ما هي برمجيات الفدية الخبيثة Ransomware؟
هناك العديد من أنواع البرمجيات الخبيثة التي تنتشر في كل مكان، أحدها برمجيات الفدية الخبيثة. برمجيات الفدية الخبيثة هي برمجيات خبيثة تقوم بتشفير جميع الملفات الموجودة على محطات العمل والخوادم الخاصة بك. وبدون الوصول إلى ملفاتك، يصبح عملك في خبر كان.
لاستعادة إمكانية الوصول، يجب عليك دفع فدية للحصول على مفتاح فك التشفير الرقمي. إنه هجوم إلكتروني مدمر يمكن أن يهدد استمرارية عملك.
كيف تؤثر برمجيات الفدية الخبيثة على أنظمتك
يمكن أن تصل برمجيات الفدية الخبيثة إلى حاسوبك باستخدام أحد الأساليب الشائعة.
- تنزيل الموسيقى والأفلام بطريقة غير قانونية. غالباً ما تكون التنزيلات مزودة ببرمجيات خبيثة.
- رسائل البريد الإلكتروني الاحتيالية. رسائل البريد الإلكتروني الاحتيالية التي تحاول استدراج الضحية لزيارة موقع إلكتروني احتيالي أو لفتح مرفق خبيث مصاب.
- استغلال نقاط الضعف في المحيط الخارجي. على سبيل المثال، بروتوكول سطح المكتب البعيد (RDP) هو تقنية تسمح للموظفين بالوصول إلى مرافق تكنولوجيا المعلومات في المكتب عندما يكونون إما في المنزل أو على الطريق. تم اكتشاف نقاط ضعف في تطبيق RDP في الماضي. وقد تم استغلال هذه الثغرات على النحو الواجب واستخدامها لنشر برمجيات الفدية الخبيثة.
حجم المشكلة
استغلال ثغرات RDP هو أحد الأساليب التي تستخدمها برمجية الفدية الخبيثة NotPetya. ربما يكون NotPetya هو المثال الأكثر ضررًا على مستوى العالم من برمجيات الفدية الخبيثة حتى الآن. ففي عام 2017 كان هذا الفيروس يعطل الشركات في جميع أنحاء العالم، من الشركات الصغيرة والمتوسطة إلى الشركات العملاقة.
- P. Moeller-Maersk هي أكبر مشغل لسفن الحاويات وسفن الإمداد في العالم. ولديها مصالح أخرى، مثل إدارة سلسلة الإمداد وتشغيل الموانئ والتنقيب عن النفط. ولكن في 27 يونيو 2017، وعلى مدار أربع ساعات تقريبًا، فقدت الشركة قدرتها التشغيلية في 130 دولة. لم تدفع ميرسك الفدية. فقد كان لديها احتياطيات تمكنها من طرح أجهزة كمبيوتر محمولة وأجهزة كمبيوتر وخوادم وأنظمة هاتفية جديدة تعتمد على بروتوكول الإنترنت وإعادة بناء أنظمتها.
كان الثمن النهائي أكثر من 300 مليون جنيه إسترليني.
فقدت شركة Norsk Hydro عمليًا كل قدرتها على تصنيع الألومنيوم بسبب إصابة برنامج الفدية LockerGogo. وقد رفضت هي الأخرى دفع الفدية وانتهى بها الأمر بدفع فاتورة تزيد عن 40 مليون دولار. كما أصيبت شركة مونديليز الإسبانية العملاقة للأغذية أيضاً بفيروس NotPetya في عام 2017 وتكبدت خسائر وأضراراً بقيمة 100 مليون دولار.
تجدر الإشارة إلى أن التأمين السيبراني مصمم لتغطية تكاليف التعامل مع الحوادث الأمنية، مثل استقدام فرق متخصصة في التعامل مع الحوادث، واستبدال الأجهزة، وتطهير الأنظمة المخترقة، والتعامل مع وسائل الإعلام، وتشغيل الخطوط الساخنة لأصحاب البيانات المتضررة. وهي لا تغطي عادةً الأضرار الناجمة عن خسارة التداول.
وكما اكتشفت مونديليز أنه إذا تم تصنيف الحادث على أنه “حرب إلكترونية“، يمكن لشركات التأمين أن تستند إلى إعفاء “عمل حربي” ولا تدفع أي شيء على الإطلاق. قامت كل من المملكة المتحدة والولايات المتحدة وأستراليا وكندا بفحص الشيفرة المصدرية لفيروس NotPetya ونسبته إلى المديرية الرئيسية لهيئة الأركان العامة للقوات المسلحة للاتحاد الروسي (GU)، وهي جهاز الاستخبارات العسكرية للاتحاد الروسي.
هؤلاء هم الضحايا الكبار الذين يستحقون العناوين الرئيسية. كان هناك أعداد لا حصر لها من الشركات الصغيرة والمتوسطة والمؤسسات الصغيرة والكيانات المؤسسية التي تأثرت بفيروس NotPetya. وهذه مجرد سلالة واحدة من برمجيات الفدية الخبيثة.
كانت برمجية الفدية الخبيثة KeRanger أول برمجية مصممة خصيصًا لمهاجمة أجهزة ماك. تم إصداره في عام 2016. الأجهزة المحمولة والهواتف المحمولة معرضة للخطر أيضًا. تقوم برمجية الفدية بإغلاق الجهاز تمامًا ولن تسمح لك بالدخول مرة أخرى حتى يتم دفع الفدية.
معظم الإصابات في الهواتف المحمولة هي نتيجة تثبيت تطبيقات خبيثة.
ماذا تفعل برمجيات الفدية الخبيثة؟
تتسبب جميع برمجيات الفدية الخبيثة في حدوث مشكلة (أو تحاكيها) وتطالب بالدفع لإزالة المشكلة. وكما هو الحال مع جميع البرمجيات الخبيثة، هناك مستويات مختلفة من التعقيد التي تظهرها هذه الفئة من البرمجيات الخبيثة.
ما هي أنواع برمجيات الفدية الخبيثة؟
برمجيات التخويف
مع البرمجيات التخويفية scareware، تنبثق رسالة تُخبرك بوجود مشكلة ما في حاسوبك، أو أنه مصاب أو أن المخترقين قد اخترقوا حاسوبك. يتم إخبارك أنه لتصحيح المشكلة، يجب عليك دفع فدية وإذا قمت بذلك، سيتم تطهير الكمبيوتر وسيتركك المخترقون وشأنك. أحياناً تتنكر هذه الرسائل على أنها حزم دعم تقنية المعلومات أو الدعم الفني، أو حتى دعم مايكروسوفت.
لا تتأثر ملفاتك بهذا النوع من الهجمات. إذا أمكن تطهير الكمبيوتر لإزالة الرسالة المنبثقة، فسيعود إلى العمل بشكل طبيعي.
قفل الشاشة
يضع هذا النوع من الهجمات نافذة بملء الشاشة لا يمكنك تجاوزها ولا يمكنك إغلاقها. والرسالة التي تعرضها عبارة عن مجموعة متنوعة من بعض السمات الشائعة.
– لقد تمت إصابتك بفيروس الفدية، ادفع الفدية. واضح وبسيط.
– لقد اكتشف مكتب التحقيقات الفيدرالي أو وكالة أخرى لإنفاذ القانون تنزيلات غير قانونية أو برامج مقرصنة أو مواد إباحية إجرامية وما إلى ذلك على جهاز الكمبيوتر الخاص بك. ادفع الغرامة لاستعادة جهازك إلى حالة صالحة للعمل. وبالطبع، إذا كان أي من هذه الأمور صحيحاً فسيتم اتباع الإجراءات القانونية الواجبة، وستتلقى طرقاً على الباب – وليس رسالة على حاسوبك المحمول.
برمجيات الفدية الخبيثة للتشفير
هذه هي الصفقة الحقيقية. إنها تشفر ملفاتك بالفعل. وغالباً ما تبقى في شبكتك لأسابيع قبل تشغيلها للتأكد من أنها أصابت أكبر عدد ممكن من أجهزة الكمبيوتر. إنهم ينتظرون حتى يقوم الموظفون المتنقلون على الأرجح بزيارة المكتب الرئيسي حتى يمكن إصابة أجهزة الكمبيوتر المحمولة الخاصة بهم أيضًا. ومن خلال الانتظار على هذا النحو، ستكون برمجيات الفدية الخبيثة قد أُدرجت في النسخ الاحتياطية الخاصة بك.
إذا قررت إعادة بناء أنظمتك بدلاً من دفع الفدية، فستستعيد الإصابة مع بياناتك. سيتم تشغيله مرة أخرى في غضون أسابيع قليلة.
أحد أساليب التحكم الشائعة هو أن تقوم برمجية الفدية الخبيثة بجمع المعلومات وإرسالها إلى خوادم القيادة والتحكم. وتكمن المعلومات الاستخباراتية في هذه الخوادم. برمجية الفدية نفسها غبية جداً. فهو يقوم بإرسال التقارير إلى القاعدة، ويتلقى تعليمات جديدة من البرنامج الآلي على الخادم، ويتصرف بناءً على تلك التعليمات. تتكرر هذه الدورة.
ومع ذلك، كانت هناك بعض الحالات القليلة التي لم يكن فيها الذكاء عن بُعد خادم قيادة وتحكم، بل كان إنسانًا. بتوجيه البرمجية الخبيثة كطائرة بدون طيار عن بُعد، حرصت الجهة المُهدِّدة على مدى أسابيع على إصابة جميع البنية التحتية لتكنولوجيا المعلومات والنسخ الاحتياطية المحلية والنسخ الاحتياطية خارج الموقع قبل أن تقوم بتفعيل التشفير.
من هي الأهداف الشائعة لبرمجيات الفدية الخبيثة؟
بعض الهجمات مستهدفة، والبعض الآخر عبارة عن هجمات عشوائية من رسائل البريد الإلكتروني التصيدية التي يتم إرسالها إلى ملايين عناوين البريد الإلكتروني لإصابة أكبر عدد ممكن من الضحايا.
- تم استهداف هجمات 2019 على الخدمات الأساسية لمدن مثل بالتيمور بولاية ماريلاند وريفيرا بيتش بولاية فلوريدا وويلمر بولاية تكساس ونيو بيدفورد بولاية ماساتشوستس الأمريكية، وتم استهدافها وبحثها وتصميمها لتكون مؤثرة قدر الإمكان.
- وكثيراً ما يتم استهداف المستشفيات لأنه في ظل وجود أرواح على المحك، يجب استعادة الأنظمة بأسرع وقت ممكن. غالبًا ما يتم دفع الفدية من قبل المستشفيات.
- القطاع الآخر المستهدف عادةً هو القطاع المالي، وذلك ببساطة لأن لديهم الأموال اللازمة لدفع فديات هائلة.
ومع ذلك، فإن معظم الهجمات تضرب الضحايا الذين لا تعرف الجهات المُهدِّدة بوجودهم – حتى يتم تفعيل برمجيات الفدية الخبيثة.
كيفية حماية نفسك من برمجيات الفدية الخبيثة
هذه الخطوات هي أفضل ممارسات الأمن السيبراني وينبغي اعتمادها واتباعها كقاعدة.
- حافظ على جميع أنظمة تشغيل محطات العمل والكمبيوتر المحمول والخوادم لديك مصححة ومحدثة. هذا يقلل من عدد الثغرات الأمنية التي تحتويها أنظمتك. كلما قل عدد نقاط الضعف قلّت الثغرات المحتملة.
- لا تستخدم الامتيازات الإدارية لأي شيء آخر غير الإدارة. لا تمنح البرامج والعمليات امتيازات إدارية أيضاً.
- قم بتثبيت برنامج حماية نقطة النهاية المُدار مركزيًا، والذي يتضمن وظائف مكافحة الفيروسات والبرمجيات الخبيثة، وحافظ على تحديثه باستمرار. تأكد من عدم قدرة المستخدمين على رفض تحديثات التوقيع أو تأجيلها.
- قم بعمل نسخ احتياطية متكررة على وسائط مختلفة، بما في ذلك النسخ الاحتياطية خارج الموقع. هذا لن يمنع الإصابة، لكنه سيساعد في التعافي. اختبار النسخ الاحتياطية بانتظام.
- ضع خطة للتعافي من الكوارث، واحصل على موافقة كبار المسؤولين، ونفّذ كل ما يمكنك تنفيذه لزيادة قدرة شركتك على العمل في حال تعرضت لهجوم.
- ضع سياسة للتعامل مع الحوادث السيبرانية وتدرب عليها.
- وفّر تدريباً للتوعية الإلكترونية لموظفيك. إذا عثروا على شريحة ذاكرة مجهولة الهوية في موقف السيارات في وقت الغداء، فهل سيقومون بتوصيلها بأحد أجهزة الكمبيوتر الخاصة بك بعد الغداء مباشرة؟ هل سيعرفون عدم فتح مرفقات البريد الإلكتروني غير المرغوب فيها؟ هل يعملون بجدية وحذر، وهل تعملون على تعزيز ثقافة التفكير الأمني؟
هل يجب عليك دفع الفدية؟
تنصحك معظم وكالات إنفاذ القانون والوكالات الحكومية المعنية بالأمن السيبراني بعدم دفع الفدية وتحثك على الإبلاغ عن الهجوم. فدفع الفدية يعني تشجيع الجهات التخريبية على مواصلة هجماتها. وتقول النظرية إنه إذا لم يدفع لهم أحد، فإن برامج الفدية ستكون عديمة الجدوى وستختفي.
في خضم هذه اللحظة، عندما تحاول الموازنة بين تكلفة الفدية مقابل التكاليف المرتبطة بعدم دفع الفدية، يكون القرار صعباً. عليك أن تفكر في السعر الإجمالي لتطهير أو استبدال المعدات، وإعادة بناء واستعادة أنظمة خطوط الأعمال الخاصة بك، وخسارة الإيرادات أثناء قيامك بذلك.
قليل من المؤسسات لديها النفوذ المالي الذي يمكنها من مواجهة الهجوم كما فعلت شركة ميرسك.
في بعض الأحيان يكون الخوف – والتكلفة – من الضرر الذي يلحق بالسمعة هو ما يدفع الشركات إلى دفع الفدية. فهم يرغبون في حماية مكانتهم في أعين العملاء والسوق الأوسع نطاقًا من خلال إرجاع التوقف القصير إلى بعض المشكلات الفنية.
تجدر الإشارة إلى أن هناك حالات تم فيها دفع الفدية، ولكن الأمر استغرق أكثر من شهر لتسليم المفتاح إلى الضحية. لا توجد طريقة مجدية لإخفاء ذلك.
من الصعب وضع رقم محدد، ولكن التقديرات تشير إلى أن 65% من هجمات الفدية لا يتم الإبلاغ عنها، ويتم دفع الفدية. وقد شوهدت فديات تزيد عن 5 ملايين دولار، ولكن في جميع الحالات تقريباً، يتم دفع فديات أقل بكثير. وهذا يجعلها في متناول الشركات الصغيرة والمتوسطة وأرخص من التكاليف المرتبطة بعدم دفع الفدية.
حتى أن بعض برمجيات الفدية الخبيثة تكون على دراية جغرافية وتضبط سعرها وفقًا لاقتصاد بلد الضحية.
والسؤال الكبير هو، هل تستعيد بياناتك؟
تشير التقديرات إلى أنه في 65 إلى 70% من الحالات، يتم فك تشفير البيانات بنجاح. وفي بعض الأحيان لا تكون إجراءات فك التشفير قد تمت كتابتها حتى – حيث يأخذ القائمون على التهديد المال ويهربون. أنت تتعامل مع مجرمين في النهاية. لكن هذا النوع من برمجيات الفدية الخبيثة له عمر افتراضي قصير.
فبمجرد انتشار خبر أنك لن تستعيد بياناتك، لن يدفع أحد الفدية. لذا فمن المنطقي اقتصاديًا أن تقوم الجهات التخريبية بفك تشفير ملفات الضحية كلما أمكنها ذلك.
في بعض الأحيان لا تعمل إجراءات فك التشفير ببساطة. جميع البرمجيات عرضة للأخطاء. تكرس الجهات التخريبية وقتًا وجهدًا أكبر في تطوير إجراءات الإصابة والنسخ المتماثل والتشفير أكثر من إجراءات فك التشفير. قد يكونون قد قصدوا أن تعمل، لكنها لا تعمل في بعض الأحيان.
من السهل أن تتحلى بالأخلاق العالية وتقول لا تدفع، ولكن من السهل أن تكون في خضم مشكلة قد تؤدي إلى انهيار عملك ولا تغريك الطريقة “السهلة” للخروج من هذه المشكلة.
وكما يقول المثل، أنا لست طبيباً، لكنني أعرف أن الوقاية خير من العلاج.