شركات أمن المعلومات تستنفر لحل لغز هجمات الفدية الأخيرة وهذه نصائحها
28-06-2017, 07:00 PM


بدأت برمجية الفدية بيتيا Petya يوم أمس التأثير على عدة مؤسسات، منها جهات حكومية ومنها مؤسسات أخرى ذات وظائف حساسة، وقد انتشرت هذه البرمجية بصورة مشابهة لهجمات WanaCry التي اجتاحت العالم في شهر أيار/مايو الماضي.

وفي حين لا يزال العامل الذي يسبب الإصابة بهذه البرمجية الخبيثة غير واضح إلى الآن، فإن من المحتمل أنها تحاول الانتشار إلى الأنظمة الأخرى عبر بروتوكول SMB اعتمادًا على الثغرة الموجودة في أداة “إتيرنال بلو” EternalBlue في أنظمة مايكروسوفت ويندوز، إذ تم اكتشاف هذه الثغرة في شهر نيسان/أبريل من عام 2017 من قبل قراصنة يُطلق عليهم اسم “وسطاء الظل”، وقد اكتشفت شركة مايكروسوفت هذه الثغرة وقامت بإصلاحها في شهر آذار/مارس من عام 2017، إلا أن بعض المؤسسات لم تقم بتثبيت هذه التحديثات مما جعلها عرضة للهجمات التي تستغل هذه الثغرة.

وبمجرد أن تصيب هذه البرمجية إحدى الأنظمة فإنها تقوم بتشفير ملفات النظام الخاصة بالمستخدم وتطالبه بدفع فدية قيمتها 300 دولار لإعادة فتحها والوصول إليها.

وبهذه المناسبة، قال سكوت سيمكين، رئيس أول، قسم استقصاء التهديدات الأمنية والسحابية، بالو ألتو نتوركس، في بيان تلقت البوابة العربية للأخبار التقنية نسخة منه: “توفر شركة بالو ألتو نتووركس الحماية لعملائها من برمجية الفدية الجديدة عبر الجيل التالي من الحلول الأمنية التي تعتمد على مبدأ الوقاية من الهجمات والاختراقات وإيقافها بشكل آلي”.

وتنصح شركة بالو ألتو نتووركس مستخدمي أنظمة ويندوز بتثبيت آخر التحديثات الصادرة عن شركة مايكروسوفت لنظام التشغيل، وتحديث أنظمة التشغيل القديمة التي توقفت شركة مايكروسوفت عن توفير الدعم لها.

ومن جانبها، قالت شركة شركة “فاير آي” المتخصصة في الأمن السيبراني، في رسالة إلكترونية وصلت إلى البوابة العربية الأخبار التقنية إنها تواصل التحقيق في التقارير المتعلقة بنشاط التهديد الذي تنطوي عليه هذه الحوادث المدمرة.

واستنادًا إلى التحليل الأولي للشركة، فإن برمجية الفدية المستخدمة في هذه الحملة تحاكي برمجية “بيتيا” في بعض الطرق إذ تتطابق صفحة إعادة إقلاع “سجل الإقلاع الرئيسي” MBR. ومع ذلك، هناك بعض التغييرات الملحوظة لتشمل آلية الانتشار وتأخير ساعة لتشفير الملفات، التي قد يقصد بها السماح بانتشار الانتشار.

وقالت “فاير آي” إنها تعتقد أن أحد ناقلات العدوى المستخدمة في هذه الحملة هو برنامج M.E.Doc، والذي يقال إنه يُستخدم لأغراض المحاسبة الضريبية في أوكرانيا. بالإضافة إلى ذلك، تظهر الحمولات المرتبطة بالحملة سلوك الانتشار الذاتي.

وعلاوة على ذلك، فمن الممكن أن ناقلات العدوى الأولية الأخرى تشارك أيضًا. هذا النشاط يسلط الضوء على أهمية تأمين المنظمات أنظمتها في مواجهة ثغرة “إتيرنال بلو” والعدوى ببرمجية الفدية. وأضافت الشركة: “لقد اكتشفنا هذه الهجمات على المنظمات الموجودة في البلدان التالية: أستراليا والولايات المتحدة وبولندا وهولندا والنرويج وروسيا وأوكرانيا والهند والدنمارك وإسبانيا”.

أما بالنسبة لشركة كاسبرسكي لاب، التي تعد الأبرز في عالم الأمن السيبراني، فقد قالت في بيان حصلت البوابة العربية للأخبار التقنية على نسخة منه إن محلليها يحققون في الموجة الجديدة من هجمات الفدية التي تستهدف المنظمات في جميع أنحاء العالم. وذكرت الشركة الروسية أن نتائجها الأولية تشير إلى أنه ليس البرمجية الخبيثة ليست نسخة من “بيتيا” كما أُشيع أمس، ولكنها برمجية فدية جديدة لم تُرصد من قبل. وفي حين أن لديها عدة سلاسل مماثلة لبيتيا، إلا أنها تمتلك وظائف مختلفة تماًما. لذا أطلقت عليها كاسبرسكي اسم “إكسبيتر” ExPetr.

وتشير بيانات القياس عن بعد الخاصة بالشركة إلى إلى بلوغ عدد ضحايا البرمجية الخبيثة الجديدة إلى نحو 2000 مستخدم حتى الآن، مع كون مؤسسات في روسيا وأوكرانيا الأكثر تضررًا، وسجلت كاسبرسكي أيضًا ضربات في بولندا وإيطاليا والمملكة المتحدة وألمانيا وفرنسا والولايات المتحدة والعديد من البلدان الأخرى.

وأوضحت كاسبرسكي أن هذا هجوم معقد، وهو ينطوي على عدة قطاعات للاختراق. وأضاف: “يمكننا أن نؤكد أن نسخًا معدلةً من ثغرتي إترنال بلو و إترنال رومانس استُخدمت من قبل المجرمين للانتشار داخل شبكة الشركات”.

وكغيرها من الشركات الأمنية، تنصح كاسبرسكي جميع الشركات بتحديث أنظمة ويندوز: بما في ذلك نظامي ويندوز إكس بي وويندوز 7، كما تنصح بالتأكد من وجود نسخة احتياطية لأنظمتها.

وتعليقًا على الهجمات الجديدة أيضًا، قال تاج الخياط، مدير “إف5 نتوركس” في منطقة الخليج وشرق المتوسط وشمال أفريقيا: “تعتبر هجمات بيتيا الجديدة مثالًا عن التهديدات التي تحدث في العالم الحقيقي والتي تواجهها المؤسسات والحكومات والبلدان حول العالم. وتتزايد هذه الهجمات بصورة مستمر لتضرب الخدمات التي تؤثر على حياة الناس اليومية مثل خدمات الرعاية الصحية وخدمات البريد والنقل والمواصلات. وفي حين تطلب الجهة التي تقف خلف الهجمات الجديدة مبلغ 300 دولار لفك تشفير الملفات المصابة، إلا أن هذا المبلغ سيزداد بسرعة كبيرة، والجانب الأبرز في ذلك هو مدى تأثير هذه الهجمات على البنية التحية للبلدان، وعندما تنقشع السحابة التي أحدثتها هذه الهجمات ينبغي تحديد مصدرها ومعالجتها”.

وأضاف تاج: “سيزداد معدل الهجمات الرقمية مع التوجه نحو العالم الرقمي الجديد المرتبط بتقنية إنترنت الأشياء والأجهزة المتصلة بالإنترنت والذي يتم التركيز فيه على التطبيقات، وذلك بسبب الفرص الجديدة التي يوفرها العالم الجديد للمهاجمين للتسلل إلى البيانات واختراقها، مما يتطلب تركيزًا أكبر من المؤسسات على أمن التطبيقات والبيانات، فضلا عن تثقيف المستخدمين حول مسائل الأمن الإلكتروني”.
لا تأسفن على غدر الزمان لطالما رقصت على جثث الأسود كلاب لاتحسبن برقصها تعلو على أسيادها تبقى الأسود أسودا والكلاب كلاب تموت الأسود في الغابات جوعا ولحم الضأن تأكله الكلاب وذو جهل قد ينام على حرير وذو علم مفارشه التراب