اكتشف محللون في بالو ألتو نتوركس تصاعداً في أنشطة برامج الفدية “ميدوسا” (Medusa) وتحولاً في أساليب الابتزاز التي تنتهجها وفي مقدمتها إطلاق الموقع المخصص للتسريبات مطلع عام 2023 والذي حمل اسم “مدونة ميدوسا” (Medusa Blog). وتستخدم الجهة التخريبية التي تقف وراء “ميدوسا” هذا الموقع لتسريب ونشر المعلومات الحساسة للضحايا الذين لا يستجيبون لمطالب الفدية التي تقدمها.
وفي إطار استراتيجية الابتزاز متعددة الجوانب التي تنتهجها، تقدم هذه الجهة التخريبية خيارات متعددة إلى الضحايا عند نشر بياناتهم على الموقع المخصص للتسريبات، تشمل تمديد المهلة الزمنية الممنوحة للضحايا أو مسح البيانات أو تنزيل جميع البيانات، مع تكلفة محددة لكل من هذه الخيارات بحسب المؤسسة المتأثرة بهجمات المجموعة التخريبية.
وإلى جانب تبني استراتيجية استخدام موقع إلكتروني يحمل اللاحقة (.onion) لممارسة الابتزاز، فإن الجهة التخريبية وراء برامج “ميدوسا” تستخدم أيضاً قناة عامة على تطبيق تيليجرام تحمل اسم “دعم المعلومات” (information support) يتم فيها نشر ملفات المؤسسات التي تم استهدافها علناً، ما يتيح وصول جمهور أوسع إليها مقارنة بالمواقع ذات اللاحقة (.onion) التي عادة ما تستخدم لهذه الأغراض.
ونجح فريق الوحدة 42 للاستجابة للحوادث (Unit 42 Incident Response) التابع لشركة بالو ألتو نتوركس في التعامل مع حادثة هجمات برامج “ميدوسا”، والتي أتاحت لنا اكتشاف مجموعة من الأساليب والأدوات والإجراءات المثيرة للاهتمام التي تستخدمها الجهة التخريبية وراء برامج “ميدوسا”.
برامج الفدية هي نوع من البرمجيات الخبيثة التي تقوم بتشفير ملفات على جهاز الكمبيوتر الخاص بالضحية، مع فرض فدية مالية لفك تشفيرها. يستخدم المهاجمون برامج الفدية للحصول على أموال من الأفراد أو المؤسسات عبر تشفير ملفاتهم ومن ثمّ طلب فدية مالية في مقابل إعادة فتح الوصول إليها. يتم تحصيل الفدية عادةً بواسطة العملات الرقمية، مثل بيتكوين، لصعوبة تتبع المعاملات.
تعتبر برامج الفدية تهديدًا خطيرًا للأمان السيبراني، وقد شهدت زيادة في انتشارها وتطورها خلال السنوات الأخيرة. تستفيد هذه البرامج من ثغرات في البرمجيات أو مناهج ضعيفة في تأمين الأنظمة لتنفيذ هجماتها. يتم توصيل برامج الفدية عادةً عبر البريد الإلكتروني الاحتيالي (Phishing)، مواقع الويب الملوّثة، أو استغلال الثغرات في البرمجيات.
عندما يتم تشغيل تلك البرنامج، يبدأ في تشفير الملفات المهمة على جهاز الكمبيوتر، ويترك رسالة توضح كيفية دفع الفدية لاستعادة الملفات. غالبًا ما تكون هذه الرسالة تحتوي على إرشادات حول كيفية الدفع والضغط على الضحية لسرعة الرد.
