هجمات الفدية التهديد الإلكتروني الأبرز

مؤشر الثلاثاء ٠٧/أغسطس/٢٠١٨ ٠٢:٣٨ ص

دبي -

تعدّ هجمات طلب الفدية من أبرز التهديدات التي تواجه الأمن الإلكتروني في الوقت الحالي، وقد كشفت أبحاث مستفيضة أجرتها شركة سوفوس عن معلومات وفيرة تتعلق ببرمجيات طلب الفدية «سام سام» التي أوقعت عدداً من الضحايا يفوق العدد المتوقع سابقاً، فيما ارتفعت مطالبها من الفدية بشكل ضخم لتناهز 6 ملايين دولار.

وتنتشر معظم برمجيات طلب الفدية عبر حملات واسعة وغير مركّزة من البريد الإغراقي الذي يرسل إلى آلاف المستخدمين – بل حتى مئات الآلاف منهم، إذ يستخدمون وسائل بسيطة للإيقاع بالضحايا بهدف الحصول على الأموال عبر عدد كبير من مبالغ الفدية الصغيرة نسبياً، والتي قد لا تتجاوز بضع مئات من الدولارات لكل حالة.
إلا أن ما يميّز «سام سام» عن غيرها من برمجيات طلب الفدية هو استخدامها للهجمات المركّزة التي يشنّها فريق أو شخص متمرّس يقتحم شبكة الضحية ويعمل على مراقبتها قبل أن يشغّل البرمجيات الخبيثة بشكل يدوي.

وصممت الهجمات بحيث تحقق أكبر قدر من الضرر لطلب فدية تصل إلى عشرات آلاف الدولارات. ومن المفاجئ أن أسلوب الهجمة يدوي ويعتمد على التخفي والعمل بهدوء بدلاً من الاقتحام والهرب.

ونتيجة لذلك، يستطيع المعالج تطبيق التدابير المضادة عند الحاجة نظراً لأن طريقته تسمح بتفادي العديد من الأدوات الأمنية كذلك. وفي حال مقاطعة عملية ترميز البيانات، فإن البرمجيات الخبيثة تقوم بمسح كافة آثارها ذاتياً لإعاقة التحقيق بالأمر.
يشار إلى أن «سام سام» أداة ترميز تتسم بالدقة والشمول، تسبب تعطّلا بملفات بيانات العمل إلى جانب أية برامج غير ضرورية لتشغيل جهاز حاسوب يعمل بنظام ويندوز – حيث إن معظم تلك البرامج لا تخضع للنسخ الاحتياطي بشكل مستمر.
ويتطلب التعافي إعادة تخيل البرمجيات أو إعادة تثبيتها من جديد فضلاً عن استعادة النسخ الاحتياطية. ويتسم المهاجم بحرفية عالية في تغطية آثار حركته ويبدو أنه يشعر بالارتياب المتزايد مع مرور الوقت – إذ يضيف مزيداً من الخصائص الأمنية إلى أدواته ومواقعه الإلكترونية باستمرار.
وظهرت برمجيات طلب الفدية «سام سام» لأول مرة في ديسمبر 2015، فيما تحدث بعض الضحايا عن هجمة واسعة الانتشار لبرمجيات طلب الفدية أثّرت بشكل كبير على عمليات بعض المؤسسات الكبرى ومنها المستشفيات والمدن والمدارس، واستغرق الحصول على تفاصيل الهجمة وقتاً بسبب الاهتمام الكبير الذي أولاه المهاجم (المهاجمون) لإخفاء أساليبهم ومسح أية أدلة تكشف عنهم.
ووجد العديد من الضحايا أنهم لا يستطيعون التعافي بالشكل الكافي أو بالسرعة المناسبة لضمان استمرارية الأعمال لوحدهم، فدفعوا الفدية بعد تردد.
وعبر تتبع عناوين عملة بتكوين المقدّمة في مذكرات الفدية وعينات الملفات، ومن خلال العمل مع شركة نيوترينو، حسبت سوفوس أن «سام سام» حقق للجهة التي ابتكرته أكثر من 5.9 مليون دولار منذ أواخر العام 2015.
وبينت سوفوس أن 74% من الضحايا المعروفين موجودين في الولايات المتحدة الأمريكية، ومن المناطق الأخرى التي شهدت تلك الهجمات كندا والمملكة المتحدة والشرق الأوسط. وتلقى مهاجم «سام سام» دفعات الفدية بمبالغ وصلت إلى 64,000 دولار بناء على تحليل دفعات الفدية إلى محفظة بتكوين التي خضعت للتتبع، وعلى عكس معظم برمجيات طلب الفدية، لا يقتصر «سام سام» على ترميز ملفات الوثائق والصور والبيانات الشخصية أو بيانات العمل الأخرى وحسب، بل يستهدف أيضاً ملفات التهيئة وملفات البيانات المطلوبة لتشغيل التطبيقات (مثل مايكروسوفت أوفيس).
ولن يتمكن الضحايا ممن تقوم استراتيجيتهم للنسخ الاحتياطي على حماية ملفات ووثائق المستخدم ومن استعادة الجهاز دون تخيّله بالكامل أولاً، ويظهر كل هجوم إحراز التقدم في مستوى تعقيد البرمجيات وازدياد الوعي بكيفية تجنب التدابير الأمنية.
ومن الملاحظ ان التكلفة التي تكبدّها الضحايا في طلبات الفدية ارتفعت ارتفاعاً هائلاً، كما أن وتيرة الهجمات لا تظهر أي إشارات على التباطؤ.
وتقدّر سوفوس بأن مهاجم «سام سام» حقق متوسطاً يقترب من 300,000 دولار شهرياً عام 2018، ومن متابعة دفعات بتكوين إلى عناوين المحافظ التي يعرف بأن المهاجم يمتلكها، وجدت سوفوس أن أرباح «سام سام» تتجاوز 5.9 مليون دولار أمريكي، فيما كانت أكبر فدية منفردة حصل عليها المهاجم 64,478 دولاراً (عند الدفع).
ويتم الدفع من قبل الضحايا بعملة بتكوين من خلال «موقع الدفع» المصمم خصيصاً لذلك في الشبكة المظلمة، وبعنوان فريد لكل منظمة تقع ضحية للمهاجم، ويسمح موقع الدفع لمهاجم «سام سام» بالتفاعل مباشرة مع الضحايا الذين يستخدمون واجهة تشبه المنتديات للتواصل.
وتتباين مبالغ الفدية تبايناً واسعاً حسب المؤسسة، إلا أن المبلغ شهد ارتفاعاً متواصلاً طوال فترة نشاط الهجمات، وبعد استلام الدفعة الكاملة يقوم مهاجم «سام سام» بنقل العملة المشفرة إلى نظام للخلط يهدف إلى مزج مصدر بتكوين مع تعاملات صغيرة أخرى لإخفائها.

ويعترف الخبراء بعدم وجود حل سحري للأمن، ويعدّ وجود نموذج من الأمن الطبقيّ هو الوسيلة الأمثل، فهناك عدة نقاط من التدابير الأمنية الأساسية الكفيلة بإيقاف مهاجم «سام سام».

وتوصي سوفوس بتطبيق الممارسات الأمنية الأربعة، وهي: حظر الوصول إلى المنفذ 3389 عبر تمكين الموظفين الذين يستخدمون بوابات VPN فقط من الوصول إلى النظام عن بعد، واستخدام طرق التحقق متعددة العناصر للوصول، ومن ثم المسح الكامل والدوري للثغرات واختبارات الدخول عبر الشبكة. قم بذلك فوراً إذا لم تكن أجريت الاختبارات مؤخراً، وثالثا التحقق متعدد العناصر للأنظمة الداخلية الحساسة، حتى للموظفين على شبكات LAN أو VPN، وأخيرا إعداد النسخ الاحتياطية غير المتصلة بالإنترنت وفي خارج الموقع، وتطوير خطة لتعافي النظام تتضمن استعادة البيانات والنظم بأكملها.
كما توصي سوفوس بممارسات أمنية إضافية، من بينها طبقات الأمن التي تحظر المهاجمين من جميع نقاط الدخول وتمنعهم من الوصول بعد دخول الشبكة، والرقع الأمنية التي تتسم بالصراحة والتقصّي، والأمن المتخصص حسب الخوادم مع قدرات القفل والحماية من الاستغلال، وبخاصة في النظم التي لم تخضع للترقيع الأمني، والأمن الذي يعمل على تزامن ومشاركة المعلومات الاستقصائية لتفعيل القفل، وأمن النقاط النهائية والخوادم مع الحماية من سرقة معلومات الدخول، وكلمات المرور الفريدة التي يصعب اختراقها مع التحقق متعدد العناصر، وتحسين سياسات كلمة المرور عبر تشجيع المستخدمين على استعمال برامج آمنة لإدارة كلمة المرور مع إطالة كلمة المرور وعدم تكرار استخدامها في عدة حسابات – كيف تختار كلمة المرور المناسبة، فضلا عن التقييم الدوري باستخدام الأدوات مثل Censys أو Shodan لتحديد الخدمات المتاحة بشكل عام والمنافذ في مساحات عنوان بروتوكول الإنترنت، ومن ثم إغلاقها، وتحسين ضوابط الوصول إلى الحسابات بتفعيل السياسات الذكية لتأمين الحسابات غير المستخدمة بشكل دائم، قفل الحسابات تلقائياً وتنبيه فريق تقنية المعلومات بعد عدد من محاولات تسجيل الدخول الفاشلة.