تطور هجوم الفدية الحديث ليتجاوز مجرد تشفير الملفات. تتبع الحوادث الأكثر ضررًا اليوم نموذج الابتزاز المزدوج، حيث لا يكتفي المهاجمون بقفل البيانات بل يسرقونها أيضًا، ويهددون بنشرها أو بيعها ما لم يتم دفع الفدية. قامت مجموعة تالوس للاستخبارات في سيسكو بتحليل هذا الاتجاه بدقة، وكشفت عن تكتيك شائع ومقلق: استخدام أدوات إدارة النظام المشروعة والشائعة في كل مكان لتنفيذ تسريب البيانات. تسمح هذه المقاربة التي تعتمد "العيش على أرض العدو" لمهددي الأمن بدمج النشاط الخبيث مع حركة مرور الشبكة العادية، مما يجعل اكتشافهم أكثر صعوبة على المدافعين. لم يعد المنهج يعتمد فقط على البرمجيات الخبيثة المخصصة، بل يتم تنفيذه بشكل متزايد من خلال الملفات الثنائية الموثوقة الموجودة مسبقًا على الشبكة.
مرحلة التسريب حاسمة لنجاح حملات فدية الابتزاز المزدوج. بعد تأمين موطئ قدم ورفع الصلاحيات، يحدد الخصوم بشكل منهجي البيانات الحساسة ويجمعونها - السجلات المالية والملكية الفكرية ومعلومات التعريف الشخصية (PII). لاحظ باحثو تالوس نمطًا ثابتًا حيث يستغل المهاجمون أدوات سطر الأوامر المدمجة والأدوات المساعدة الشائعة لهذه السرقة. يتم إعادة توظيف أدوات مثل `Rclone` و`WinRAR` و`7-Zip` وحتى نصوص PowerShell لضغط وحزم ونقل البيانات المسروقة إلى التخزين السحابي أو الخوادم التي يتحكم فيها المهاجم. يوفر استخدام هذه "الأدوات اليومية" شكلًا من أشكال التمويه، حيث أن وجودها ونشاطها أقل احتمالية لإطلاق إنذارات أمنية مقارنة بالملفات التنفيذية غير المعروفة.
يشكل هذا التحول في التكتيكات تحديًا هائلاً للإجراءات الأمنية التقليدية. يصبح الكشف القائم على التوقيع وقوائم السماح/الرفع البسيطة غير فعالة عندما تكون الأدوات المستخدمة موثوقة بشكل أساسي من قبل نظام التشغيل وضرورية لوظائف العمل المشروعة. وبالتالي، يجب على فرق الأمن تبني نهج أكثر دقة ويركز على السلوك. يتطلب الدفاع الفعال رؤية عميقة لحركة مرور الشبكة وعمليات نقطة النهاية لتحديد الاستخدام غير الطبيعي لهذه الأدوات المساعدة - على سبيل المثال، تنفيذ أداة مسؤولي النظام مثل `Rclone` من موقع غير معتاد، في وقت غريب، أو التواصل مع عنوان IP خارجي مشبوه. تعد السجلات القوية وتجزئة الشبكة وسياسات التحكم في التطبيقات الصارمة ضرورية للحد من الأدوات المتاحة للمهاجم ولإنشاء كشف استنادًا إلى الشذوذ السلوكي.
في النهاية، يتطلب التخفيف من المخاطر التي يشكلها منهج التسريب هذا تحولًا جوهريًا في الوضع الأمني. يجب على المنظمات افتراض أن الخصوم المصممين سيحصلون في النهاية على الوصول والعمل تحت مبدأ "الثقة الصفرية"، والتحقق باستمرار من الوصول ومراقبة السلوك غير الطبيعي. تشمل الإجراءات الاستباقية التدريب الشامل للموظفين على التعرف على محاولات التصيد، وإدارة التصحيحات الدقيقة لإغلاق نواقل الوصول الأولية، وتنفيذ حلول قوية لمنع فقدان البيانات (DLP). من خلال فهم أن المهاجمين يحولون الأدوات المستخدمة لإدارة بيئات تكنولوجيا المعلومات إلى أسلحة، يمكن للمدافعين صقل استراتيجياتهم لاكتشاف ليس فقط البرمجيات الخبيثة، بل *السلوك* الخبيث، وبالتالي بناء المرونة ضد هذه الجرائم الاستثنائية التي ترتكب بأدوات يومية.
