تفشل عصابات برامج الفدية بشكل متزايد في الوفاء بوعدها بحذف البيانات المسروقة بعد دفع الضحية لمبلغ الفدية.
عام 2019، بدأت مجموعة Maze ransomware بتنفيذ تكتيك جديد يُعرف باسم الابتزاز المزدوج، وهو عندما يسرق المهاجمون ملفات غير مشفرة ثم يهددون بالإفراج عنها علناً إذا لم يتم دفع فدية.
أما اليوم، وبعد تطور وسائل القرصنة، لا يتم ابتزاز الضحايا فقط من خلال تشفير ملفاتهم ولكن أيضاً من خلال خطر نشر بياناتهم والتسبب في خرق البيانات.
تم تبني هذا التكتيك بسرعة من قبل عمليات برامج الفدية الأخرى، التي بدأت في إنشاء مواقع تسرب البيانات المستخدمة لنشر ملفات الضحايا المسروقة.
وكجزء من أسلوب الابتزاز المزدوج هذا، تطلب معظم عمليات برامج الفدية من الضحية دفع فدية واحدة توفر أداة فك تشفير لملفاتها المشفرة ووعداً بعدم مشاركة الملفات المسروقة وحذفها.
هذا وتتطلب بعض عمليات برامج الفدية، مثل AKO / Ranzy، دفع فدية مرتين، أحدهما لفك التشفير والآخر لعدم نشر البيانات المسروقة.
عصابات برامج الفدية لا تفي بوعدها
ويبدو مؤخراً أن بعض عصابات برامج الفدية لا تفي بوعدها بحذف البيانات المسروقة بعد دفع الفدية. بحيث تقوم مجموعات معينة بتسريب بيانات مسروقة بعد دفع الفدية، باستخدام بيانات مزيفة كدليل على الحذف، أو حتى إعادة ابتزاز الضحية باستخدام نفس البيانات مقابل عدم الإفراج عنها.
وعلى الضحايا أن يتوقعوا ما يلي إذا قرروا الدفع:
– لن يتم حذف البيانات بشكل موثوق. يجب أن يفترض الضحايا أنه سيتم تداولها مع جهات تهديد أخرى أو بيعها أو الاحتفاظ بها لمحاولة ابتزاز ثانية في المستقبل.
– تم الاحتفاظ بحفظ البيانات المسروقة من قبل أطراف متعددة ولم يتم تأمينها. حتى إذا حذف الفاعل حجماً من البيانات بعد الدفع، فربما تكون الأطراف الأخرى التي تمكنت من الوصول إليها قد قامت بعمل نسخ حتى يتمكنوا من ابتزاز الضحية في المستقبل.
– قد يتم نشر البيانات على أي حال عن طريق الخطأ أو عن قصد قبل أن تتمكن الضحية من الرد على محاولة الابتزاز.
– يجب أن تفترض الشركات تلقائياً أن بياناتها قد تمت مشاركتها بين جهات تهديد متعددة وأنه سيتم استخدامها أو تسريبها بطريقة ما في المستقبل، بغض النظر عما إذا كانت قد دفعت أم لا.
على كل الأحوال، يجب على الشركات التعامل مع الهجوم على أنه انتهاك للبيانات وإبلاغ جميع العملاء والموظفين وشركاء الأعمال بشكل صحيح بأن بياناتهم قد سُرقت وفقاً لما يقتضيه القانون. فالقيام بذلك يجعل الشركات تبدو صريحة في محاولة فعل الشيء الصحيح، ويمنح أولئك الذين تعرضوا للخطر القدرة على مراقبة حساباتهم وحمايتها من الاحتيال.