تمكنت مجموعة هاكرز تنشر برمجيات خبيثة من نوعية برمجيات انتزاع الفدية من الحصول على مبالغ تقارب 4 مليون دولار أمريكى فى غضون 5 أشهر فقط، إذ بدأت هذه المجموعة نشاطها فى شهر أغسطس الماضى، واتبعت أسلوب جديد للحصول على الأموال من المستخدمين.
ووفقا لما نشره موقع engadget الأمريكى، فقد نشرت شركتا Crowd Strike وFireEye المتخصصتان فى الأمان الرقمى، تقريرين يوضحان الطريقة، والتى تعتبر مختلفة تماما عن الطريقة المتبعة مع برمجيات انتزاع الفدية التقليدية، إذ أنها تقوم بتثبيت برنامج التشفير الضار، المعروف باسم Ryuk، على نحو ينتقى فقط الأهداف المصابة سابقًا بثغرات عميقة، مقارنة بالطريقة التقليدية التى تصيب جميع الضحايا المحتملين دون تمييز.
ويمكن لبرمجية Ryuk إصابة الشركات الكبيرة بعد أيام أو أسابيع أو حتى عام، من إصابتها ببرمجيات خبيثة أخرى منفصلة، والتى تكون فى معظم الحالات حصان طروادة قوى بشكل متزايد يعرف بـ Trickbot، وعلى عكس ذلك، لا تعانى الشركات الأصغر المصابة ببرمجية Trickbot من هجوم المتابعة من قبل Ryuk.
وكشفت شركة Crowd Strike أن هذه الثغرة سمحت للهاكرز بتوليد عملة بيتكوين الرقمية بقيمة 3.7 مليون دولار عبر 52 صفقة منذ شهر أغسطس الماضى، وإضافة إلى القدرة على تحديد الأهداف التى تملك من الموارد ما يجعلها تدفع فدى كبيرة، فإن طريقة العمل التى اتبعتها المجموعة تمتاز بشيء آخر يُعرف باسم "زمن الكمن"، وهو المدة بين الإصابة الأولية وتركيب برمجية الفدية، الأمر الذى يعطى المهاجمين الوقت الكافى لإجراء عملية استطلاع للقيمة داخل الشبكة المصابة.
فيما لا تعد Ryuk هى الأولى فى اتباع هذه الآلية فى إجراء عملية الاستطلاع، إذ سبقتها فى ذلك برمجية انتزاع فدية أخرى عرفت باسم SamSam، والتى تمكنت من إحداث أضرار تجاوزت قيمتها ملايين الدولارات.
وليس من المعروف حتى الآن جنسية هؤلاء القراصنة، حيث تشير تقارير إلى أنهم من كوريا الشمالية، لكن شركة Crowd Strike قالت إن لديها ثقة من متوسطة إلى عالية بأن المهاجمين وراء البرمجية هم من روسيا، مستشهدةً بمجموعة متنوعة من الأدلة، بما فى ذلك عنوان IP الروسى المستخدم فى تحميل الملفات المستخدمة من قبل Ryuk.