هناك اتجاه جديد في دوائر برامج الفدية وهو خلق اقتصاد يشبهه الخبراء بمشهد رأس المال الاستثماري في وادي السيليكون.
قال Ondrej Krehel ، الرئيس التنفيذي ومؤسس بائع الاستجابة للحوادث Lifars ، إن بعضًا من أكبر عصابات برامج الفدية الجديدة ، بما في ذلك مجموعة DarkSide سيئة السمعة الآن ، قد تم إطلاقها على خلفية استثمارات من عمليات أقدم وأكثر رسوخًا. يقدم هؤلاء المستثمرون الدعم في شكل بيتكوين أو عملة رقمية أخرى ، ثم يحصلون على حصة من المدفوعات ، وقال كرييل إن أبرز مثال على ذلك هو DarkSide. تصدرت مجموعة برامج الفدية عناوين الصحف في وقت سابق من هذا العام عندما تسببت في قيام شركة كولونيال بايبلاين بتعليق عملياتها لعدة أيام ، مما أدى إلى حالة من الذعر لفترة وجيزة بسبب الغاز في معظم أنحاء شرق الولايات المتحدة.
بينما يبدو أن عصابة DarkSide خرجت من العدم ، إلا أنه في الواقع يمكن إرجاعها إلى عملية أخرى راسخة. قال كرييل إن DarkSide تشكلت كفرع من برنامج ZLoader الضار ، وهو أحد أشكال برنامج حصان طروادة المصرفي سيئ السمعة زيوس. مع بعض الأعضاء المشتركين ، تمكنت DarkSide من الانطلاق ، بفضل دعم Bitcoin من ZLoader ، وفي المقابل ، تمتع فريق ZLoader بحصة من مدفوعات الفدية التي حصل عليها DarkSide.
أصبح هذا النوع من الإعداد أكثر شيوعًا داخل دائرة متماسكة من مجرمي الإنترنت لبرامج الفدية. أوضح كريل أنه في الوقت الذي سعت فيه مجموعات مختلفة إلى التفرع مع عمليات جديدة ، اتخذ الأعضاء نوعًا من هيكل رأس المال الاستثماري (VC) حيث سيقدم أحد الطاقم الأموال لمساعدة الآخر في التجهيز بالبنية التحتية والأدوات اللازمة.
مثل الكثير من مستثمري رأس المال المغامر ، فإن هؤلاء الداعمين يخاطرون بطرح الأموال مقابل اقتطاع الأرباح. عندما يبدأ طاقم البرمجيات الخبيثة الجديد في جمع مدفوعات الفدية ، سيحصل الداعمون على أول دفعة.
وقال كريل: “إنها مجازفة في أي وقت ، لكن المستثمرين يحصلون على أولوية السداد من العائدات”.
اقتصاد VC للويب المظلم
في حالة DarkSide ، قدر Lifars أن طاقم ZLoader على استعداد لتحصيل نسبة مئوية ثابتة من مدفوعات برامج الفدية على مدار عمر العملية بالكامل – على الأرجح حوالي عامين إلى ثلاثة أعوام.
يشبه إلى حد كبير وادي السيليكون ، حيث قد يتطلب الحصول على الأموال امتلاك سمعة طيبة مع الاتصالات الصحيحة ، لا يمكن لأي مجرم إلكتروني طموح الاستمتاع باستثمارات برامج الفدية هذه. يتطلب الدخول في المحادثة حيث يتم توزيع الأموال من الجهات الفاعلة المهددة إثبات أنها أثبتت نفسها بالفعل كمشغلين مؤهلين. في كثير من الحالات ، سيحتاج الشخص إلى أن يكون قادرًا على نقل مبلغ صغير من المال داخل أو خارج محفظة بيتكوين المتصلة بعملية رانسومواري كبيرة ، مما يدل على مشاركته في هذا الطاقم.
قال كريل: “ما رأيناه هو أكثر ما يحدث إذا حدثت هذه المحادثات على انفراد على Telegram”. “تحتاج عادةً إلى إثبات نفسك والدفع من محفظة مرتبطة ببرامج الفدية ، وليس من السهل أن يكون لديك محفظة كهذه لإثبات هويتك.”
حتى مع هذه العملية الانتقائية للغاية ، هناك ما يكفي من الدماء الجديدة التي تتدفق إلى الحظيرة بحيث تنمو صفوف عمليات البرامج الضارة بشكل كبير حيث أن الفروع الجديدة قادرة على الوصول إلى الأرض ، وذلك بفضل داعميها ؛ هذه الأطقم الناجحة بدورها تفرز المزيد من الفروع فيما وصفه كريل “بانفجار تشيرنوبيل” في هجمات برامج الفدية عالية التكلفة.
قال كريل إن جزءًا من المشكلة هو أن سوق برامج الفدية في مرحلة النضج. نمت فئة من المجرمين الذين بدأوا عملياتهم وهم مراهقون أو “أطفال سيناريو” يسعون بشكل عشوائي للحصول على مدفوعات في حدود بضعة آلاف من الدولارات إلى عمليات إجرامية كاملة حيث يتم اختراق أهداف منتقاة يدويًا وضخها للحصول على فدية مكونة من ستة أو سبعة أرقام . شبّه كريل هذا التحول بتحول عصابات المخدرات في أواخر القرن العشرين.
وأشار إلى أن “هؤلاء الناس لديهم شقق في موسكو فقط لتخزين النقود”.
مع المزيد من المال يأتي المزيد من التطور. يمكن لمشغلي برامج الفدية عالية التقنية وذوي الخبرة إنشاء مجموعات متعددة من البرامج الضارة ومجموعات برامج الفدية. وكما لاحظ العديد من الباحثين في مجال التهديد ، يمكن للمشغلين التسوق في أسواق الويب المظلمة للوصول إلى مؤسسات معينة من خلال بيانات الاعتماد المخترقة أو نقاط الضعف غير المصححة أو نقاط الضعف الأخرى.