هجمات فيروس الفدية تعود بقوة والحيرة تسيطر على شركات أمن المعلومات

تاريخ النشر: 04 يوليو 2017 - 07:13 GMT

أطلق باحثون من شركات متعددة اسم "بيتيا" Petya على برمجية انتزاع الفدية

ما زالت الشركات والحكومات تحاول جاهدة إصلاح الخلل واستعادة أنظمتها جراء هجمات الفدية السابقة التي عاش العالم معها في حيرة بعد تعرضهم لهجمات WannaCry، إلا أن مجرمي الإنترنت لم يتركوا لهم فرصة لالتقاط الأنفاس، حيث ضربت موجة جديدة من هجمات الفدية التي أطلق عليها اسم Petya عديدا من الشركات والحكومات في أوروبا.

وتأثرت خلال الأسبوع الماضي عدة مؤسسات وجهات حكومية ومؤسسات أخرى ذات وظائف حساسة على مستوى العالم، جراء انتشار برمجية Petya التي انتشرت بصورة مشابهة لهجمات WanaCry التي شلت معظم أجزاء العالم في شهر مايو الماضي، فبمجرد أن تصيب هذه البرمجية إحدى الأنظمة فإنها تقوم بتشفير ملفات النظام الخاصة بالمستخدم وتطالبه بدفع فدية قيمتها 300 دولار لإعادة فتحها والوصول إليها.

وباتت برمجيات انتزاع الفدية حديث الساعة أخيرا بعدما تمكنت فيروسات مثل “وانا كراي” و “بيتيا” من إحداث اضطرابات لم يسبق لها مثيل على مستوى العالم، وأصابت مئات الآلاف من الأجهزة.

من الأخطر «بيتيا» أم «واناكراي»؟

أطلق باحثون من شركات متعددة اسم "بيتيا" Petya على برمجية انتزاع الفدية، وهي برمجية خبيثة تجعل أجهزة الحاسب غير صالحة للتشغيل عن طريق تشفير محركات الأقراص الصلبة وتطالب بفدية في مقابل مفتاح رقمي لاستعادة الوصول دون التطرق إلى أي حلول أو إعلان عن طريقة التخلص منها.

ويقول ميكو هيبونين، رئيس قسم الأبحاث في شركة "إف- سيكيور" F-Secure: “إن هذه الهجمة مشابهة للهجمات التي اجتاحت العالم قبل شهرين، وظهرت التقارير الأولى عن الاضطراب في كل من روسيا وأوكرانيا، حيث تم وصف هذه الهجمات بأنها لم يسبق لها مثيل، وذلك لأن الفيروس دخل إلى أنظمة الحاسب عن طريق رسائل تصيد كتبت باللغتين الروسية والأوكرانية بهدف جذب الموظفين لفتحها.

وأصاب الهجوم الإلكتروني الضخم عبر فيروس بيتيا عديدا من الشركات الأوروبية بالشلل، وتأثرت عشرات الشركات في أوكرانيا وروسيا بالهجوم المشابه لما حدث خلال الأسابيع الأخيرة الماضية مع فيروس "واناكري" الذي استهدف أجهزة الكمبيوتر في أكثر من 150 بلدا، وذكرت تقارير أن "البنوك الأوكرانية وشركات الطاقة حتى مطار بوريسبيل في كييف تأثر بهجوم "بيتيا"، إضافة إلى شركات روسنيفت وباشنيفت الروسية للنفط".

شركات أمن المعلومات تقع في حيرة

وما زالت شركات أمن المعلومات واقعة في حيرة من أمرها جراء هذه الهجمات، حيث قال سكوت سيمكين، رئيس أول، قسم استقصاء التهديدات الأمنية والسحابية، بالو ألتو نتوركس، إن الشركة توفر الحماية لعملائها من برمجية الفدية الجديدة عبر الجيل التالي من الحلول الأمنية التي تعتمد على مبدأ الوقاية من الهجمات والاختراقات وإيقافها بشكل آلي، دون أي تفاصيل أخرى عن كيفية محاربة هذه الهجمات، إلا أن الشركة نصحت مستخدمي أنظمة ويندوز بتثبيت آخر التحديثات الصادرة عن شركة مايكروسوفت لنظام التشغيل، وتحديث أنظمة التشغيل القديمة التي توقفت شركة مايكروسوفت عن توفير الدعم لها.

كما قالت شركة “فاير آي” المتخصصة في الأمن السيبراني، إن برمجية الفدية المستخدمة في هذه الحملة تحاكي برمجية بيتيا في بعض الطرق إذ تتطابق صفحة إعادة تشغيل “سجل الإقلاع الرئيسي MBR. ومع ذلك، هناك بعض التغييرات الملحوظة لتشمل آلية الانتشار وتأخير ساعة لتشفير الملفات، التي قد يقصد بها السماح بالانتشار، وتعتقد أن هذا الانتشار تم عبر ناقلات العدوى المستخدمة في هذه الحملة هو برنامج M.E.Doc، الذي يقال إنه يستخدم لأغراض المحاسبة الضريبية في أوكرانيا، ومن الممكن أن ناقلات العدوى الأولية الأخرى تشارك أيضا، وهذا النشاط يسلط الضوء على أهمية تأمين المنظمات أنظمتها في مواجهة ثغرة “إتيرنال بلو” والعدوى ببرمجية الفدية، وأضافت الشركة: "لقد اكتشفنا هذه الهجمات على المنظمات الموجودة في البلدان التالية: أستراليا والولايات المتحدة وبولندا وهولندا والنرويج وروسيا وأوكرانيا والهند والدنمارك وإسبانيا".

ومن جهتها أشارت شركة كاسبرسكي لاب، إلى أنها تحقق في الموجة الجديدة من هجمات الفدية التي تستهدف المنظمات في جميع أنحاء العالم.

وذكرت الشركة الروسية أن نتائجها الأولية تشير إلى أنه ليس البرمجية الخبيثة ليست نسخة من “بيتيا” كما أشيع أمس، ولكنها برمجية فدية جديدة لم ترصد من قبل. وفي حين أن لديها عدة سلاسل مماثلة لـ"بيتيا"، إلا أنها تمتلك وظائف مختلفة تماما، حيث تشير بيانات القياس عن بعد الخاصة بالشركة إلى بلوغ عدد ضحايا البرمجية الخبيثة الجديدة إلى نحو 2000 مستخدم حتى الآن، مع كون مؤسسات في روسيا وأوكرانيا الأكثر تضررا، وسجلت كاسبرسكي أيضا ضربات في بولندا وإيطاليا والمملكة المتحدة وألمانيا وفرنسا والولايات المتحدة وعديد من البلدان الأخرى.

وأكدت أن هذا الهجوم يعد هجوما معقدا ينطوي على عدة قطاعات للاختراق، وكغيرها من الشركات الأمنية، تنصح كاسبرسكي جميع الشركات بتحديث أنظمة ويندوز بما في ذلك نظامي ويندوز إكس بي وويندوز 7، كما تنصح بالتأكد من وجود نسخة احتياطية لأنظمتها.

أما شركة إف5 نتوركس لأمن المعلومات فقد أكدت أن هجمات "بيتيا" الجديدة مثالا عن التهديدات التي تحدث في العالم الحقيقي التي تواجهها المؤسسات والحكومات والبلدان حول العالم. وتتزايد هذه الهجمات بصورة مستمرة لتضرب الخدمات التي تؤثر في حياة الناس اليومية مثل خدمات الرعاية الصحية وخدمات البريد والنقل والمواصلات. وفي حين تطلب الجهة التي تقف خلف الهجمات الجديدة مبلغ 300 دولار لفك تشفير الملفات المصابة، إلا أن هذا المبلغ سيزداد بسرعة كبيرة، والجانب الأبرز في ذلك هو مدى تأثير هذه الهجمات على البنية التحتية للبلدان، وعندما تنقشع السحابة التي أحدثتها هذه الهجمات ينبغي تحديد مصدرها ومعالجتها، وسيزداد معدل الهجمات الرقمية مع التوجه نحو العالم الرقمي الجديد المرتبط بتقنية إنترنت الأشياء والأجهزة المتصلة بالإنترنت الذي يتم التركيز فيه على التطبيقات، وذلك بسبب الفرص الجديدة التي يوفرها العالم الجديد للمهاجمين للتسلل إلى البيانات واختراقها، ما يتطلب تركيزا أكبر من المؤسسات على أمن التطبيقات والبيانات، فضلا عن تثقيف المستخدمين حول مسائل الأمن الإلكتروني.

هجمات «الفدية» ونظام ويندوز
تعمل شركة مايكروسوفت أولا بأول على إجراء بعض التغييرات المهمة المتعلقة بالأمن على نظام التشغيل ويندوز 10 مع التحديث الكبير القادم الذي يتوقع إصداره لعموم المستخدمين خلال خريف العام الحالي.

تعمل الآن "مايكروسوفت" على إجراء تغييرات عديدة ومهمة تتعلق بالأمن والحماية على نظام ويندوز 10 التي ستتوفر في التحديث القادم Fall Creators Update، الذي من المنتظر أن يصل في سبتمبر المقبل.

حيث تحاول الشركة من خلال التحديث الجديد محاربة الخطر الإلكتروني الذي انتشر أخيرا من أوساط برمجيات دفع الفدية الخبيثة ransomware مثل wannacry وpetya .

ويمكن الآن لمختبري ويندوز 10 الوصول إلى معاينة التغييرات المضافة التي تتضمن ميزة جديدة للتحكم في الوصول إلى الملفات والمجلدات على جهاز الزائر وهي controlled folder access، التي صممت للسماح فقط لتطبيقات محددة للوصول للمجلدات وقراءة أو كتابة أو إنشاء أي شيء داخلها، وفي حال تم تفعيلها، فإن القائمة الافتراضية تمنع التطبيقات من الوصول إلى سطح المكتب والصور والأفلام ومجلدات المستندات.

تلك الميزة الحديثة تراقب التغييرات التي تجريها التطبيقات على الملفات في مجلدات محمية معينة، فإذا كان البرنامج يحاول إجراء تغيير على تلك الملفات، يتم إدراج البرنامج فورا في القائمة السوداء، وسوف ينــال الزائر على إشعار بشأن تلك المحاولة.

يذكر أن "مايكروسوفت" قامت أيضا بتضمين برنامج "ويندوز ديفندر" في ويندوز 10 بميزة الحماية من الاختراق، ما يساعد على منع الفيروسات والبرامج الضارة من استغلال نقاط الضعف في المقام الأول.

وقد تم تصميم تلك الميزة الحديثة لحماية الملفات من الفيروسات وبرامج ransomware الخبيثة من غلق وإتلاف مجلدات معينة، كذلك على الناحية الأخرى تضيف "مايكروسوفت" أيضا مزيدا من التحسينات الأمنية في برنامج Windows Defender في ويندوز 10، ما يساعد على منع الفيروسات والبرامج الضارة من استغلال نقاط ضعف النظام في المقام الأول.

تقنيات جديدة لخداع قراصنة الإنترنت
لم يعد أسلوب الدفاع والحماية وحده أمرا مجديا لحماية الشركات والحكومات من الهجمات الإلكترونية، خاصة هجمات الفدية، حيث استحدثت شركات أمن المعلومات منهجا جديدا يقوم على خداع المهاجمين والحماية في وقت واحد، فقد أعلنت شركة "أتيفو نيتويركس" العاملة في مجال ابتكار تقنيات الخداع للكشف عن تهديدات أمن الإنترنت، تقنية ThreatDefendPlatform التي تم تصميمها لخداع وتضليل المهاجمين الأكثر دهاء، وأولئك الذين يتوقعون مواجهة دفاعية قائمة على تقنيات الخداع، حيث يرتقي الحل الجديد بأساليب الكشف عن التهديدات القائمة على الخداع التقني، ويوفر أفضل استجابة في الحالات الأمنية مدعومة بقدرات دفاعية قابلة للتنفيذ لمواجهة التهديدات في الشبكة.

ووفقا لنتائج دراسة أجرتها "ماركت آند ريسيرج"، فإنه من المتوقع أن يصل حجم سوق تكنولوجيا الخداع العالمي إلى 2.12 مليار دولار بحلول نهاية عام 2021، ويلعب الجيل المقبل من تقنية الخداع دورا في تطوير مستوى تضليل المهاجمين إلى أبعد من نطاق المحاكاة البسيطة والأفخاخ التضليلية المنخفضة إلى متوسطة المستوى.

وقال راي كافيتي نائب الرئيس لمنطقة الشرق الأوسط وتركيا وإفريقيا في "أتيفو نيتويركس"، إن الشركات فيما مضى كانت تعتمد على تقنيات صممت بهدف منع المهاجمين في المحيط الخارجي قبل الاختراق، وليس لمقاومة المهاجمين الممولين جيدا والأكثر تطورا الذين يمكنهم الاستمرار لفترات طويلة بعد تمكنهم من اختراق الشبكة، ولذلك يحتاج العملاء إلى اتباع نهج دفاعي جديد مدعوم بخصائص مشاهدة تتيح رؤية مسارات الهجوم المكشوفة، والكفاءة في تتبع التهديدات والاستجابة لها ببساطة وسهولة.