تبحث خدمات عصابات برامج الفدية (RaaS) بنشاط عن ضمّ شركات تابعة لها، بهدف تقسيم الأرباح التي يتم الحصول عليها من هجمات برامج الفدية التي تستهدف المؤسسات العامة والخاصة رفيعة المستوى.

ينظر البعض إلى خدمات RaaS على أنها خدمة لتأجير برامج الفدية، حيث يدفع الفاعلون الذين يقومون باختراق شبكات الأهداف رسوماً لاستخدام البرامج الضارة لطاقم RaaS.

في الواقع، يتم تأجير أو بيع برامج الفدية الأقل جودة فقط بهذه الطريقة. حيث تدير عصابات برامج الفدية الأكثر شهرة برامج خاصة بها، يمكن للشركات التابعة تقديم طلب عضوية للانضمام إلى العصابة المركزية.

ولتشفير أنظمة الضحايا، تحتاج أي شركة تابعة إلى خدمات المتسلل الذي يمكنه الوصول إلى شبكات الأهداف، ليحصل على امتيازات مسؤول المجال، ويحصد الملفات ويسحبها، قبل أن يمرر جميع المعلومات اللازمة للوصول إلى البيانات وتشفيرها مرة أخرى إلى الشركة التابعة.

ويتم بعد ذلك تقسيم الأرباح الناتجة عن الفدية المدفوعة بعد كل هجوم بين طاقم RaaS والمتسللين الذين اخترقوا الشبكة والشركة التابعة لبرامج الفدية، وعادة ما تكون بحصص متساوية.

 

عصابات برامج الفدية

في الوقت الحالي، هناك أكثر من عشرين عصابة نشطة تعمل في تقديم خدمات برامج الفدية والتي تتطلع بنشاط إلى توكيل هجمات الابتزاز إلى الشركات التابعة.

يمكن تصنيف عصابات برامج الفدية إلى ثلاث مجموعات (أو طبقات) مختلفة بناءً على سمعتها السيئة والوقت الذي كانت نشطة فيه، وذلك بحسب ما رصدته شركة استخبارات التهديدات Intel 471 خلال العام الماضي.

وتتراوح هذه المجموعات من العصابات المعروفة التي أصبحت مرادفة لبرامج الفدية، إلى المتغيرات المشكلة حديثاً والتي تخطت حالات الفشل القديمة، إلى المتغيرات الجديدة تماماً والتي قد يكون لديها القدرة على إزاحة الكتل الحالية ذات المستوى الأعلى.

 

– عصابات TIER 1 Ransomware

هي مجموعات نجحت في جمع مئات الملايين من أموال برامج الفدية على مدار السنوات الماضية. ويستخدم الغالبية العظمى منهم مخططات ابتزاز إضافية مثل سرقة معلومات حساسة من شبكات ضحاياهم والتهديد بتسريبها ما لم يتم دفع الفدية.

عصابات RaaS المدرجة في مجموعة TIER 1 هي DopplePaymer،Egregor ، Netwalker / Mailto، وREvil / Sodinokibi. وتحتل Ryuk صدارة الترتيب، حيث تم اكتشاف حمولاتها في واحد من كل ثلاث هجمات من هجمات الفدية خلال العام الماضي.

تشتهر المجموعة أيضاً بتقديم حمولاتها كجزء من هجمات متعددة المراحل باستخدام ناقلات العدوى Trickbot و Emotet و BazarLoader للحصول على طريقة سهلة للوصول إلى شبكات أهدافهم.

 

– عصابات TIER 2

نمت عمليات TIER 2 RaaS ببطء مع انضمام عدد أكبر من الشركات التابعة خلال عام 2020 والتي شاركت في العديد من الهجمات المؤكدة. وتماماً مثل عصابات TIER 1 ransomware، فإنهم يستخدمون أيضاً تكتيك ابتزاز سرقة البيانات كطريقة ابتزاز ثانوية.

مجموعات برامج الفدية المضمنة في هذا المستوى هي SunCrypt و Conti و Clop و Ragnar Locker و Pysa / Mespinoza و Avaddon و DarkSide (يُعتقد أنها منشقة عن REvil) والمزيد.

 

– TIER 3 RaaS

تضم مجموعة TIER 3 RaaS طلبات الشركات التابعة التي تم إنشاؤها جديداً، وتشمل Nemty و Wally و XINOF و Zeoticus و CVartek.u45 و Muchlove و Rush و Lolkek و Gothmog و Exorcist.