في تحول لافت في أساليب الهجمات الإلكترونية، بدأ مشغلو برمجيات الفدية (Ransomware) بالاعتماد على أداة AzCopy التابعة لشركة مايكروسوفت بدلاً من الأدوات التقليدية مثل Rclone، لتحويل أداة موثوقة في بيئة Azure إلى وسيلة خفية لتهريب البيانات، ما يجعل النشاط الضار يندمج بسهولة مع حركة المرور الشرعية.
منطق “العيش على موارد النظام”
بحسب شركة Varonis، فإن تبني المهاجمين لأدوات مألوفة مثل AzCopy يعكس استراتيجية “العيش على موارد النظام” في المرحلة الأخيرة والأكثر حساسية من العملية، وهي مرحلة تهريب البيانات خارج المؤسسة. فإعداد حساب تخزين جديد على Azure لا يستغرق سوى دقائق، ويحتاج فقط إلى بطاقة ائتمان أو بيانات اعتماد مخترقة، ليتمكن المهاجم من الاستفادة من البنية التحتية العالمية لمايكروسوفت بينما تكافح فرق الأمن لتمييز التحميلات الخبيثة عن النشاط المشروع.
تحديات أمام فرق الأمن
هذا الأسلوب يضاعف من صعوبة عمل فرق الأمن السيبراني، إذ أن حركة البيانات تبدو طبيعية ضمن بيئة Azure، ما يجعل اكتشاف الأنشطة الضارة أكثر تعقيداً. فالمهاجمون لا يحتاجون إلى أدوات خارجية مشبوهة، بل يستخدمون أدوات رسمية وموثوقة، الأمر الذي يضع المؤسسات أمام تحديات جديدة في مراقبة سلوك الشبكات والأنظمة.
دلالات استراتيجية جديدة
الاعتماد على AzCopy يبرز تحولاً في تكتيكات الهجمات، حيث يسعى المهاجمون إلى تقليل بصمتهم الرقمية والاندماج في النشاط الطبيعي للمؤسسات. هذا يفرض على فرق الأمن تطوير آليات أكثر تقدماً لرصد الأنماط غير المعتادة، مثل حجم البيانات المنقولة أو الوجهات غير المألوفة، بدلاً من الاكتفاء بمراقبة الأدوات المستخدمة.
