يقدم موقع VietNamNet مقالاً للسيد داو ترونغ ثانه، خبير الأمن السيبراني ونائب مدير معهد Blockchain and AI، لفهم الهجوم السيبراني على شركة VNDidirect Securities ومخاطر برامج الفدية.
أصبحت برامج الفدية، وهي نوع من البرمجيات الخبيثة التي تُشفّر البيانات على نظام الضحية وتطالب بفدية لفك تشفيرها، من أخطر تهديدات الأمن السيبراني في العالم اليوم. الصورة: zephyr_p/Fotolia

قضية VNDirect وما الذي يجعل برامج الفدية خطيرة؟

في 24 مارس 2024، أصبحت شركة VNDirect للأوراق المالية في فيتنام أحدث بؤرة لهجمات برامج الفدية الدولية. ولم تكن هذه الهجمة حالة معزولة.

أصبحت برامج الفدية، وهي نوع من البرمجيات الخبيثة المصممة لتشفير البيانات على نظام الضحية وطلب فدية لفك تشفيرها، من أكثر تهديدات الأمن السيبراني انتشارًا وخطورة في العالم اليوم. إن الاعتماد المتزايد على البيانات الرقمية وتكنولوجيا المعلومات في جميع مجالات الحياة الاجتماعية يجعل المؤسسات والأفراد عرضة لهذه الهجمات.

لا يكمن خطر برامج الفدية في قدرتها على تشفير البيانات فحسب، بل أيضًا في طريقة انتشارها وطلبها للفدية، مما يُنشئ قناة معاملات مالية يُتيح للمخترقين تحقيق أرباح غير مشروعة. إن تعقيد هجمات برامج الفدية وعدم القدرة على التنبؤ بها يجعلها أحد أكبر التحديات التي تواجه الأمن السيبراني اليوم.

يُذكرنا هجوم VNDirect بأهمية فهم برامج الفدية والوقاية منها. ففهم آلية عمل برامج الفدية والتهديد الذي تُشكله هو السبيل الوحيد لوضع تدابير حماية فعّالة، بدءًا من تثقيف المستخدمين وتطبيق الحلول التقنية وصولًا إلى وضع استراتيجية وقائية شاملة لحماية البيانات وأنظمة المعلومات الحيوية.

كيف تعمل برامج الفدية

تُعدّ برامج الفدية تهديدًا مُرعبًا في عالم الأمن السيبراني، وتعمل بطريقة مُعقدة ومتعددة الجوانب، مُسببةً عواقب وخيمة على الضحايا. لفهم آلية عمل برامج الفدية بشكل أفضل، علينا التعمق في كل خطوة من خطوات عملية الهجوم.

عدوى

يبدأ الهجوم عندما يُصيب برنامج الفدية النظام. هناك عدة طرق شائعة لاختراق نظام الضحية، منها:

رسائل التصيد الاحتيالي: رسائل بريد إلكتروني مزيفة تحتوي على مرفقات ضارة أو روابط لمواقع ويب تحتوي على تعليمات برمجية ضارة؛ استغلال الثغرات الأمنية: الاستفادة من الثغرات الأمنية في البرامج غير المرقعة لتثبيت برامج الفدية تلقائيًا دون تفاعل المستخدم؛ الإعلانات الضارة: استخدام إعلانات الإنترنت لتوزيع البرامج الضارة؛ التنزيلات من مواقع الويب الضارة: يقوم المستخدمون بتنزيل البرامج أو المحتوى من مواقع الويب غير الموثوق بها.

التشفير

بمجرد الإصابة، يبدأ برنامج الفدية عملية تشفير البيانات على نظام الضحية. التشفير هو عملية تحويل البيانات إلى صيغة لا يمكن قراءتها بدون مفتاح فك التشفير. غالبًا ما يستخدم برنامج الفدية خوارزميات تشفير قوية، مما يضمن عدم إمكانية استرداد البيانات المشفرة بدون المفتاح المحدد.

طلب فدية

بعد تشفير البيانات، يعرض برنامج الفدية رسالة على شاشة الضحية، يطالب فيها بفدية لفك تشفيرها. عادةً ما تتضمن هذه الرسالة تعليمات حول كيفية الدفع (عادةً عبر بيتكوين أو عملات رقمية أخرى لإخفاء هوية المجرم)، بالإضافة إلى موعد نهائي للدفع. كما تهدد بعض إصدارات برامج الفدية بحذف البيانات أو نشرها في حال عدم دفع الفدية.

المعاملات وفك التشفير (أو لا)

يواجه الضحية بعد ذلك خيارًا صعبًا: إما دفع الفدية على أمل استعادة بياناته، أو رفضها وفقدانها للأبد. مع ذلك، لا يضمن الدفع فك تشفير البيانات، بل قد يشجع المجرمين على مواصلة أفعالهم.

لا تُظهر طريقة عمل برامج الفدية تعقيدًا تقنيًا فحسب، بل تُظهر أيضًا حقيقةً مُحزنة: الاستعداد لاستغلال سذاجة المستخدمين وجهلهم. وهذا يُؤكد أهمية تعزيز الوعي والمعرفة بالأمن السيبراني، بدءًا من التعرّف على رسائل التصيّد الإلكتروني وصولًا إلى تحديث برامج الأمان. مع تهديدٍ مُتطوّر باستمرار مثل برامج الفدية، أصبح التثقيف والوقاية أكثر أهميةً من أي وقت مضى.

المتغيرات الشائعة لبرامج الفدية

في عالم تهديدات برامج الفدية المتطور باستمرار، تتميز بعض أنواعها بتطورها وقدرتها على الانتشار وتأثيرها الخطير على المؤسسات حول العالم. فيما يلي وصف لسبعة أنواع شائعة وكيفية عملها.

REvil (المعروف أيضًا باسم Sodinokibi)

الميزات: REvil هو أحد أشكال برامج الفدية كخدمة (RaaS)، مما يسمح لمجرمي الإنترنت باستئجاره لتنفيذ هجماتهم. هذا يزيد بشكل كبير من قدرة برامج الفدية على الانتشار وعدد ضحاياها.

طرق الانتشار: الانتشار عبر الثغرات الأمنية، ورسائل التصيد الاحتيالي، وأدوات الهجوم عن بُعد. يستخدم REvil أيضًا أساليب هجوم لتشفير البيانات أو سرقتها تلقائيًا.

ريوك

الميزات: يستهدف ريوك بشكل رئيسي المؤسسات الكبيرة لزيادة مدفوعات الفدية. يتميز بقدرته على تخصيص نفسه لكل هجوم، مما يصعّب اكتشافه وإزالته.

طريقة الانتشار: من خلال رسائل التصيد الاحتيالي والشبكات المصابة ببرامج ضارة أخرى، مثل Trickbot وEmotet، يقوم Ryuk بنشر بيانات الشبكة وتشفيرها.

روبن هود

المميزات: يُعرف Robinhood بقدرته على مهاجمة الأنظمة الحكومية والمؤسسات الكبيرة، باستخدام تكتيك تشفير متطور لقفل الملفات والمطالبة بفدية كبيرة.

طريقة الانتشار: تنتشر من خلال حملات التصيد الاحتيالي بالإضافة إلى استغلال الثغرات الأمنية في البرامج.

دافع مزدوج

الميزات: DoppelPaymer هو برنامج مستقل لبرامج الفدية لديه القدرة على التسبب في أضرار جسيمة عن طريق تشفير البيانات والتهديد بنشر المعلومات إذا لم يتم دفع فدية.

طريقة الانتشار: يتم الانتشار عبر أدوات الهجوم عن بعد ورسائل التصيد الاحتيالي عبر البريد الإلكتروني، وخاصة استهداف الثغرات الأمنية في البرامج غير المرقعة.

الثعبان (المعروف أيضًا باسم EKANS)

الميزات: صُمم SNAKE لمهاجمة أنظمة التحكم الصناعي (ICS). فهو لا يشفر البيانات فحسب، بل يُعطل العمليات الصناعية أيضًا.

طريقة الانتشار: من خلال حملات التصيد والاستغلال، مع التركيز على استهداف أنظمة صناعية محددة.

فوبوس

الميزات: يتشابه Phobos كثيرًا مع Dharma، وهو نوع آخر من أنواع برامج الفدية، ويُستخدم غالبًا لمهاجمة الشركات الصغيرة عبر RDP (بروتوكول سطح المكتب البعيد).

طريقة الانتشار: في المقام الأول من خلال RDP المكشوف أو الضعيف، مما يسمح للمهاجمين بالوصول عن بعد ونشر برامج الفدية.

لوك بت

LockBit هو نوع شائع آخر من برامج الفدية، يعمل وفق نموذج برامج الفدية كخدمة (RaaS)، وهو معروف بهجماته على الشركات والمؤسسات الحكومية. ينفذ LockBit هجماته على ثلاث مراحل رئيسية: استغلال الثغرات الأمنية، والاختراق العميق للنظام، ونشر حمولة التشفير.

المرحلة 1 - الاستغلال: يستغل LockBit نقاط الضعف في الشبكة باستخدام تقنيات مثل الهندسة الاجتماعية، مثل رسائل البريد الإلكتروني الاحتيالية، أو هجمات القوة الغاشمة على خوادم الشبكة الداخلية وأنظمة الشبكات.

المرحلة 2 - التسلل: بعد التسلل، يستخدم LockBit أداة "ما بعد الاستغلال" لزيادة مستوى الوصول وإعداد النظام للهجوم التشفيري.

المرحلة 3 - النشر: يقوم LockBit بنشر الحمولة المشفرة على كل جهاز يمكن الوصول إليه في الشبكة، وتشفير جميع ملفات النظام وترك مذكرة فدية.

تستخدم LockBit أيضًا عددًا من الأدوات المجانية ومفتوحة المصدر في عملية الاختراق، بدءًا من ماسحات الشبكات ووصولًا إلى برامج الإدارة عن بُعد، وذلك لاستطلاع الشبكة، والوصول عن بُعد، وسرقة بيانات الاعتماد، واستخراج البيانات. في بعض الحالات، تهدد LockBit بنشر بيانات الضحية الشخصية إذا لم تُلبَّ مطالب الفدية.

بفضل تعقيده وقدرته على الانتشار على نطاق واسع، يُمثل LockBit أحد أكبر التهديدات في عالم برامج الفدية الحديثة. لذا، يتعين على المؤسسات اعتماد مجموعة شاملة من التدابير الأمنية لحماية نفسها من هذا البرنامج ومشتقاته.

داو ترونغ ثانه

الدرس الثاني: من هجوم VNDirect إلى استراتيجية مكافحة برامج الفدية