شهد عام 2024 تصاعدًا غير مسبوق في هجمات البرمجيات الخبيثة عالميًا، حيث بلغ عدد الحوادث المُسجلة 5,414 هجمة، ما يمثل زيادة بنسبة 11% مقارنة بعام 2023. ورغم بداية بطيئة، تسارعت الهجمات خلال النصف الثاني من العام، لتصل إلى ذروتها في الربع الرابع، والذي شهد 1,827 هجمة، أي 33% من إجمالي الهجمات السنوية.
أدى تفكيك مجموعات قرصنة بارزة، مثل LockBit، بفعل الإجراءات القانونية إلى إعادة تشكيل خريطة الجرائم الإلكترونية. فقد أسفر هذا الفراغ عن زيادة المنافسة وظهور مجموعات جديدة، مما رفع عدد الفاعلين في هذا المجال بنسبة 40%، حيث ارتفع عدد مجموعات البرمجيات الخبيثة من 68 مجموعة في 2023 إلى 95 مجموعة نشطة في 2024.
مجموعات جديدة تهز عالم الجرائم الإلكترونية
شهد عام 2024 ولادة 46 مجموعة برمجيات خبيثة جديدة، مقارنة بـ27 مجموعة فقط في العام السابق. ومع تقدم العام، تسارع معدل ظهور هذه المجموعات، حيث كان هناك 48 مجموعة نشطة خلال الربع الرابع وحده.
من بين هذه المجموعات، برزت RansomHub كأكبر منافس، متجاوزة LockBit من حيث النشاط والتأثير. وفقًا لتحليلات Cyberint (التي أصبحت جزءًا من Check Point)، تعد RansomHub واحدة من أخطر الجهات الفاعلة الجديدة. فيما يلي تحليل لأبرز المجموعات التي ظهرت في 2024:
RansomHub: القوة الصاعدة في عالم الابتزاز الإلكتروني
انطلقت RansomHub في فبراير 2024 وسرعان ما فرضت وجودها، إذ أعلنت عن 531 هجمة على موقع تسريب البيانات الخاص بها. بعد تفكيك FBI لمجموعة ALPHV، يُنظر إلى RansomHub على أنها وريث غير رسمي لها، مع احتمال ضمها لأعضاء سابقين من ALPHV.
تعتمد RansomHub على نموذج البرمجيات الخبيثة كخدمة (RaaS)، وتفرض قيودًا صارمة على الشركاء، تصل إلى الحظر وإنهاء الشراكة عند مخالفة القواعد. كما تقدم تقسيمًا جذابًا للعائدات بنسبة 90% للشركاء و10% للمجموعة الأساسية.
تكتيكات واستراتيجيات RansomHub:
- استهداف أنظمة Windows، Linux، وESXi باستخدام برمجيات مكتوبة بـGolang وC++.
- التشفير السريع للملفات، مع ضمان فك التشفير للضحايا عند دفع الفدية.
- الامتناع عن استهداف دول رابطة الدول المستقلة (CIS) وكوبا وكوريا الشمالية والصين والمنظمات غير الربحية.
- انخفاض معدل دفع الفدية: وفقًا لـ Cyberint، دفعت 11.2% فقط من الضحايا الفدية، مما يشير إلى تغير تكتيكات الابتزاز.
Fog: التهديد المتزايد لقطاع التعليم
ظهرت Fog في أبريل 2024، مستهدفة قطاع التعليم في الولايات المتحدة عبر اختراق بيانات اعتماد VPN. تعتمد هذه المجموعة على الابتزاز المزدوج، حيث تهدد بتسريب البيانات المسروقة عبر شبكة TOR في حال عدم دفع الفدية.
خلال عام 2024، شنت Fog 87 هجمة، واستهدفت قطاعات مثل الخدمات التجارية، والسفر، والتصنيع، مع تركيز أساسي على المؤسسات التعليمية. ووفقًا لتقرير صادر عن Arctic Wolf، فإن Fog استغلت حسابات SonicWall VPN المسروقة لتنفيذ 30 هجمة على الأقل.
Lynx: الابتزاز المزدوج بلمسة انتقائية
تُعد Lynx إحدى المجموعات الجديدة التي اعتمدت على الابتزاز المزدوج، لكنها تميزت باستراتيجياتها الانتقائية، حيث أعلنت عن تجنب استهداف المؤسسات الحكومية، والمستشفيات، والمنظمات غير الربحية، والقطاعات الحيوية.
خلال 2024، نفذت Lynx أكثر من 70 هجمة، مما يعكس صعودها كقوة مؤثرة في عالم الجرائم السيبرانية.
ماذا نتوقع في 2025؟
في ظل استمرار حملات مكافحة البرمجيات الخبيثة، من المتوقع ظهور مزيد من المجموعات الجديدة في 2025، مع تطوير تكتيكات أكثر تطورًا. وتتوقع Cyberint أن تصبح عدة مجموعات ناشئة لاعبين رئيسيين في مشهد الجريمة السيبرانية، إلى جانب RansomHub.
للحصول على تحليل مفصل لأبرز التهديدات السيبرانية لعام 2024، يمكنك تحميل تقرير Cyberint السنوي، والذي يسلط الضوء على أبرز المجموعات المستهدِفة، وأهم الصناعات المتضررة، والتوقعات الأمنية لعام 2025.
