هجمات برامج الفدية Ransomware Attacks

اقرأ في هذا المقال


برامج الفدية هي نوع من البرامج الضارة التي يستخدمها مجرمو الإنترنت، في حالة إصابة جهاز كمبيوتر أو شبكة ببرنامج الفدية، يقوم برنامج الفدية بحظر الوصول إلى النظام أو تشفير بياناته، حيث يطالب مجرمو الإنترنت بفدية مالية من ضحاياهم مقاب الإفراج عن البيانات، للحماية من الإصابة بفيروس الفدية، يوصى باستخدام برنامج أمان، يتوفر لضحايا هجمات البرامج الضارة ثلاثة خيارات بعد الإصابة، يمكنهم إما دفع الفدية أو محاولة إزالة البرامج الضارة أو إعادة تشغيل الجهاز.

تستخدم نواقل الهجوم بشكل متكرر عن طريق الابتزاز في أحصنة طروادة وتشمل بروتوكول سطح المكتب البعيد ورسائل البريد الإلكتروني المخادعة ونقاط ضعف البرامج، وبالتالي يمكن أن تستهدف هجمات برامج الفدية الأفراد والشركات.

ما هي هجمات برامج الفدية

ان برامج الفدية أهدافها في جميع مناحي الحياة، عادة ما تكون الفدية المطلوبة بين 100 دولار و 200 دولار، ومع ذلك، تتطلب بعض هجمات الشركات أكثر من ذلك بكثير خاصةً إذا كان المهاجم يعلم أن البيانات التي يتم حظرها تمثل خسارة مالية كبيرة للشركة التي تتعرض للهجوم، وبالتالي يمكن لمجرمي الإنترنت جني مبالغ ضخمة باستخدام هذه الأساليب.

كيف تعمل هجمات برامج الفدية؟

نواقل العدوى والتوزيع

يمكن لبرامج الفدية، مثل أي برنامج ضار، الوصول إلى أنظمة المؤسسة بعدة طرق مختلفة، ومع ذلك، يميل مشغلو برامج الفدية إلى تفضيل عدد قليل من ناقلات العدوى المحددة، حيث ان أحد هذه الرسائل هو رسائل البريد الإلكتروني المخادعة، قد تحتوي رسالة البريد الإلكتروني الضارة على ارتباط إلى موقع ويب يستضيف تنزيلًا ضارًا أو مرفقًا يحتوي على وظيفة تنزيل مضمنة، إذا وقع مستلم البريد الإلكتروني في موقع التصيد الاحتيالي، فسيتم تنزيل برنامج الفدية وتنفيذه على أجهزة الكمبيوتر الخاصة به.

حيث يستفيد متجه آخر لعدوى برامج الفدية من خدمات مثل بروتوكول سطح المكتب البعيد باستخدام (RDP) هو عبارة عن ربط جهازك مع جهاز اخر عن طريق الشبكة، كما يمكن للمهاجم الذي سرق بيانات اعتماد تسجيل دخول الموظف أو خمّنها أن يستخدمها للمصادقة على جهاز كمبيوتر والوصول إليه عن بُعد داخل شبكة المؤسسة، فمن خلال هذا الوصول، يمكن للمهاجم تنزيل البرنامج الضار مباشرةً وتنفيذه على الجهاز الخاضع لسيطرته.

  • “RDP” اختصار ل”Remote Desktop Protocol “.

تشفير البيانات

بعد وصول برنامج الفدية إلى نظام ما، يمكنه البدء في تشفير ملفاته، نظرًا لأن وظيفة التشفير مدمجة في نظام التشغيل، فإن هذا يتضمن ببساطة الوصول إلى الملفات وتشفيرها بمفتاح يتحكم فيه المهاجم واستبدال النسخ الأصلية بالإصدارات المشفرة، تتوخى معظم متغيرات برامج الفدية الحذر عند اختيار الملفات للتشفير لضمان استقرار النظام، ستتخذ بعض المتغيرات أيضًا خطوات لحذف النسخ الاحتياطية والنسخ الاحتياطية للملفات لجعل الاسترداد بدون مفتاح فك التشفير أكثر صعوبة.

طلب ​​الفدية

بمجرد اكتمال تشفير الملف، يكون برنامج الفدية على استعداد لطلب فدية، تنفذ متغيرات برامج الفدية المختلفة هذا بعدة طرق، ولكن ليس من غير المألوف تغيير خلفية العرض إلى ملاحظة فدية أو وضع ملفات نصية في كل دليل مشفر يحتوي على مذكرة الفدية، عادةً ما تتطلب هذه الملاحظات مقدارًا محددًا من العملة المشفرة مقابل الوصول إلى ملفات الضحية، إذا تم دفع الفدية، فسيقوم مشغل برامج الفدية إما بتوفير نسخة من المفتاح الخاص المستخدم لحماية مفتاح التشفير المتماثل أو نسخة من مفتاح التشفير المتماثل نفسه، كما يمكن إدخال هذه المعلومات في برنامج فك التشفير الذي يوفره أيضًا المجرم الإلكتروني والذي يمكنه استخدامها لعكس التشفير واستعادة الوصول إلى ملفات المستخدم.

أمثلة على هجوم برامج الفدية

Cerber

يعد (Cerber) برنامج الفدية، وهو متاح للاستخدام من قبل مجرمي الإنترنت، الذين ينفذون الهجمات وينشرون نهبهم مع مطور البرامج الضارة، حيث يعمل (Cerber) بصمت أثناء تشفير الملفات، وقد يحاول منع تشغيل ميزات أمان (Windows) وبرامج مكافحة الفيروسات، لمنع المستخدمين من استعادة النظام، عندما يقوم بتشفير الملفات على الجهاز بنجاح، فإنه يعرض ملاحظة فدية على خلفية سطح المكتب.

 Locker

يحظر هذا النوع من البرامج الضارة وظائف الكمبيوتر الأساسية،على سبيل المثال، قد يتم رفض وصولك إلى سطح المكتب، بينما يتم تعطيل الماوس ولوحة المفاتيح جزئيًا، حيث يتيح لك ذلك الاستمرار في التفاعل مع النافذة التي تحتوي على طلب الفدية من أجل إجراء الدفع. بصرف النظر عن ذلك، فإن الكمبيوتر غير صالح للعمل، كما لا تستهدف البرامج الضارة لوكر (Locker) عادةً الملفات المهمة، وبالتالي فإن التدمير الكامل للبيانات أمر غير محتمل.

تشفير Cryptolocker

تم إصدار (Cryptolocker) في عام 2017، وأثر على أكثر من 500000 جهاز كمبيوتر، عادةً ما تصيب أجهزة الكمبيوتر من خلال البريد الإلكتروني ومواقع مشاركة الملفات والتنزيلات غير المحمية، فهو لا يقوم فقط بتشفير الملفات الموجودة على الجهاز المحلي، بل يمكنه أيضًا فحص محركات أقراص الشبكة المعينة وتشفير الملفات التي لديه الإذن بالكتابة إليها، المتغيرات الجديدة من (Crypolocker) قادرة على التملص من برامج مكافحة الفيروسات والجدران النارية القديمة.

Ryuk

يصيب (Ryuk) الأجهزة عن طريق رسائل البريد الإلكتروني المخادعة أو التنزيلات من السيارات، يقوم باستخراج حصان طروادة من جهاز الضحية وإنشاء اتصال شبكة دائم، حيث يمكن للمهاجمين بعد ذلك استخدام (Ryuk) كأساس للتهديد المستمر المتقدم (APT)، وتثبيت أدوات إضافية مثل (keyloggers) وهو من برامج التجسس التي تخفي نفسها وتتسلل إلى جهاز المستخدم، وتنفيذ تصعيد الامتياز والحركة الجانبية، يتم تثبيت (Ryuk) على كل نظام إضافي يمكن للمهاجمين الوصول إليه، في حملة هجوم تستند إلى (Ryuk)، يكون جانب برنامج الفدية هو المرحلة الأخيرة فقط من الهجوم، بعد أن يكون المهاجمون قد تسببوا بالفعل في إتلاف وسرقة الملفات التي يحتاجون إليها.

  • “APT” اختصار ل” Advanced Persistent Threat”.

GrandCrab

تم إصدار (GrandCrab) في عام 2018، يقوم بتشفير الملفات على جهاز المستخدم ويطلب فدية، ويستخدم لشن هجمات ابتزاز تعتمد على برامج الفدية، هناك العديد من الإصدارات، وجميعها تستهدف أجهزة (Windows)، حيث تتوفر برامج فك التشفير المجانية اليوم لمعظم إصدارات (GrandCrab).

لماذا تنتشر برامج الفدية؟

تتطور هجمات برامج الفدية ومتغيراتها بسرعة لمواجهة التقنيات الوقائية لعدة أسباب:

  • سهولة توافر مجموعات البرامج الضارة التي يمكن استخدامها لإنشاء عينات برامج ضارة جديدة عند الطلب.
  • استخدام مترجمين عامين جيدين معروفين لإنشاء برامج الفدية عبر الأنظمة الأساسية.
  • استخدام تقنيات جديدة، مثل تشفير القرص بالكامل بدلاً من الملفات المحددة.
  • انتشار أسواق برامج الفدية على الإنترنت، حيث قدمت سلالات من البرامج الضارة لأي مخترق إلكتروني محتمل وتدر ربحًا إضافيًا لمؤلفي البرامج الضارة، الذين غالبًا ما يطلبون خفضًا في عائدات الفدية.

المصدر: Ransomware Attacks and Types – How Encryption Trojans DifferWhat is Ransomware?What Is Ransomware?Mitigating malware and ransomware attacks


شارك المقالة: