنشاء آليات تدعم التعاون بين القطاعين العام والخاص 

• تحسين التعاون الدولي 

طرق الكشف عن هجمات برامج الفدية الخبيثة 

غالبًا ما تستخدم السلطات المختصة مصادر المعلومات التالية لجمع المعلومات حول حوادث هجمات الفدية الخبيثة 

• المؤسسات الخاضعة للرقابة مثل البنوك ومقدمي خدمات الأمن الافتراضي (من تقارير المعاملات المشبوهة) 
• القطاعات غير الخاضعة للتنظيم (أي المؤسسات المتورطة في برامج الفدية والجرائم الإلكترونية)  

• شركات الاستجابة للحوادث (أي شركات الاستجابة لحوادث الطب الشرعي الرقمي وشركات المحاماة) 

مؤشرات المخاطر المحتملة للكشف عن برمجيات الفدية الخبيثة  

ولمواجهة التهديد المتزايد لهجمات برامج الفدية الخبيثة وتمويلها، وضعت FATF بعض مؤشرات المخاطر لمساعدة الدول في الكشف عن هجمات برامج الفدية الخبيثة. تستند مؤشرات المخاطر هذه التي قدمتها FATF على سلوكيات ومعاملات محددة قد تشير إلى نشاط برمجيات الفدية، ويمكن استخدامها من قبل المؤسسات الماليةوالجهات التنظيمية وجهات إنفاذ القانون لتحديد الأنشطة المشبوهة والتحقيق فيها.

المؤشرات الخاصة بالمؤسسات المالية وأنظمة الدفع  

• التحويلات البنكية إلى المتخصصين في معالجة برمجيات الفدية الخبيثة في مجال استشارات الأمن السيبراني والاستجابة للحوادث. 
• الحوالات البنكية من شركات التأمين المتخصصة في تنظيف برامج الفدية التي تصل فجأة   

• حوادث برامج الفدية الخبيثة والمدفوعات المبلغ عنها من قبل العملاء   
• هجمات برمجيات الفدية الخبيثة للعملاء تهاجم البيانات مفتوحة المصدر   
• إجراء عدد كبير من عمليات السحب والإيداع في VASP باستخدام نفس الحساب المصرفي   
• تظهر كلمات مثل "فدية"، أو أسماء عائلات برمجيات الفدية المعروفة في وصف عملية الدفع.   
• الأموال المصروفة لمقدمي خدمات الدعم الطوعي في البلدان التي ترتفع فيها مخاطر الفساد  

• استخدام VASPs لتتبع ضحايا برامج الفدية الخبيثة الذين دفعوا الفدية:  
• طلب طرف ثالث من شركة تأمين أو شركة استجابة للحوادث أو شركة تأمين لشراء أصول افتراضية.   
• يقوم العميل بإبلاغ VASP بضرورة دفع الفدية لشراء الأصول الافتراضية.   
• مستخدم ليس لديه سجل سابق لإرسال أو استلام أصول افتراضية يرسل أموالاً خارج البروتوكول العادي.   
• يقوم العميل برفع الحد الأقصى لحسابه وتحويل الأموال الإضافية إلى طرف آخر.   

• يبدو العميل قلقاً أو منزعجاً من التأخير في استلام الأموال.   
• المدفوعات التي تتم لمقدمي خدمات الإنترنت الافتراضيين في المناطق عالية المخاطر؛ مشتريات أو تحويلات العملات الرقمية التي تزيد من إخفاء هوية المستخدمين   
• عندما يشتري عميل جديد أصولاً افتراضية، فإنه يرسل رصيد حسابه بالكامل إلى موقع واحد.  
• الاستراتيجيات القائمة على الأدلة للوقاية من برمجيات الفدية الخبيثة:  
• بعد عملية تبادل أولية كبيرة للأصول الافتراضية، لا يُجري المشتري أي معاملات أخرى تقريبًا بالأموال الافتراضية.   

• باستخدام تقنية البلوك تشين، يمكننا تتبع برمجيات الفدية الخبيثة من خلال عناوين محفظة الضحية.   
• الوصول الفوري إلى الأموال بعد تحويل الأصول الافتراضية 
• نقل الأصول الافتراضية إلى المحافظ المرتبطة ببرمجيات الفدية الخبيثة   
• استخدام VASP في بلد خطير   
• إرسال الأصول الافتراضية إلى خدمة إنتاج الموسيقى   

• استخدام اتصال آمن   
• بيانات التحقق هي لقطة شاشة أو اسم ملف يتضمن "صورة واتساب" أو ما شابه ذلك.   
• تركيب العميل لا يتطابق مع الفئة العمرية للعميل   
• تكشف البيانات الخاصة بالعميل عن وجود بريد إلكتروني بروتوني أو عنوان بريد إلكتروني سري مماثل.   
• المعلومات غير المتسقة المقدمة لتحديد الهوية أو محاولة إنشاء حساب مزيف   

• تُستخدم معلومات الاتصال نفسها لحسابات متعددة، وتُستخدم العناوين بالتبادل.   
• عميل يستخدم VPN على ما يبدو   
• استخدام معاملات العملات الرقمية المجهولة الهوية 

ما يحمله المستقبل 

يمكننا أن نتوقع استمرار الجهود التي تبذلها FATF وغيرها من المنظمات الدولية لمكافحة التهديد المتزايد لهجمات الفدية وغسل عائدات هذه الهجمات.  

من جانبها، ستحتاج الحكومات والشركات إلى تنفيذ تدابير أمنية أكثر قوة للحماية من هجمات الفدية الخبيثة والاستعداد للاستجابة بسرعة وفعالية في حالة حدوث هجوم.  

بالإضافة إلى ذلك، قد نشهد زيادة في التعاون وتبادل المعلومات بين البلدان ووكالات إنفاذ القانون لتحديد وتعقب مجرمي الإنترنت المتورطين في هجمات طلب الفدية. في نهاية المطاف، سيتطلب منع هجمات برامج الفدية الخبيثة والتخفيف من آثارها نهجاً شاملاً وتعاونياً من جميع أصحاب المصلحة المعنيين.