فيروس الفدية: المهاجم الأخطر للمؤسسات في العصر الرقمي

تبذل المؤسسات كل جهودها اليوم في تعزيز الأمن السيبراني لأهميته العظمي في حماية المؤسسة وأنظمتها وبياناتها الحساسة أمام هجمات المخترقين والمتطفلين والتي تصبح يوماً بعد يوم أكثر تعقيداً، حيث تتنوع أساليب هؤلاء وتتطور بشل متسارع وخطير، وتعد الفيروسات أحد أهم الأشكال المعروفة التي تعمل على مهاجمة الأنظمة والحواسيب وتخريب محتوياتها، ومع ظهور علم التشفير والذي يعد سلاحاّ ذو حدين كما أوردنا في مقالنا أهمية تشفير البيانات في تعزيز الأمن السيبراني، فقد تطورت نتيجته أنواع الفيروسات بشكل مخيف ليظهر فيروس الفدية Ransomware والذي يعد المهاجم الأخطر للمؤسسات، والذي يظهر بأنواع وأشكال مختلفة وجديدة كل يوم.

خطورة فيروس الفدية Ransomware

إذاً ما هو السبب وراء كل هذه التحذيرات وراء فيروس الفدية Ransomware ؟ ولماذا أصبح بين عشية وضحاها المؤرق الأول للمؤسسات بمختلف أنواعها؟

لو ألقينا عدستنا على الهجمات السيبرانية التي واجهتها المؤسسات هذا العام- 2021-  ونظرنا في تقرير يستعرض الإحصائيات حول هجمات فيروس الفدية Ransomware ، سنجد أن 1097 مؤسسة قد تعرضت لهجمات برامج الفدية في النصف الأول من عام 2021، في المقابل، أوضحت الإحصائيات أنه في  عام 2020 وعلى مدار العام بالكامل تعرضت  1112 مؤسسة مختلفة لهجومات برامج الفدية.كما يشير التقرير بأن عدد ضحايا برامج الفدية قد نما بنسبة 100٪ تقريبًا، وكانت 60٪ من تلك الهجمات منفذة بواسطة ثلاث مجموعات فقط من برامج الفدية – Conti و Avaddon و Revil.في مايو 2020، أفاد Sophos أن متوسط ​​التكلفة العالمية لإصلاح هجوم برامج الفدية (مع الأخذ في الاعتبار وقت التعطل ووقت الأشخاص وتكلفة الجهاز وتكلفة الشبكة والفرص الضائعة والفدية المدفوعة) كان 761106 دولارًا.فبالنظر للأرقام أعلاه نجد أن عدد المؤسسات التي تتعرض لهجمات برامج الفدية يزداد بشكل مخيف كل عام، بالإضافة لنتائج هذه الهجمات على الأعمال والتي تتضمن:

• فقدان مؤقت أو دائم للمعلومات الحساسة أو الخاصة
• تعطيل العمليات المنتظمة
• الخسائر المالية المتكبدة لاستعادة الأنظمة والملفات
• ضرر محتمل لسمعة المنظمة.

ومن هنا نستنتج مدى خطورة هذه البرمجيات، فلا بد للمؤسسات اليوم أن تقرع نواقيس الخطر والتجهز للتصدي لفيروس الفدية، فتبقى الوقاية دوماً خير من قنطار علاج.

تعريف برامج الفدية

ما هي برامج الفدية؟ وكيف يمكننا تعريفها؟

برامج الفدية هي نوع من البرامج الضارة من علم الفيروسات المشفرة والتي تهدد بنشر البيانات الشخصية للضحية أو تمنع الوصول إليها بشكل دائم ما لم يتم دفع فدية.تستخدم برامج الفدية الخبيثة الأكثر تقدمًا تقنية تسمى الابتزاز الفيروسي المشفر والذي يقوم بتشفير ملفات الضحية، مما يجعل الوصول إليها غير ممكناً، ويطالب الضحية بدفع فدية لفك تشفير ملفاته.

هل يمكن استرداد الملفات المشفرة والكشف عن الجناة؟

إن عملية استرداد الملفات المشفرة بدون مفتاح فك التشفير الذي يملكه المسؤول عن الهجوم تعد مهمة صعبة وقد تكون مستحيلة بحال كانت لاحقة الملف ونوعه جديد، كما أنه من الصعب تتبع العملات الرقمية مثل paysafecard أو Bitcoin وغيرها من العملات المشفرة التي يستخدمها المهاجم لتلقي الفدية، مما يجعل تعقب الجناة ومقاضاتهم أمرًا صعبًا.

كيف تحصل عملية التشفير بواسطة فيروس الفدية؟

لنتعرف أولاً على نشأة مفهوم برامج الفدية

تم اختراع مفهوم تشفير الملفات Ransomware وتنفيذه بواسطة Moti Yungفي جامعة كولومبيا وتم تقديمه في مؤتمر IEEE Security & Privacy 1996. ، حيث أطلق عليه اسم ابتزاز الفيروسات المشفرة(Cryptoviral extortion) وهو مستوحى من الفيلم الخيالي. Alien

ما هو ابتزاز الفيروسات المشفرة (Cryptoviral extortion)؟

ابتزاز الفيروسات المشفرة هو البروتوكول الثلاثي التالي الذي يتم تنفيذه بين المهاجم والضحية.

1. [المهاجم ← الضحية] ينشئ المهاجم زوج مفاتيح ويضع المفتاح العام المقابل في البرنامج الضار ليتم بعدها إطلاق البرمجيات الخبيثة في جهاز الضحية
2. [الضحية ← المهاجم] إن تنفيذ هجوم ابتزاز الفيروسات المشفرة يمر بالخطوات التالية:

• ينشئ البرنامج الضار مفتاحًا عشوائيًا متماثلًا ويقوم بتشفير بيانات الضحية معه.
• يستخدم المفتاح العام في البرنامج الضار لتشفير المفتاح المتماثل وهذا ما يُعرف باسم التشفير الهجين وينتج عنه نص مشفر صغير غير متماثل بالإضافة إلى النص المشفر المتماثل لبيانات الضحية.
• يتم تصفير المفتاح المتماثل وبيانات النص الأصلي لمنع الاسترداد.
• يترك البرنامج رسالة إلى المستخدم تتضمن النص المشفر غير المتماثل وكيفية دفع الفدية.
• بحال استجابة الضحية والرغبة بدفع الفدية: ترسل الضحية النص المشفر غير المتماثل والأموال الإلكترونية إلى المهاجم.

بعد استجابة الضحية وإرسال الفدية:

     3. [المهاجم ← الضحية] بعد أن يتلقى المهاجم الفدية التي طلبها من الضحية.

• يفك المهاجم شفرة النص المشفر غير المتماثل باستخدام المفتاح الخاص للمهاجم.
• يرسل المهاجم المفتاح المتماثل إلى الضحية.
• تقوم الضحية بفك تشفير البيانات المشفرة باستخدام المفتاح المتماثل الذي أرسله المهاجم وتسترد الملفات المشفرة.

                        ملاحظة: يتم إنشاء المفتاح المتماثل عشوائيًا ولن يساعد الضحايا الآخرين بفك تشفير ملفاتهم.

كيف يتم تنفيذ هجوم برامج الفدية؟

عادة ما يتم تنفيذ هجمات برامج الفدية باستخدام حصان طروادة.على سبيل المثال: قد يصل للضحية مرفق ضار أو ارتباط مضمن في رسالة بريد إلكتروني للتصيد الاحتيالي أو من خلال ثغرة أمنية في خدمة الشبكة. يقوم البرنامج بعد ذلك بتشغيل حمولة Payloads، والتي تقفل النظام بطريقة ما، أو تدّعي انها قامت بقفل النظام ولكنها لا تفعل ذلك حقيقة. على سبيل المثال: برنامج Scareware قد تعرض الحمولات المشغلة منه تحذيرًا مزيفًا يوحي للضحية أن التحذير تم إرساله من قِبل كيان قانوني، يدعي التحذير كذبًا أن نظام الضحية قد تم استخدامه لأنشطة غير قانونية، أو أنه يحتوي مواد إباحية أو وسائط “مقرصنة”.

ماذا نقصد بالحمولات Payloads؟

هي عبارة عن تطبيق مصمم لإجراء قفل للنظام أو تقييده حتى تتم عملية دفع الفدية من قبل الضحية، عادةً يعمل على ضبط  Windows Shell على نفسه، أو يعمل على تعديل سجل التمهيد الرئيسي master boot record  أو جدول التقسيم partition table  لمنع نظام التشغيل من العمل حتى يتم إصلاحه، كما تعمل الحمولات على تشفير ملفات الضحية، بطريقة لا يمكن إلا لصانع البرنامج الضار فك تشفيرها لامتلاكه مفتاح التشفير.

ما هو الهدف وراء برامج الفدية؟ وهل دفع الفدية هو طريقة صحيحة لاستعادة الملفات؟

بالتأكيد فإن الحصول على الأموال والفدية المطلوبة هو الهدف الأول لمجرمي برامج الفدية، فبعد تشفير ملفات الضحايا يتم عرض تعليمات لهم حول كيفية دفع رسوم للحصول على مفتاح فك التشفير، ويمكن أن تتراوح التكاليف من بضع مئات من الدولارات إلى آلاف الدولارات، وتكون عملية الدفع غالباً بعملة البيتكوين.الرسائل التي تظهر للضحايا تطلب منهم الدفع مقابل إزالة برنامج الفدية إما عن طريق توفير برنامج يمكنه فك تشفير الملفات، أو عن طريق إرسال رمز إلغاء القفل الذي يلغي تغييرات الحمولة.

دفع الفدية لا يضمن استعادة البيانات

من المهم معرفة انه لا يوجد أي ضمان بأن المهاجم سيمنح الضحية مفتاح فك التشفير الذي يساعده على استعادة ملفاته بعد قيامه بدفع الفدية، على الرغم أنه من مصلحة المهاجم أن يقوم بفك التشفير كما هو متفق عليه، لأن الضحايا سيتوقفون عن إرسال المدفوعات إذا أصبح معروفًا أن الاستجابة لدفع الفدية لن تعيد ملفاتهم.وفقًا لتقرير Sophos State of Ransomware 2021، ارتفع عدد المنظمات التي قررت دفع فدية إلى 32٪ في عام 2021 مقارنة بـ 26٪ في العام الماضي, وقد كشف الاستطلاع العالمي أن 8٪ فقط من تلك المنظمات استعادت جميع بياناتها على الرغم من دفع الفدية، في حين أن ما يقرب من الثلث 29٪ من المنظمات، لم تتمكن من استعادة أكثر من نصف البيانات المشفرة.

أنواع برامج الفدية

سنستعرض الآن لائحة من أهم أنواع برامج الفدية التي قد تصادفها وهي كالآتي:

1. Crypto Ransomware أو برامج التشفير: يقوم هذا النوع بتشفير الملفات والبيانات داخل النظام، مما يجعل الوصول إلى المحتوى غير ممكن بدون مفتاح فك التشفير.
2. Lockers: تمنعك تمامًا من الوصول إلى نظامك، وبالتالي لن تتمكن من الوصول إلى ملفاتك وتطبيقاتك، ستعرض شاشة القفل رسالة طلب الفدية، وفي بعض الأحيان تظهر أيضاً ساعة تعمل على العد التنازلي لزيادة الإلحاح على الضحايا لدفع الفدية بشكل سريع.
3. : Scareware هو برنامج مزيف يظهر لك رسائل منبثقة متكررة بأنه اكتشف فيروسًا أو مشكلة أخرى على جهاز الكمبيوتر الخاص بك ويوجهك لضرورة الدفع لحل هذه المشكلة، وتعمل بعض الأنواع منها على إغلاق الكمبيوتر، بينما يظهر البعض الآخر تنبيهات منبثقة على شاشتك دون إتلاف الملفات فعليًا.
4. : Doxware ويسمى ببرنامج التسريب الذي يهدد أنه سيتم تسريب ونشر معلوماتك الشخصية أو معلومات حساسة عن الشركة عبر الإنترنت، ما يجعل الضحايا يسارعون لدفع الفدية خوفاً من وقوع البيانات الخاصة بهم في الأيدي الخاطئة.
5. :RaaS (Ransomware as a Service) هو نموذج أعمال يستخدمه مطورو برامج الفدية ، حيث يؤجرون متغيرات برامج الفدية بنفس الطريقة التي يؤجر بها مطورو البرامج الشرعيون منتجات ,SaaS يمنح RaaS الجميع، حتى الأشخاص الذين ليس لديهم الكثير من المعرفة التقنية ، القدرة على شن هجمات فيروسات الفدية بمجرد الاشتراك في الخدمة.

أمثلة عن برامج الفدية

فيما يلي بعض الأمثلة على بعض برامج الفدية الخبيثة التي تم اكتشافها خلال السنوات القليلة الماضية:

• WannaCry: هو أكثر أنواع برامج الفدية شهرة في جميع أنحاء العالم. أصاب WannaCry ما يقرب من 125000 منظمة في أكثر من 150 دولة، يحمل هذا النوع أسماء بديلة أخرى مثل WannaCry ransomware هي WCry أو
• BadRabbit: هي سلالة أخرى من برامج الفدية وقد أصابت هذه السلالة المنظمات في جميع أنحاء روسيا وأوروبا الشرقية، ينتشر عادةً من خلال تحديث Adobe Flash مزيف على مواقع الويب المخترقة.
• :Crysis هو نوع خاص من برامج الفدية التي تقوم بتشفير الملفات الموجودة على محركات الأقراص الثابتة ومحركات الأقراص القابلة للإزالة ومحركات أقراص الشبكة، وينتشر هذا النوع من خلال مرفقات البريد الإلكتروني الضارة.
• Cerber: هو نوع آخر من برامج الفدية التي تستهدف مستخدمي Office 365 المستند إلى السحابة، وقد وقع الملايين من مستخدمي Office 365 فريسة لحملة تصيد احتيالي متقنة قام بها برنامج الفدية Cerber ransomware.
• NetWalker: كانت NetWalker Ransomware واحدة من أكثر عائلات برامج الفدية شهرة على مدار العام الماضي، حيث استهدفت المؤسسات في الولايات المتحدة وأوروبا بما في ذلك العديد من مؤسسات الرعاية الصحية، على الرغم من ادعاء العديد من الجهات الفاعلة المعروفة بالتهديد علنًا الامتناع عن استهداف مثل هذه المنظمات بسبب .COVID-19.
• Jigsaw هو أحد أكثر أنواع برامج الفدية الضارة تدميراً حيث يقوم بتشفير الملفات وحذفها تدريجياً حتى يتم دفع الفدية، فتجد انه يبدأ في حذف الملفات واحدًا تلو الآخر كل ساعة حتى 72 ساعة حيث يتم بعدها حذف جميع الملفات المتبقية.

العلامات التي تشير إلى احتمال إصابة نظامك بفيروس الفدية:

• تم قفل متصفح الويب أو سطح المكتب برسالة حول كيفية الدفع لإلغاء تأمين نظامك و / أو تحتوي أدلة الملفات على ملف “مذكرة فدية” يكون عادةً ملف .txt
• تحتوي جميع ملفاتك على امتداد ملف جديد ملحق بأسماء الملفات
• أمثلة على امتدادات الملفات المشفرة التي تظهر بعد هجوم برنامج الفدية: Ransomware: .ecc ، .ezz ، .exx ، .zzz ، .xyz ، .aaa ، .abc ، .ccc ، .vvv ، .xxx ، .ttt ، .micro ، .encrypted ، .locked ، .crypto ، _crypt ، .crinf ، .r5a ، .XRNT ، .XTBL ، .crypt ، .R16M01D05 ، .pzdc ، .good ، .LOL! ، .OMG! ، .RDM ، .RK ، .encryptedRSA ، .crjoker ،. .LeChiffre ، .keybtc @ inbox_com ، .0x0 ، .bleep ، .1999 ، .vault ، .HA3 ، .toxcrypt ، .magic ، .SUPERCRYPT ، .CTBL ، .CTB2 ، .locky، أو امتداد بطول 6-7 أحرف عشوائية

الخلاصة: تتنوع أشكال وأنواع برامج الفدية التي تستهدف الأفراد والمنظمات اليوم من خلال تشفير الملفات واختراق الأنظمة بهدف الحصول على الأموال، وعلى المنظمات اليوم أن تكون متيقظة للهجومات من هذا النوع والتي قد تكلف المنظمة خسارات هائلة نتيجة تشفير معلوماتها الحساسة وربما ابتزاز المؤسسة بتسريب بياناتها ما لم يتم دفع الفدية، إن عملية تعزيز الأمن السيبراني في المنظمات إضافة لوضع خطط للاستعادة من الكوارث تعد من أهم الممارسات التي يجب اتباعها من المنظمات للوقاية والتخفيف من نتائج مثل هذه الهجومات بحال نجاحها.تعرف على هذا الموضوع أكثر في مقال دليل مدراء الأمن السيبراني لتحضير خطة استجابة فعالة للحوادث.

الأسئلة الشائعة حول فيروس الفدية