يقدم موقع VietNamNet مقالاً للسيد داو ترونغ ثانه، خبير الأمن السيبراني ونائب مدير معهد Blockchain and AI، لفهم الهجوم السيبراني على شركة VNDidirect Securities ومخاطر برامج الفدية بشكل أفضل.
أصبحت برامج الفدية، وهي نوع من البرمجيات الخبيثة التي تقوم بتشفير البيانات على نظام الضحية وتطلب فدية لفك تشفيرها، واحدة من أخطر التهديدات للأمن السيبراني في العالم اليوم. الصورة: zephyr_p/Fotolia

قضية VNDirect وما الذي يجعل برامج الفدية خطيرة؟

في 24 مارس 2024، أصبحت شركة VNDirect Securities في فيتنام أحدث بؤرة على خريطة هجمات برامج الفدية الدولية. هذا الهجوم ليس حالة معزولة.

أصبحت برامج الفدية، وهي نوع من البرمجيات الخبيثة المصممة لتشفير البيانات على نظام الضحية والمطالبة بفدية لفك تشفيرها، واحدة من أكثر تهديدات الأمن السيبراني انتشارًا وخطورة في العالم اليوم. إن الاعتماد المتزايد على البيانات الرقمية وتكنولوجيا المعلومات في جميع مجالات الحياة الاجتماعية يجعل المنظمات والأفراد عرضة لهذه الهجمات.

لا يكمن خطر برامج الفدية في قدرتها على تشفير البيانات فحسب، بل أيضًا في الطريقة التي تنتشر بها وتطالب بفدية، مما يخلق قناة معاملات مالية يمكن من خلالها للقراصنة تحقيق أرباح غير قانونية. إن تعقيد هجمات برامج الفدية وعدم القدرة على التنبؤ بها يجعلها واحدة من أكبر التحديات التي تواجه الأمن السيبراني اليوم.

إن الهجوم على VNDirect هو تذكير صارخ بأهمية فهم برامج الفدية والحماية منها. لا يمكننا وضع تدابير حماية فعالة إلا من خلال فهم كيفية عمل برامج الفدية والتهديدات التي تشكلها، بدءاً من تثقيف المستخدمين وتطبيق الحلول التقنية إلى بناء استراتيجية وقائية شاملة لحماية البيانات الهامة وأنظمة المعلومات.

كيف تعمل برامج الفدية

تعتبر برامج الفدية تهديدًا مرعبًا في عالم الأمن السيبراني، حيث تعمل بطريقة معقدة ومتنوعة، مما يتسبب في عواقب وخيمة على الضحايا. لفهم كيفية عمل برامج الفدية بشكل أفضل، نحتاج إلى التعمق في كل خطوة من خطوات عملية الهجوم.

عدوى

يبدأ الهجوم عندما يصيب برنامج الفدية النظام. هناك عدة طرق شائعة يستخدمها برنامج الفدية للتسلل إلى نظام الضحية، بما في ذلك:

رسائل البريد الإلكتروني الاحتيالية: رسائل البريد الإلكتروني المزيفة التي تحتوي على مرفقات ملفات ضارة أو روابط لمواقع الويب التي تحتوي على تعليمات برمجية ضارة؛ استغلال الثغرات الأمنية: الاستفادة من الثغرات الأمنية في البرامج غير المرقعة لتثبيت برامج الفدية تلقائيًا دون تفاعل المستخدم؛ الإعلانات الخبيثة: استخدام الإعلانات عبر الإنترنت لتوزيع التعليمات البرمجية الضارة؛ التنزيلات من مواقع الويب الضارة: يقوم المستخدمون بتنزيل البرامج أو المحتوى من مواقع الويب غير الموثوق بها.

التشفير

بمجرد الإصابة، يبدأ برنامج الفدية عملية تشفير البيانات على نظام الضحية. التشفير هو عملية تحويل البيانات إلى تنسيق لا يمكن قراءته بدون مفتاح فك التشفير. غالبًا ما تستخدم برامج الفدية خوارزميات تشفير قوية، مما يضمن عدم إمكانية استرداد البيانات المشفرة بدون مفتاح محدد.

طلب فدية

بعد تشفير البيانات، يعرض برنامج الفدية رسالة على شاشة الضحية، يطالب فيها بفدية لفك تشفير البيانات. يحتوي الإشعار عادة على تعليمات حول كيفية الدفع (عادةً عبر Bitcoin أو العملات المشفرة الأخرى لإخفاء هوية المجرم)، بالإضافة إلى الموعد النهائي للدفع. وتهدد بعض إصدارات برامج الفدية أيضًا بحذف البيانات أو نشرها إذا لم يتم دفع فدية.

المعاملات وفك التشفير (أو عدمه)

ويواجه الضحية بعد ذلك قرارًا صعبًا: إما دفع الفدية على أمل استعادة البيانات، أو الرفض وفقدان البيانات إلى الأبد. ومع ذلك، فإن الدفع لا يضمن فك تشفير البيانات. وفي الواقع، قد يشجع هذا المجرمين على مواصلة أفعالهم.

إن الطريقة التي تعمل بها برامج الفدية لا تُظهر مدى التطور التقني فحسب، بل تعكس أيضًا حقيقة حزينة: الاستعداد لاستغلال سذاجة المستخدمين وجهلهم. ويسلط هذا الضوء على أهمية رفع مستوى الوعي والمعرفة حول الأمن السيبراني، بدءًا من التعرف على رسائل البريد الإلكتروني الاحتيالية وحتى الحفاظ على برامج الأمان المحدثة. في مواجهة تهديد متطور باستمرار مثل برامج الفدية، أصبح التعليم والوقاية أكثر أهمية من أي وقت مضى.

المتغيرات الشائعة لبرامج الفدية

في عالم تهديدات برامج الفدية، تبرز بعض المتغيرات بسبب تعقيدها وقدرتها على الانتشار وتأثيرها الشديد على المنظمات على مستوى العالم. فيما يلي وصف لسبعة اختلافات شائعة وكيفية عملها.

ريفيل (المعروف أيضًا باسم سودينوكيبي)

الميزات: REvil هو أحد أشكال Ransomware-as-a-Service (RaaS)، مما يسمح لمجرمي الإنترنت "باستئجاره" لتنفيذ هجماتهم الخاصة. ويؤدي هذا إلى زيادة انتشار وعدد ضحايا هذا البرنامج الخبيث بشكل كبير.

طريقة الانتشار: التوزيع من خلال الثغرات الأمنية، ورسائل البريد الإلكتروني الاحتيالية، وأدوات الهجوم عن بعد. يستخدم REvil أيضًا أساليب هجومية لتشفير البيانات أو سرقتها تلقائيًا.

ريوك

الخصائص: يستهدف Ryuk بشكل أساسي المنظمات الكبيرة لتحقيق أقصى قدر من الفدية. لديه القدرة على تخصيص نفسه لكل هجوم، مما يجعل من الصعب اكتشافه وإزالته.

طريقة الانتشار: من خلال رسائل البريد الإلكتروني الاحتيالية والشبكات المصابة ببرامج ضارة أخرى، مثل Trickbot و Emotet، يقوم Ryuk بنشر وتشفير بيانات الشبكة.

روبن هود

المميزات: تشتهر Robinhood بقدرتها على مهاجمة الأنظمة الحكومية والمؤسسات الكبيرة، باستخدام تكتيك تشفير متطور لقفل الملفات والمطالبة بفدية كبيرة.

طريقة الانتشار: تنتشر من خلال حملات التصيد الاحتيالي بالإضافة إلى استغلال الثغرات الأمنية في البرامج.

الدفع المزدوج

الميزات: DoppelPaymer هو نوع مستقل من برامج الفدية لديه القدرة على التسبب في أضرار جسيمة عن طريق تشفير البيانات والتهديد بالإفراج عن المعلومات إذا لم يتم دفع فدية.

طريقة الانتشار: يتم الانتشار عبر أدوات الهجوم عن بعد ورسائل التصيد الاحتيالي، وخاصة استهداف الثغرات الأمنية في البرامج غير المرقعة.

الثعبان (المعروف أيضًا باسم EKANS)

المميزات: تم تصميم SNAKE لمهاجمة أنظمة التحكم الصناعية (ICS). لا يقوم فقط بتشفير البيانات، بل يمكنه أيضًا تعطيل العمليات الصناعية.

طريقة الانتشار: من خلال حملات التصيد والاستغلال، مع التركيز على استهداف أنظمة صناعية محددة.

فوبوس

الميزات: يتشابه Phobos كثيرًا مع Dharma، وهو نوع آخر من أنواع برامج الفدية، ويُستخدم غالبًا لمهاجمة الشركات الصغيرة عبر RDP (بروتوكول سطح المكتب البعيد).

طريقة الانتشار: في المقام الأول عبر RDP المكشوف أو الضعيف، مما يسمح للمهاجمين بالوصول عن بعد ونشر برامج الفدية.

لوك بت

LockBit هو نوع آخر شائع من برامج الفدية، ويعمل بموجب نموذج Ransomware-as-a-Service (RaaS)، وهو معروف بهجماته على الشركات والمؤسسات الحكومية. تنفذ LockBit هجماتها على ثلاث مراحل رئيسية: استغلال الثغرات الأمنية، والتغلغل عميقًا في النظام، ونشر الحمولات المشفرة.

المرحلة 1 - الاستغلال: يستغل LockBit الثغرات الأمنية في الشبكة باستخدام تقنيات مثل الهندسة الاجتماعية، مثل رسائل البريد الإلكتروني الاحتيالية، أو هجمات القوة الغاشمة على خوادم الشبكة الداخلية وأنظمة الشبكات.

المرحلة 2 - التسلل: بعد التسلل، يستخدم LockBit أداة "ما بعد الاستغلال" لزيادة مستوى الوصول وإعداد النظام للهجوم التشفيري.

المرحلة 3 - النشر: يقوم LockBit بنشر الحمولة المشفرة على كل جهاز يمكن الوصول إليه في الشبكة، وتشفير جميع ملفات النظام وترك مذكرة فدية.

وتستخدم LockBit أيضًا عددًا من الأدوات المجانية والمفتوحة المصدر أثناء عملية التطفل، بدءًا من ماسحات الشبكة إلى برامج الإدارة عن بُعد، لإجراء استطلاع الشبكة والوصول عن بُعد وسرقة بيانات الاعتماد واستخراج البيانات. وفي بعض الحالات، تهدد LockBit أيضًا بنشر البيانات الشخصية للضحايا إذا لم يتم تلبية طلبات الفدية.

بفضل تعقيده وانتشاره الواسع، يمثل LockBit أحد أكبر التهديدات في عالم برامج الفدية الحديث. تحتاج المؤسسات إلى اعتماد مجموعة شاملة من التدابير الأمنية لحماية نفسها من هذا البرنامج الخبيث وغيره من الفيروسات.

داو ترونغ ثانه

الجزء 2: من هجوم VNDirect إلى استراتيجية مكافحة برامج الفدية