يقدم موقع VietNamNet مقالاً للسيد داو ترونغ ثانه، خبير الأمن السيبراني ونائب مدير معهد Blockchain and AI، لفهم الهجوم السيبراني على شركة VNDidirect Securities ومخاطر برامج الفدية بشكل أفضل.
أصبحت برامج الفدية، وهي نوع من البرمجيات الخبيثة التي تُشفّر البيانات على نظام الضحية وتطالب بفدية لفك تشفيرها، من أخطر تهديدات الأمن السيبراني في العالم اليوم. الصورة: zephyr_p/Fotolia

قضية VNDirect وما الذي يجعل برامج الفدية خطيرة؟

في 24 مارس 2024، أصبحت شركة VNDirect للأوراق المالية في فيتنام أحدث بؤرة لهجمات برامج الفدية الدولية. وهذا الهجوم ليس حالة معزولة.

أصبحت برامج الفدية، وهي نوع من البرمجيات الخبيثة المصممة لتشفير البيانات على نظام الضحية وطلب فدية لفك تشفيرها، من أكثر تهديدات الأمن السيبراني انتشارًا وخطورة في العالم اليوم. إن الاعتماد المتزايد على البيانات الرقمية وتكنولوجيا المعلومات في جميع مجالات الحياة الاجتماعية يجعل المؤسسات والأفراد عرضة لهذه الهجمات.

لا يكمن خطر برامج الفدية في قدرتها على تشفير البيانات فحسب، بل أيضًا في طريقة انتشارها وطلبها للفدية، مما يُنشئ قناة معاملات مالية يُتيح للمُخترقين تحقيق أرباح غير مشروعة. إن تعقيد هجمات برامج الفدية وعدم القدرة على التنبؤ بها يجعلها أحد أكبر التحديات التي تواجه الأمن السيبراني اليوم.

يُعد الهجوم على VNDirect تذكيرًا صارخًا بأهمية فهم برامج الفدية والوقاية منها. لا يُمكننا وضع تدابير حماية فعّالة إلا من خلال فهم آلية عمل برامج الفدية والتهديد الذي تُشكله، بدءًا من تثقيف المستخدمين، وتطبيق الحلول التقنية، وصولًا إلى وضع استراتيجية وقائية شاملة لحماية البيانات وأنظمة المعلومات الحيوية.

كيف تعمل برامج الفدية

تُعدّ برامج الفدية تهديدًا مُرعبًا في عالم الأمن السيبراني، وتعمل بطريقة مُعقدة ومتعددة الأوجه، مُسببةً عواقب وخيمة على الضحايا. لفهم آلية عمل برامج الفدية بشكل أفضل، علينا التعمق في كل خطوة من خطوات عملية الهجوم.

عدوى

يبدأ الهجوم عندما يُصيب برنامج الفدية النظام. هناك عدة طرق شائعة لاختراق نظام الضحية، منها:

رسائل التصيد الاحتيالي: رسائل البريد الإلكتروني المزيفة التي تحتوي على مرفقات ضارة أو روابط لمواقع ويب تحتوي على تعليمات برمجية ضارة؛ استغلال الثغرات الأمنية: الاستفادة من الثغرات الأمنية في البرامج غير المصححة لتثبيت برامج الفدية تلقائيًا دون تفاعل المستخدم؛ الإعلانات الضارة: استخدام إعلانات الإنترنت لتوزيع البرامج الضارة؛ التنزيلات من مواقع الويب الضارة: يقوم المستخدمون بتنزيل البرامج أو المحتوى من مواقع الويب غير الموثوق بها.

التشفير

بمجرد الإصابة، يبدأ برنامج الفدية عملية تشفير البيانات على نظام الضحية. التشفير هو عملية تحويل البيانات إلى صيغة لا يمكن قراءتها بدون مفتاح فك التشفير. غالبًا ما يستخدم برنامج الفدية خوارزميات تشفير قوية، مما يضمن عدم إمكانية استرداد البيانات المشفرة بدون المفتاح المحدد.

طلب فدية

بعد تشفير البيانات، يعرض برنامج الفدية رسالة على شاشة الضحية، يطالب فيها بفدية لفك تشفيرها. عادةً ما تتضمن الرسالة تعليمات حول كيفية الدفع (عادةً عبر بيتكوين أو عملات رقمية أخرى لإخفاء هوية المجرم)، بالإضافة إلى موعد نهائي للدفع. كما تهدد بعض إصدارات برامج الفدية بحذف البيانات أو نشرها إذا لم تُدفع الفدية.

المعاملات وفك التشفير (أو لا)

يواجه الضحية بعد ذلك خيارًا صعبًا: إما دفع الفدية على أمل استعادة بياناته، أو الرفض وفقدانها نهائيًا. مع ذلك، لا يضمن الدفع فك تشفير البيانات، بل قد يشجع المجرمين على مواصلة أفعالهم.

لا تُظهر طريقة عمل برامج الفدية تعقيدًا تقنيًا فحسب، بل تُظهر أيضًا حقيقةً مُحزنة: الاستعداد لاستغلال سذاجة المستخدمين وجهلهم. وهذا يُؤكد أهمية تعزيز الوعي والمعرفة بالأمن السيبراني، بدءًا من التعرّف على رسائل التصيد الاحتيالي ووصولًا إلى تحديث برامج الأمان. في مواجهة تهديدٍ مُتطوّر باستمرار مثل برامج الفدية، أصبح التثقيف والوقاية أكثر أهميةً من أي وقت مضى.

المتغيرات الشائعة لبرامج الفدية

في عالم تهديدات برامج الفدية، تتميز بعض أنواعها بتطورها وقدرتها على الانتشار وتأثيرها على المؤسسات عالميًا. فيما يلي وصف لسبعة أنواع شائعة وكيفية عملها.

REvil (المعروف أيضًا باسم Sodinokibi)

الميزات: REvil هو أحد أشكال برامج الفدية كخدمة (RaaS)، مما يسمح لمجرمي الإنترنت باستئجاره لتنفيذ هجماتهم. هذا يزيد بشكل كبير من قدرة برامج الفدية على الانتشار وعدد ضحاياها.

طرق الانتشار: التوزيع عبر الثغرات الأمنية، ورسائل التصيد الاحتيالي، وأدوات الهجوم عن بُعد. يستخدم REvil أيضًا أساليب هجوم لتشفير البيانات أو سرقتها تلقائيًا.

ريوك

الميزات: يستهدف ريوك بشكل رئيسي المؤسسات الكبيرة لزيادة فدية المستخدم. يتميز بقدرته على تخصيص نفسه لكل هجوم، مما يصعّب اكتشافه وإزالته.

طريقة الانتشار: من خلال رسائل التصيد الاحتيالي والشبكات المصابة ببرامج ضارة أخرى، مثل Trickbot وEmotet، يقوم Ryuk بنشر بيانات الشبكة وتشفيرها.

روبن هود

المميزات: تشتهر Robinhood بقدرتها على مهاجمة الأنظمة الحكومية والمؤسسات الكبيرة، باستخدام تكتيك تشفير متطور لقفل الملفات والمطالبة بفدية كبيرة.

طريقة الانتشار: تنتشر من خلال حملات التصيد الاحتيالي بالإضافة إلى استغلال الثغرات الأمنية في البرامج.

دبل بايمر

الميزات: DoppelPaymer هو برنامج مستقل لبرامج الفدية لديه القدرة على التسبب في أضرار جسيمة عن طريق تشفير البيانات والتهديد بنشر المعلومات إذا لم يتم دفع فدية.

طريقة الانتشار: يتم الانتشار عبر أدوات الهجوم عن بعد ورسائل التصيد الاحتيالي، وخاصة استهداف الثغرات الأمنية في البرامج غير المرقعة.

الثعبان (المعروف أيضًا باسم EKANS)

الميزات: صُمم SNAKE لمهاجمة أنظمة التحكم الصناعية (ICS). فهو لا يشفر البيانات فحسب، بل يُعطل العمليات الصناعية أيضًا.

طريقة الانتشار: من خلال حملات التصيد والاستغلال، مع التركيز على استهداف أنظمة صناعية محددة.

فوبوس

الميزات: يتشابه Phobos كثيرًا مع Dharma، وهو نوع آخر من أنواع برامج الفدية، ويُستخدم غالبًا لمهاجمة الشركات الصغيرة عبر RDP (بروتوكول سطح المكتب البعيد).

طريقة الانتشار: في المقام الأول عبر RDP المكشوف أو الضعيف، مما يسمح للمهاجمين بالحصول على وصول عن بعد ونشر برامج الفدية.

لوك بت

LockBit هو نوع شائع آخر من برامج الفدية، يعمل وفق نموذج برامج الفدية كخدمة (RaaS)، وهو معروف بهجماته على الشركات والمؤسسات الحكومية. ينفذ LockBit هجماته على ثلاث مراحل رئيسية: استغلال الثغرات الأمنية، والاختراق العميق للنظام، ونشر حمولة التشفير.

المرحلة 1 - الاستغلال: يستغل LockBit نقاط الضعف في الشبكة باستخدام تقنيات مثل الهندسة الاجتماعية، مثل رسائل البريد الإلكتروني الاحتيالية، أو هجمات القوة الغاشمة على خوادم الشبكة الداخلية وأنظمة الشبكات.

المرحلة 2 - التسلل: بعد التسلل، يستخدم LockBit أداة "ما بعد الاستغلال" لزيادة مستوى الوصول وإعداد النظام للهجوم التشفيري.

المرحلة 3 - النشر: يقوم LockBit بنشر الحمولة المشفرة على كل جهاز يمكن الوصول إليه في الشبكة، وتشفير جميع ملفات النظام وترك مذكرة فدية.

تستخدم LockBit أيضًا عددًا من الأدوات المجانية ومفتوحة المصدر في عملية الاختراق، بدءًا من ماسحات الشبكات ووصولًا إلى برامج الإدارة عن بُعد، وذلك لاستطلاع الشبكات، والوصول عن بُعد، وسرقة بيانات الاعتماد، واستخراج البيانات. في بعض الحالات، تهدد LockBit أيضًا بنشر بيانات الضحايا الشخصية إذا لم تُلبَّ طلبات الفدية.

نظرًا لتعقيده وقدرته على الانتشار، يُمثل LockBit أحد أكبر التهديدات في عالم برامج الفدية الحديثة. تحتاج المؤسسات إلى تطبيق مجموعة شاملة من التدابير الأمنية لحماية نفسها من هذا البرنامج ومتغيراته.

داو ترونغ ثانه

الجزء الثاني: من هجوم VNDirect إلى استراتيجية مكافحة برامج الفدية