برامج الفدية تتحول إلى نموذج أعمال يشبه الشركات الكبيرة

12 دقيقة
برامج الفدية تتحول إلى نموذج أعمال يشبه الشركات الكبيرة
رسم توضيحي لناتالي ماثيوز رامو

ما القاسم المشترك بين عمليات برامج الفدية والشركات الكبيرة؟ إنه أكبر مما تتخيل، وهذا ليس مجرد انتقاد للطابع الرأسمالي للشركات التكنولوجية الكبيرة. (وهناك الكثير من النواحي الأخرى المناسبة للانتقاد) إنه مجرد اعتراف بسرعة تطور عمليات الأعمال لكبرى الجهات التي تعمل في مجال برامج الفدية. حيث أصبحت سلوكياتها أقرب إلى سلوكيات الشركات الكبرى التي تسرقها، وذلك وفقاً للعديد من خبراء الأمن السيبراني.

فقد بدأت عصابات برامج الفدية باستئجار المكاتب بأسعار مرتفعة، والاستعانة بمصممي الغرافيك لتجميل مواقع الويب الخاصة بهم، بل وبدأت حتى بتقديم خدمة زبائن سريعة وتتسم بالتهذيب للضحايا والعملاء. يقول جيريمي كيرك، وهو صحافي مختص بالأمن السيبراني ومضيف المدونة الصوتية "ملفات برامج الفدية" (The Ransomware Files) المخصصة لتغطية قصص وأخبار هجمات برامج الفدية: "ظاهرياً، تبدو هذه العصابات مثل الشركات التكنولوجية العادية".

 ويقول دانييل كلايتون من "بيت ديفيندر" (Bitdefender): "حالياً، تعمل العديد من أكثر مجموعات الجرائم السيبرانية نجاحاً بصورة مشابهة للشركات الضخمة، مع استثمارات معمقة في البحث والتطوير والتسويق لمنتجاتها وخدماتها وعملياتها اليومية".

اقرأ أيضاً: ما هي أسباب الأزمة المعقدة التي تسببها برمجيات الفدية؟

وفي الواقع، فقد أثبتت بعض مجموعات عصابات الفدية، مثل "FIN8"، أنها "أكثر انضباطاً من الكثير من الفرق الهندسية التجارية"، كما يقول كلايتون، والذي أمضى بعض الوقت مع الاستخبارات البريطانية ووكالة الأمن القومي الأميركية سابقاً. وتعتمد هذه المجموعات على إطار "رشيق" للتطوير -وهو أحد المصطلحات التي ترد بكثافة في إعلانات وادي السيليكون- حيث تختفي لبعض الوقت للعمل على تطوير برمجياتها الخبيثة، ثم تعود لاختبار هذه البرمجيات على ضحية ما، وذلك قبل أن تعود للانعزال مرة أخرى لإجراء التعديلات اللازمة، وهكذا دواليك. 

انتشار متزايد لبرامج الفدية

وبفضل انتشار العملات المشفرة والعمل عن بعد بسبب وباء كوفيد، تشهد برامج الفدية فترة ازدهار خاصة بها. وفي سعي من العصابات الرئيسية لتمييز أنفسها عن المنافسة الشريرة، والاستحواذ على أكبر العمليات، بدأت هذه العصابات بتنظيم نفسها ووضع هيكلية لعملياتها بصورة مشابهة للشركات على مدى السنوات القليلة المنصرمة. ويبدو أن هذه الطريقة قد نجحت. فعلى حين غرة، أصبح كبار القادة في هذه المنظمات قادرين على تحمل تكاليف "شراء سيارات لامبورغيني وساعات رولكس"، كما يقول إيفان وولف، وهو محامٍ مختص بجرائم برامج الفدية.

ولكن الأرباح الكبيرة غالباً ما تؤدي، من ناحية أخرى، إلى اجتذاب المجرمين الأقل خبرة إلى هذه السوق الإجرامية. ولهذا، وكما يقول الخبراء الذين تحدثت معهم، فقد تكون هذه الصناعة على وشك التعرض إلى الانتكاس، وهو أمر قد يجلب شيئاً من الانتعاش إلى عالم يعج بالهجمات من جميع الاتجاهات، وحيث لم يعد دفع الفدية اليوم كافياً لحمايتك من هجوم آخر غداً. وقد نشعر بالحنين قريباً إلى تلك الأيام الخوالي، عندما كانت الفدية تُطلب بمبالغ ضخمة، ولكن المجرمين السيبرانيين كانوا صادقين على الأقل.

البدايات الأولى لبرامج الفدية وتطورها

ففيما مضى، كان مجرمو برامج الفدية مكتفين بالابتزاز البسيط. وتعود برامج الفدية إلى الثمانينيات من القرن الماضي، وقد أصبحت أكثر انتشاراً بين عناصر مشهد الأخطار السيبرانية في بداية القرن الحالي، ولكن كانت هناك بعض التعديلات الضرورية قبل أن تتحول برامج الفدية إلى عمل هائل الربح كما أصبحت الآن. ومن المرجح أن أولى الدلالات الرئيسية على ميل هذه الصناعة إلى التركيز بجدية على تطوير الأعمال تعود إلى العام 2015، عندما بدأت الأطراف الخبيثة التي أطلقت برنامج الفدية "سام سام" (SamSam) بتقديم خدمة عملاء سريعة وموثوقة لضحاياها. فعندما كان مفكك تشفير "سام سام" يفشل في فك تشفير الشبكة، كان الضحايا يتلقون اعتذاراً مهذباً من المجموعة التي كانت قبل لحظات معدودة تهدد بالقضاء على شركتهم بالكامل. وكان الضحايا يجدون في بريدهم الإلكتروني في اليوم التالي أداة بديلة تعمل بشكل صحيح بالكامل. إن تقديم شيء أشبه بخدمة عملاء عالية المستوى للضحايا "أدى إلى تغيير طبيعة عمليات برامج الفدية بالكامل"، كما يقول تشارلز كارماكال، وهو المسؤول التكنولوجي الأساسي في شركة الأمن السيبراني "مانديانت" (Mandiant).

اقرأ أيضاً: آخر تطورات الأمن السيبراني: برامج الفدية الخبيثة وعمليات اختطاف الحوسبة المشفرة

وعندما لاحظت أطراف أخرى أن هذا السلوك المستوحى من خدمة العملاء حقق نجاحاً، على ما يبدو، مع عصابة "سام سام"، بدأ البعض منها بتطبيق نفس الأسلوب، وفقاً لكارماكال. وقد تمكنت مجموعات جديدة، مثل "كونتي" (Conti)، من بناء سمعة واسعة الانتشار، ليس بسبب برامجها الخبيثة المدمرة وحسب، بل أيضاً بفضل استجابتها السريعة، كما يقول إيفان وولف. وسترد الكثير من عصابات برامج الفدية على رسائل البريد الإلكتروني خلال دقائق أو ساعات، بدلاً من ترك الضحية في انتظار قد يدوم لعدة أيام، كما يقول كلايتون إن بعضها "قام حتى بتأسيس مراكز اتصالات لتسهيل عملية الدفع".

ولكن بعض العصابات، من ناحية أخرى، قررت أن تجعل جرائمها أكثر ضرراً للضحايا، بدلاً من التعامل معهم بلطف مثل العملاء. لم تتمكن عمليات الاحتيال الرقمية الأولى من تحقيق أقصى أرباح ممكنة بالاعتماد على تشفير الشبكة فقط، فقد أدى هذا إلى ترك الكنوز الثمينة لهذه المخازن الرقمية خارج متناول يدي المهاجم والضحية بعد تشفيرها.

ولحل هذه المعضلة، بدأ المهاجمون بنهب شبكات الضحايا قبل تشفيرها، مطبقين طريقة أصبحت الآن تعرف باسم الابتزاز متعدد الوجوه. وقد قامت مانديانت بتتبع أثر تقنية "التسمية والإحراج"، حيث يقوم مهاجم برنامج الفدية بالإعلان للجميع عن خسارة البيانات المحرجة التي تعرضت لها الضحية، إلى العام 2019. وبحلول السنة التالية، كان أكثر من نصف هجمات برامج الفدية التي تراقبها مانديانت يتضمن نقل البيانات من شبكة الضحية.

اقرأ أيضاً: ما هي الحرب السيبرانية؟ وكيف تتعدى تهديداتها الحروب التقليدية؟

وبالسيطرة على هذه الكنوز الثمينة للشبكة، يستطيع المجرمون السيبرانيون، وبشكل مؤكد، تسريب الأسرار المهنية أو السجلات الصحية للموظفين، بحيث يمتنع الضحايا عن الاتصال بمؤسسات إنفاذ القانون، ولتوفير حافز إضافي لمن يفكر في تجاهل دفع مبلغ الفدية. وفي نفس السنة التي بدأ استخدام هذه الطريقة فيها، تزايد متوسط دفعات الفدية بنسبة 83% ليصل إلى أكثر من 150,000 دولار، وفقاً لمانديانت. ولكن، وحتى فترة قريبة، كان دفع الفدية لا يقتضي وجود أي ضمانة حقيقية على عدم قيام مشغّل برنامج الفدية بتسريب البيانات على أي حال بعد استكمال تحويل الأموال.

وهنا بالضبط وجدت العصابة المعروفة باسم "ميز" (Maze) فرصتها السانحة لبناء علامتها التجارية، والتميز عن بقية المجرمين السيبرانيين الذين لا يمكن الوثوق بوعودهم، وتحقيق المزيد من الأرباح في نهاية المطاف. وبدءاً من 2019، أصبح دفع الفدية لميز ضمانة تتجاوز مجرد استعادة الشبكة، كما يقول كارماكال. فعند دفع الفدية، كان الضحايا يحصلون على ضمانة بأن جميع أسرارهم المهنية ستبقى بعيدة عن أيدي المنافسين، وأنهم لن يضطروا لمواجهة غضب المشرّعين والعملاء بسبب الفشل في حماية معلوماتهم الشخصية، وأن مراسلاتهم الداخلية الخاصة لن ينتهي بها المطاف على الصفحة الأمامية للصحف والمواقع الإخبارية صبيحة اليوم التالي.

وبترسيخ الثقة في هذه المعادلة، أعادت ميز تعريف "قواعد الاشتباك" وفقاً لكارماكال، وأطلقت حقبة جديدة من عصابات برامج الفدية الحريصة على علامتها التجارية، وهي حقبة بدأت أولى مؤشراتها بالظهور مع سام سام، ما ساعد على انتشار الخطوط الساخنة المفيدة وممثلي خدمة العملاء لدى العصابات على نطاق واسع، وذلك لمساعدة الضحايا على حل المشكلات وزيادة سلاسة الجريمة المرتكبة بحقهم بأنفسهم.

نموذج التوزيع العشوائي

ومن العوامل الأخرى التي أعاقت عمليات برامج الفدية نموذج التوزيع العشوائي، والذي كان يعتمد على الحظ بالكامل للوصول بالبرنامج الخبيث إلى صندوق وارد يعود لمستخدم غافل لا يدرك خطر الغرباء على الإنترنت، كما يقول كارماكال. فقد اضطر المجرمون إلى تقييد طلباتهم إلى حد ما لضمان الحصول على أي شيء مقابل مجهودهم، لأن إطلاق البرامج الخبيثة عبر الإنترنت عبر حملات متعددة واسعة الانتشار لتصيد المعلومات (مثلما يحدث مع بنادق الصيد عندما تطلق الخردق)، جعل هذه البرامج تصل إلى جميع الشرائح والوجهات التي يمكن تخيلها، بدءاً من حاسوب مكتبي بعمر 20 سنة لرجل في سن التقاعد، وصولاً إلى شبكة تخص شركة بقيمة عدة مليارات من الدولارات. وبالتالي، كانت طلبات الفدية تقع في مجال يتراوح من 500 إلى 15,000 دولاراً. ويستذكر كيرك أن الحاسوب الشخصي الخاص بوالد زوجته تعرض للقرصنة ببرنامج فدية منذ نحو 10 سنوات للحصول على بضع مئات من الدولارات.

ومن الممكن طبعاً معرفة الكثير عن أي شخص –بما في ذلك قيمته المالية- بإمضاء بعض الوقت في التنقيب ضمن شبكته. لقد أصبحت عصابة سام سام إحدى أولى العصابات التي تمكنت من استجرار عشرات الآلاف من الدولارات في هجوم واحد عن طريق تعديل طلبات الفدية وفقاً لممتلكات كل ضحية وقدرتها على الدفع. يقول كارماكال: "في تلك الفترة، كان هذا يعتبر ربحاً ضخماً".

وعلى الرغم من هذا، فإن معظم عمليات الابتزاز متعدد الوجوه لا تتكلف عناء الاستهداف الموجه أو دراسة أهدافها، وفقاً لكارماكال. بل تكتفي بإرسال البرامج الخبيثة في جميع الاتجاهات، والتفاؤل بالنجاح. (ويقول إنه من المحتمل حتى أن قراصنة "ريفيل" (REvil) لم يكونوا مدركين لمستوى الهدف الذي هاجموه عند قرصنة خط أنابيب "كولونيال" (Colonial) في صيف 2021). ولكن الذين يخصصون الوقت لدراسة الهدف قبل ضربه يحصلون على المزيد من الأرباح لقاء مجهوداتهم. وغالباً ما يبحث مشغّلو برامج الفدية المخضرمون عن مستندات التأمين السيبراني ضمن الشبكة لمعرفة المزيد من المعلومات حول إطار تحليل التكاليف والفوائد الخاص بالضحية، وزيادة طلبات الفدية إلى أقصى حد ممكن.

اقرأ أيضاً: هجوم ببرنامج فدية يودي بحياة مريضة في ألمانيا

التأمين ضد برامج الفدية

وفي الواقع، وبعد التحدث مع الخبراء، وجدتُ أن سياسات التأمين المتعلقة ببرامج الفدية مثيرة للجدل بعض الشيئ. فعلى الرغم من أن التأمين يسمح للضحايا بتحمل تكاليف الفدية التي قد لا يمكن دفعها في الحالة العادية، وإعادة سير العمل، يلحظ كلايتون أنه يمكن أيضاً أن يشجع على تكرار الهجوم، بما أن دفع الفدية مرة واحدة يشير إلى أن الضحية مستعدة للدفع وقادرة على تكرار الأمر مرة أخرى. ولكن، وبسبب تكاليف هذه الدفعات، فإن سوق التأمين السيبراني، كما يعتقد البعض، تؤمن المكافأة التي تجعل كل هذا العمل الإجرامي جديراً بالعناء، وتطيل أمده. وقد تعتمد أحقية الضحية بالحصول على مبلغ مالي يساعدها، على وجهة النظر إلى الموضوع.

وعلى الرغم من أن كلايتون يتفهم شعور الشركة بأنه لا خيار أمامها سوى الدفع للمجرمين السيبرانيين خلال الأزمة، فإنه يقول إن التغييرات على المستوى العام للشركة ضرورية لتخفيف الدافع المالي لعمليات برامج الفدية. ويقول: "الرسالة الواضحة هنا هي أن استمرار المؤسسات بالدفع يعني استمرار هجمات برامج الفدية. إنه مبدأ عرض وطلب بسيط".

ومن وجهة نظر كلايتون، يجب على شركات التأمين أن تستخدم نفوذها الاقتصادي على عملائها لتعزيز معايير الحماية على مستوى واسع، وذلك بربط أحقية الشركات بالحصول على تعويضات التأمين بالتزامها باتخاذ "الحد الأدنى من الخطوات الضرورية لحماية نفسها".

"أما الخبر الجيد فهو أن شركات التأمين بدأت التحرك لأنها تتكبد خسائر كبيرة" بسبب المبالغ الضخمة التي اضطرت لدفعها لتعويض خسائر هجمات برامج الفدية لعملائها، كما يقول كلايتون، وهو ما كتب عنه ديف أوبيرتي في "وول ستريت جورنال" (Wall Street Journal)، وناقشه في حلقة من المدونة الصوتية لمجلة "سليت" (Slate) بعنوان: "ماذا بعد: نقاش لاحق" (What Next: TBD) ولهذا، تراجعت نسبة هجمات برامج الفدية التي انتهت بالدفع من 50% تقريباً في 2020 إلى 12% في 2021، كما يقول كلايتون.

وبطبيعة الحال، فإن هذه الاعتبارات العامة ليست مهمة كثيراً بالنسبة لشخص يمر بأسوأ يوم في حياته. يقول كيرك: "لا نستطيع أن نتجاهل كل العوامل المتداخلة، ونقول إن المجرمين سيكفون عن ارتكاب الجرائم إذا توقف الناس عن الدفع، خصوصاً إذا كان الهجوم كافياً "للقضاء على الشركة"، فبعض الشركات ليس لديها فعلاً أي خيار آخر".

خدمة العملاء كجزء من عملية الاحتيال

قد تبدو فكرة خدمة العملاء للضحايا سخيفة، ولكن الضحايا بدؤوا بملاحظتها. تعمل بعض المؤسسات المرخّصة، والتي يستأجرها ضحايا برامج الفدية لدعمهم خلال عملية التفاوض، على "الاحتفاظ بملفات" حول مختلف المجموعات الخطيرة في هذا المشهد، كما ورد في مايو/ أيار 2021 في إحدى الحلقات من المدونة الصوتية: "ماذا بعد: نقاش لاحق" (What Next: TBD) وبتصنيف عصابات برامج الفدية وفق الموثوقية، تستطيع هذه المؤسسات مساعدة الضحايا على اتخاذ القرار حول ما إذا كان المجرم شخصاً يمكن التعامل معه.

ولكن، وبطبيعة الحال، فإن كل هذه الخدمات السريعة والموثوقة واللطيفة تكلف رسوماً باهظة.

وقبل أن يؤدي الوباء إلى فتح المجال أمام برامج الفدية، كانت تعاملات برامج الفدية تتسم بالانخفاض من جميع النواحي، كما يقول وولف: الانخفاض في قيمة الأهداف، والانخفاض في قيمة الدفعات، والانخفاض في مستوى الثقة. فعند استسلام الضحايا للأمر الواقع ودفع تكاليف الحصول على أداة فك التشفير (من 40,000 إلى 10,000 دولار تقريباً)، كانوا يتمكنون من استعادة نصف شبكاتهم فقط في أغلب الأحيان.

أما ضحايا اليوم، من ناحية أخرى، فهم يستعيدون كامل الشبكة في أغلب الأحيان، كما أنهم أقل عرضة لتسريب البيانات. يقول كارماكال إن 90% من أدوات فك التشفير التي تشاركها معظم المجموعات الشهيرة تعمل تماماً كما يُفترض بها أن تعمل (بعد حصول المجرمين على الفدية طبعاً). ولكن، وبالمقابل، فإن الضحايا الذين يتعرضون إلى أقصى الهجمات حالياً يضطرون لدفع عشرات الملايين من الدولارات لاستعادة بياناتهم، لا عشرات الآلاف. وفي عصر كوفيد، حيث أصبح منح الوصول إلى الشبكة عن بعد للموظفين عبر حواسيب منزلية غير آمنة ممارسة معتادة، يجد المجرمون المزيد من الثغرات التي يمكن استغلالها.

بطبيعة الحال، لا يعني كل هذا أن تقديم خدمة عملاء للضحايا يجعل المجرمين أشخاصاً طيبين. فالإيرانيان المتهمان بكتابة برنامج الفدية سام سام تمت إدانتهما من قبل هيئة محلفين كبرى أميركية بقرصنة أكثر من 200 ضحية، بما فيها عدة مستشفيات وجامعات ومدن أميركية (على الرغم من أنهما لن يتعرضا للمحاكمة على الإطلاق)، على حين تورطت كونتي بإقامة عدة صلات محتملة مع الاستخبارات الروسية منذ غزو أوكرانيا. ولكن إنشاء خدمة عملاء حقق المزيد من الأرباح لهؤلاء المجرمين دون شك. ومع تطور عصابات برامج الفدية من نموذج التسويق الهاتفي المباشر إلى نموذج موجه أكثر دقة واستقصاء وذكاء، تمكنت أيضاً من زيادة قيمة جهودها بالتركيز بدقة أكبر على الأهداف الكبيرة والدسمة.

فريق احتيالي كامل!

وعلى غرار شخصية الممثل ليام نيسون في سلسلة أفلام "تيكن" (Taken)، يمتلك مطورو البرمجيات مجموعة خاصة للغاية من المهارات. ولكن بناء هذه المهارات يتطلب إهدار العديد من الفرص الأخرى: فتخصيص الوقت لتعلم برمجة البرامج الخبيثة يعني، مثلاً، عدم توافر ما يكفي من الوقت للتدرب على كيفية تفادي دفاعات الشبكات (الحاسوبية). ولهذا بدأ مطورو برامج الفدية، وعلى نحو متزايد، بتعهيد عدة مراحل مختلفة من الهجوم إلى أطراف خارجية مختصة، وفقاً لكلايتون.

فقد يقوم أحد الفرق ببناء أدوات برنامج الفدية، على حين يركز آخر على فتح المجال للدخول إلى شبكة الضحية (وفي أغلب الأحيان باستخدام أساليب مثل تصيد المعلومات)، ويقوم فريق ثالث باختراق امتيازات مدير الشبكة المطلوبة لقفل النظام. وبعد أن يلقي المهاجمون ببرامجهم ويقومون بتشفير الشبكة، يقوم فريق آخر بإعداد موقع ويب للتهديد بفضح الضحايا ودفعهم إلى عقد صفقة مع فريق آخر مختص بالمفاوضات. ويُشاع حتى أن بعض العصابات تقوم بتوظيف باحثين مختصين بالثغرات، وفقاً لكيرك، ما يمكن أن يسمح بالوصول إلى ثغرات غير مكتشفة (أي أنها بحاجة إلى إصلاح) لاستغلالها.

ويقول كلايتون: "غالباً ما تتألف عصابات الجرائم السيبرانية من مجموعات بخبرات مختلفة، ويجمع بينها جميعاً هدف واحد، هو تحقيق الربح".

اقرأ أيضاً: 11 نصيحة من وكالة الأمن القومي الأميركية لحماية الشبكات من الهجمات السيبرانية

يعود هذا النموذج القائم على تعدد الفرق إلى توجه متنامٍ يعرف باسم "تقديم عمليات برامج الفدية على شكل خدمة" أو اختصاراً "راس" (RaaS)، حيث يجعل مطورو برامج الفدية برامجهم متاحة لمن يرغب على أساس تسجيل الاشتراك.

ويمكنك أن تنظر إليها كما تنظر إلى علامة "ماكدونالدز" (McDonald’s) التجارية، كما يحلو لبعض الخبراء وصفها. وتقوم هذه البنية، كما هو معروف، على الشركة الأساسية التي تدير الكثير من المطاعم، ولكن ليس جميعها. فقد تتم إدارة بعض هذه المطاعم من قبل مؤسسات بعلامات تجارية مميزة، وقد لا تُذكر هذه المؤسسات ضمن المجموعة الرسمية للمؤسسات المتعاقدة مع ماكدونالدز، ولكنها ترغب على أي حال بالحصول على "الصلصة السرية" لهذه الشركة (والأرباح الناتجة عنها طبعاً). ولهذا، يدفع هؤلاء الأموال لرونالد ماكدونالد لقاء الحصول على حق استخدام علامته التجارية لبيع منتجاته في المتاجر المحلية التي يديرونها بأنفسهم.

وبنفس الطريقة، ومع صعود مفهوم "راس"، يستطيع رواد الأعمال في مجال الجريمة السيبرانية تنفيذ هجمات برامج الفدية الخاصة بهم باستخدام أحدث وأرقى ما توصلت إليه تكنولوجيا البرامج الخبيثة مقابل رسوم شهرية منخفضة للغاية. ولكن، وعلى حين تستطيع المجموعة الأساسية التي قامت بتطوير البرامج وبيعها تحقيق أرباح جيدة بمشاركة هذه الأدوات، فإن "الشركاء" المتهورين (وهو الاسم الذي تُعرف به المجموعات الأخرى) تسببوا بلفت الأنظار إلى هذا القطاع بشكل عام.

قراصنة شركاء وغنائم موزعة

ويقول كيرك إن الهجمات الأخيرة ضد "أهداف معروفة" في الولايات المتحدة، مثل خط أنابيب كولونيال وشركة "دجيه بي إس فودز" (JBS Foods)، تم تنفيذها من قبل شركاء حصلوا على برامج الفدية من مجموعات ذات علامة تجارية مميزة. ولم يقتصر أثر هذه الهجمات على حدوث نقص علني في التوريد، بل أدت أيضاً إلى ضرب ما تُعتبر بنية تحتية حساسة على مستوى البلاد، كما أدت إلى وضع صناعة برامج الفدية بأكملها تحت أنظار أقوى أجهزة الأمن القومي في العالم، وأكسبت هذه المجموعات اهتماماً غير مسبوق من مؤسسات إنفاذ القانون الأميركية.

وتحت كل هذه الضغوط، بدأت العصابات تشهد تشويشاً متزايداً لعملياتها، وقد تبدأ بالصراع فيما بينها حول كيفية تقاسم الغنائم. ويحذر كلايتون قائلاً: "مع تراجع مستوى الانضباط في هذا القطاع بأسره، سنشهد المزيد من الأدلة على الصراعات الداخلية". وقد تنفصل الأطراف المستاءة متحولة إلى عناصر متفلّتة ومستقلة، والتي قد تقوم بمطالبة الضحايا بفدية أخرى بعد حصول الفريق الأساسي على الفدية، ما قد يقضي على هؤلاء الضحايا قبل التعافي من آثار الفدية الأولى.

اقرأ أيضاً: نظرة إلى إخفاقات تحقيقات الجرائم السيبرانية في مكتب التحقيقات الفدرالي، وروسيا، وأوكرانيا

إضافة إلى ذلك، فإن توافر أدوات برامج الفدية على نحو متزايد جعل دخول هذه اللعبة أكثر سهولاً بالنسبة للهواة الطامحين. ويقول كلايتون إن برامج الفدية أصبحت تُستَخدم من قبل "عصابات أصغر بكثير وأقل انضباطاً بكثير" منذ منتصف 2021، منجذبة إلى تزايد أرباح العصابات الكبيرة. ويقول كلايتون إن هذا يشبه "التطور الطبيعي" للشركات، حيث تمثل المؤسسات الرائدة –مثل "أبل" (Apple) و"مايكروسوفت" (Microsoft) و"فورد" (Ford)- مصدر إلهام للشركات الأصغر ذات الموارد الأقل حتى تزيد نشاطها لمحاكاة نجاح الشركات الكبيرة. ولكن المنافسة التي تمثل أمراً إيجابياً في عالم الشركات العادية، حيث تدفعها إلى تحسين جودة منتجاتها أو التخفيض من أسعارها للتميز عن الآخرين، قد لا تكون بهذه الإيجابية في عالم الجريمة السيبرانية.

يقول كلايتون: "مع دخول مجموعات أصغر أو أفراد معزولين بموارد وإمكانات فنية أقل في مجال برامج الفدية، سنشهد تركيزاً أعلى على الربح قصير الأمد، بدلاً من التركيز على التصور العام القائم على بناء الثقة". وعلى أي حال، وحتى لو بدا الحفاظ على سمعة جديرة بالثقة قيمةً مضافة بالنسبة للمجموعات الكبرى في مجال برامج الفدية، فإن فكرة الجريمة "النزيهة" ليست بذات أهمية بالنسبة للجميع. فقد يفضل الانتهازيون قصيرو النظر، والذين لا يكترثون باحتمال خسارة الأرباح في المستقبل، أن يأخذوا الفدية ويختفوا بدلاً من الحرص على إعادة شبكات الضحايا إلى وضعها السابق.

كما قد تستخدم برامج الفدية كوسيلة تضليل بدلاً من استخدامها كسلاح أساسي، وذلك لإشغال الضحايا والمحققين بعد إطلاق إنذارات التسلل، ما يتيح لهم الخروج من الشبكة بأمان في خضم الذعر والفوضى. وقد تكون هذه الطريقة جذابة على وجه الخصوص بالنسبة "للأعداء المتطورين ممن لديهم أهدافاً أكثر تعقيداً من مجرد ابتزاز الأموال"، كما يقول كلايتون.

وبصورة مشابهة، يقول كارماكال إنه "واثق" من أن التوجه للابتعاد عن تسريبات البيانات الفجائية "سيتغير في وقت لاحق هذه السنة" بسبب النزاعات ضمن عمليات برامج الفدية. وإذا كان محقاً، فهذا يعني أن الشركات وغيرها من الضحايا ستشهد تسريب بياناتها بغض النظر عن مدى تعاونها مع المجرمين، ما يعني أن بعض الضحايا سيتعرضون لضربتين بدلاً من واحدة.

وعلى حين يشير هذا إلى مستقبل أكثر فوضى وعشوائية بالنسبة لبرامج الفدية، بحيث تتحول إلى سيل دائم من عمليات السطو الفجائية بدلاً من عدد قليل من العمليات الهادئة والمدروسة بعناية، فقد يزداد عدد المجرمين الذين لا نية لديهم للالتزام بتعهداتهم. وربما، ومع تراجع الثقة بهذه المفاوضات، قد تتوقف الشركات الكبرى عن ضخ الأموال في عمليات برامج الفدية. ولكن الشركات التي لا تتابع أحدث تطورات الجرائم السيبرانية قد لا تجد أمامها أي خيار آخر سوى الرضوخ، واكتشاف خيانة الطرف الآخر وتجاهله لوعوده بعد انتهاء عملية الدفع.