تأثير إغلاق منتدى RAMP على نظام الفدية

تأثير إغلاق منتدى RAMP على نظام الفدية هو موضوع يثير القلق في عالم الجرائم الإلكترونية. مع ظهور منتديات جديدة، كيف سيتغير المشهد؟

إغلاق منتدى RAMP: تأثيره على نظام الفدية

مع إغلاق مجتمع RAMP، يظهر منتديان جديدان ليحلوا محله. نشرت Rapid7 اليوم تحليلاً عن نظام الفدية بعد أن قامت السلطات الأمريكية بمصادرة البنية التحتية المرتبطة بمنتدى RAMP الشهير في الشهر الماضي. لقد كان RAMP لسنوات هو الوسيلة الرئيسية للحصول على خدمات الفدية كخدمة (RaaS)، لكن العملية التي قادها مكتب التحقيقات الفيدرالي في 28 يناير أجبرت العديد من مجموعات الجرائم الإلكترونية على البحث عن وسائل جديدة لبيع منتجاتهم.

في منشور المدونة لهذا الأسبوع، حددت ألكسندرا بليا وإيفي شيرمان من Rapid7 منتديين محتملين قد يتوجه إليهما المهاجمون بعد ذلك. لكن الدرس الأهم هو أن نظام الجرائم الإلكترونية يتفكك، وأن المدافعين بحاجة إلى التكيف.

قالت المدونة: “بالنسبة للمدافعين، فإن الرؤية نحو التنسيق المركزي تتقلص. يجب أن تتطور المراقبة لتتجاوز تتبع المنتديات الفردية إلى تحديد هجرة المهاجمين، وإشارات التوظيف، ومؤشرات مبكرة لإعادة التجميع.” “الاضطراب نادراً ما يقضي على الأنظمة؛ بل يعيد تشكيلها. المنظمات التي تتكيف مع استراتيجيات الاستخبارات الخاصة بها ستكون في أفضل وضع للبقاء في المقدمة.”

قصة منتديين من الفدية

مع اختفاء RAMP وعدم احتمالية عودته (كما صرح مشرفه)، بدأ ممثلو الفدية في مناقشة وجهتهم التالية. بينما توجد منتديات هاكر أخرى شهيرة، إلا أن العديد منها، مثل XSS، لا يسمح بتوظيف الفدية.

أحد الخلفاء المبكرين هو T1erOne، منتدى مغلق بدأ في وقت مبكر من هذا الشهر ويتيح للأعضاء الانضمام فقط بإثبات النشاط على منتدى آخر أو بدفع 450 دولار. نظرًا لتسرب أجزاء من قاعدة بيانات RAMP بعد الإغلاق، “تم تصميم هذه الهيكلية لتقليل خطر التسلل أو الكشف،” كما كتب بليا وشيرمان.

“بينما المنتديات المغلقة ذات الدخول المدفوع ليست جديدة، فإن ظهورها مباشرة بعد مصادرة بارزة يشير إلى التكيف الدفاعي. من خلال رفع الحواجز المالية والسمعة، يقلل المشرفون من خطر التسلل بينما يشيرون إلى الجدية تجاه الممثلين ذوي القيمة العالية،” أضافوا. “إذا استمرت الأنماط التاريخية، فإن المرحلة التالية ستشمل على الأرجح مجموعات أصغر من الممثلين الموثوقين تتجمع حول مساحات موثوقة، مع حدوث التوظيف من خلال الإحالات بدلاً من المشاركات المفتوحة. هذا يقلل من الرؤية ولكنه يزيد من التماسك التشغيلي.”

يعلن المنتدى مباشرة عن الفدية في محاولة واضحة لملء الفراغ الذي تركه RAMP. وقد بدأت بعض مجموعات الشركاء في الفدية بالإعلان على المنتدى مثل Qilin وCry0.

المنتدى البارز الآخر هو Rehub، الذي كان موجودًا قبل إغلاق RAMP. لقد كان نشطًا منذ أغسطس من العام الماضي وله هيكل عضوية مفتوحة مقارنة بـ T1erOne. وقد تحقق باحثو Rapid7 من أن العديد من ممثلي الفدية نشطون بالفعل على المنصة؛ حيث كان LockBit وGentlemen موجودين منذ سبتمبر، بينما انضمت DragonForce في اليوم الذي تم فيه إغلاق RAMP. تعلن العديد من المشاركات عن عروض RaaS.

مستقبل فدية متفكك بعد RAMP

خلصت Rapid7 إلى أن المستقبل بعد RAMP ليس خلفًا واحدًا بل مسار متباين لخدمة أجزاء مختلفة من نظام الجرائم الإلكترونية. يوجد Rehub كخيار سهل لممثلي الفدية المشردين، بينما يبدو أن T1erOne يستهدف أهدافًا ذات قيمة أعلى في محاولة لكسب الثقة.

هذا يعقد الرؤية للمدافع، الذي يجب الآن تتبع الأنماط عبر منصات متعددة وتحديد إشارات التوظيف المبكرة لـ RaaS.

تظهر هذه الأنشطة الأخيرة في المنتديات أيضًا، كما يقول ساماني لـ Dark Reading، أنه حتى مع إلحاق الضرر بثقة المجتمع الجرمي بسبب مصادرة RAMP، ستتفوق الحوافز المالية على أي حاجة للاختباء.

“لقد رأينا هذا يتكرر مرات عديدة من قبل،” يقول. “خذ BreachForums وXSS، على سبيل المثال، حيث رأينا نسخة أخرى تظهر خلال شهر واحد بعد إغلاق الأولى. ببساطة، هذا يظهر اقتصادًا كبيرًا حيث لا يشعر المهاجمون بالخطر بسبب الشعور بالخصوصية الذي توفره الطبيعة الإلكترونية لهذه المنتديات.”

في النهاية، يؤكد إغلاق منتدى RAMP على أهمية التكيف في عالم الجرائم الإلكترونية المتغير باستمرار. يجب على المدافعين أن يكونوا مستعدين لمواجهة التحديات الجديدة.