يشهد قطاع تجارة التجزئة تصاعداً ملحوظاً في هجمات برامج الفدية الموجهة، بالتزامن مع بدء موسم التسوق في العطلات. يسعى المهاجمون لاستغلال فترات الذروة البيعية لزيادة الضغط على الشركات للدفع، مستهدفين شبكات نقاط البيع وأنظمة التجارة الإلكترونية البينية. هذا التركيز المتزايد على برامج الفدية يضع الشركات أمام تحديات أمنية كبيرة.
تستهدف الحملات الحالية بشكل أساسي أنظمة نقاط البيع، والواجهات الخلفية للتجارة الإلكترونية، والأنظمة الداعمة لتكنولوجيا المعلومات التي تعالج الطلبات وبيانات الولاء وسير عمل الدفع. تأتي هذه الهجمات في وقت حرج للشركات التي تعتمد على مبيعات موسم العطلات لتحقيق إيرادات كبيرة.
برامج الفدية تهدد قطاع التجزئة خلال موسم العطلات
يستخدم المهاجمون مزيجاً من رسائل البريد الإلكتروني التصيدية، وإشعارات الشحن الوهمية، والإعلانات الخبيثة التي تعيد توجيه المستخدمين إلى مجموعات استغلال. تهدف هذه الأساليب إلى اختراق الأنظمة بسرعة وفعالية.
ما إن ينقر الضحية على رابط أو ملف، تبدأ سلسلة الهجوم بسرعة من أول نقطة دخول إلى الاختراق الكامل للنطاق. الهدف هو نشر برامج تشفير الملفات وأدوات سحب البيانات في عملية واحدة منسقة، وغالباً ما تتم في غضون ساعات قليلة من الوصول الأولي.
كشف محللو الأمن في مورفيسيك عن أن البرامج الضارة تندرج ضمن مجموعة أدوات متعددة المراحل مصممة للدخول الخفي، وسرقة بيانات الاعتماد، والتحرك الجانبي السريع داخل بيئات البيع بالتجزئة. يشير تحليل بياناتهم إلى أن الجهات الفاعلة الخبيثة تقوم بضبط البرامج التحميلية والنصوص البرمجية لتمتزج مع أدوات الدعم الفني عن بعد التي يستخدمها موظفو المتاجر والمستودعات.
آلية العدوى وتسليم الحمولة
تعتمد الحملة على برنامج تحميل خفيف الوزن يبدأ في الظهور عبر مرفقات خبيثة أو تنزيل نص برمجي. يقوم هذا البرنامج بتحميل الحمولة الرئيسية من خادم يتحكم فيه المهاجم عبر بروتوكول HTTPS، باستخدام أسماء نطاقات تحاكي مزودي الخدمات السحابية الشائعة.
لجعل عملية الكشف أكثر صعوبة، يقوم البرنامج بتشغيل الإجراءات الرئيسية عبر أوامر PowerShell مشفرة، مثل:
powershell.exe -w hidden -enc <base64_payload> -ExecutionPolicy Bypass.
ينتشر البرنامج الضار عبر شبكات المتاجر، مستخدماً مسارات المسؤول الموجودة للوصول إلى خوادم الدفع والمخزون قبل تفعيل مكون برامج الفدية النهائي. هذا التحول نحو الدفاع الاستباقي يغير معادلة الأمان، ويحمي بيانات العملاء، واستمرارية العمليات، ونتائج الأعمال قبل أن تتمكن التهديدات من الترسخ.
ويؤدي هذا الهجوم المنسق إلى عواقب وخيمة، تشمل تشفير أنظمة المخزون، وتعطيل أجهزة نقاط البيع، وتقييد الوصول إلى منصات الطلبات عبر الإنترنت، مما قد يوقف كلاً من المبيعات الحضورية والرقمية. بالإضافة إلى ذلك، يواجه العديد من الضحايا سرقة البيانات، بما في ذلك سجلات العملاء وخطط التسعير أو الترقيات الداخلية، مما يزيد من خطر الابتزاز المزدوج والغرامات التنظيمية.