يوليو 2, 2017

ExPetr فيروس يستهدف أعمالاً خطيرة

أعمال تهديدات

إننا بصدد مشاهدة انتشار نوع جديد من برامج التشفير الخبيثة. ولقد أسماه خبراؤنا
ExPetr
(Petya وPetrWrap وغيره من الأسماء الأخرى).
ويتمثل الفارق الرئيسي مع هذا النوع الجديد من فيروسات الفدية هذه المرة في أن المجرمين قد اختاروا أهدافهم بمنتهى العناية والدقة: حيث إن معظم الضحايا شركات وليسوا مستهلكين.
أما الجزء الأسوأ المرتبط بهذا النوع من الفيروس فيتمثل في وجود مرافق البنية التحتية ذات الأهمية الكبيرة ضمن ضحايا هذا البرنامج الخبيث. فعلى سبيل المثال، أفادت تقارير أن بعض الرحلات الجوية قد تم تأجيلها في مطار بوريسبيل في كييف بسبب الهجوم. وازداد الأمر سوءاً – حيث أفادت تقارير أن نظام المراقبة الخاص بإشعاع محطة تشيرنوبل النووية الرهيب سيتوقف بشكل مؤقت لنفس السبب أيضاً.

ما السبب وراء استمرار إصابة أنظمة البنية التحتية المهمة ببرامج التشفير الخبيثة؟ يرجع السبب في ذلك إما إلى ارتباطها بشكل مباشر بالشبكات الخاصة بمكاتب الشركة وإما بسبب إمكانية وصولها بشكل مباشر إلى الإنترنت.

ما الذي ينبغي فعله؟
وكما هو الحال مع فيروس الفدية “واناكراي” ، فإننا نواجه مشكلتين واضحتين: الاختراق الأوَّلي للبرامج الخبيثة في البنية التحتية للشركة وتغلغلها بداخلها. وهاتان المشكلتان لا بد من علاجِهما كلٍّ على حدة.

الاختراق الأوَّلي
يبين خبراؤنا الطرق المختلفة التي تنجح من خلالها البرامج الخبيثة في اختراق الشبكة. بيد أن هذه البرامج استخدمت المواقع الخبيثة في بعض الأحيان (الإصابة بمجرد المرور عليها)، حيث تسلَّم المستخدمون البرامج الخبيثة المتنكرة في صورة تحديث للنظام. وفي أحيان أخرى، انتشرت الإصابة عن طريق تحديثات البرامج من قبل طرف ثالث – على سبيل المثال من خلال البرنامج  المحاسبي الأوكراني الذي يطلق :عليه اسم
M.E.Doc.-
وبطريقة أخرى، لا يوجد نقطة دخول واحدة يمكن توقعها لتوفير الحماية.
ولقد قدمنا بعض التوصيات لمنع البرامج الخبيثة من اختراق البنية التحتية الخاصة بك مثل:
• إبلاغ موظفيك بعدم فتح المرفقات المشبوهة أبداً أو النقر فوق الروابط الموجودة برسائل البريد الإلكتروني (يبدو هذا الأمر واضحاً لكن الأشخاص يصرون على فعل ذلك).
• ضمان تزويد جميع الأنظمة المتصلة بالإنترنت بحلول أمان مستحدثة وتتضمن مكونات التحليل السلوكي.
• التحقق من تفعيل المكونات المهمة والضرورية لحلول الأمان (فيما يتعلق بمنتجات كاسبرسكي لاب، وضمان تفعيل شبكة مكافحة التهديدات المعتمدة على السحابة عبر شبكة أمن كاسبرسكي “كاسبرسكي سكيورتي نتورك ” والمحرك السلوكي “سيستم واتشر “).
• تحديث حلول الأمان بشكل منتظم.
• استخدام الأدوات الخاصة بمراقبة حلول الأمان والتحكم فيها من خلال وحدة إدارية واحدة ، وعدم السماح للموظفين بالتلاعب بالإعدادات الخاصة بها.

يمكنك تثبيت الأداة المجانية لدينا لمكافحة فيروسات الفدية
Kaspersky Anti-Ransomware Tool
، والتي تتوافق مع معظم حلول الأمان الأخرى، بوصفها تدبيرَ حمايةٍ إضافياً (لا سيما في حال عدم استخدامك منتجات كاسبرسكي لاب).

التغلغل في الشبكة

بمجرد أن يثبت الفيروس أقدامه في نظام واحد، يصبح أفضل أداءً من فيروس واناكراي من حيث التغلغل في شبكة محلية؛ وذلك لأنه يمتلك مجموعة من القدرات الشاملة لهذا الغرض تحديداً. أولاً: يستخدم هذا الفيروس ثغرتين على الأقل: ثغرة انترنالبلو المُعَدَّلة (هذه الثغرة مستخدمة أيضاً من قبل فيروس واناكراي) وثغرة انترنالرومانس.
ثانياً: عندما يصيب النظام الذي يمتلك عليه المستخدم مزايا إدارية، فإنه يبدأ في نشر نفسه باستخدام تقنية
Windows Management Instrumentation او PsExec.

ومن أجل منع البرامج الخبيثة من التغلغل في الشبكة (ولا سيما داخل أنظمة البنية التحتية المهمة)، فإنه يتعين عليك:

  • فصل الأنظمة التي تتطلب اتصال إنترنت فعالاً في قسم شبكة منفصل.
  • تقسيم الشبكة المتبقية إلى شبكات فرعية أو شبكات فرعية افتراضية ذات توصيلات محددة، أي توصيل الأنظمة التي تحتاجها فقط لعمليات التقنية.
  • الاطلاع على مشورة خبراء فريق الاستجابة لحالات الطوارئ الخاصة بأنظمة التحكم الصناعي لدى كاسبرسكي لاب الموضحة بعد انتشار فيروس واناكراي (تم تشجيع الشركات الصناعية على وجه الخصوص لاستخدامها).
  • التأكد من تثبيت تحديثات الأمان المهمة لنظام ويندوز في الوقت المناسب. يعمل التحديث على غلق نقاط الضعف التي يستغلها انترنال بلو و انترنال رومانس؛ وهو ما يلعب دوراً مهماً وفعالاً على وجه الخصوص.
  • فصل الخوادم الاحتياطية عن بقية الشبكة وإعاقتها باستخدام الاتصال بالمحركات عن بعد الموجودة على الخوادم الاحتياطية.
  • حظر تنفيذ الملف الذي يطلق عليه اسم
    dat
    ، باستخدام خاصية التحكم في التطبيق ببرنامج

Kaspersky Endpoint Security for Business suite
أو مع أداة النظام المساعدة
Windows AppLocker.

  • نشر حلول الأمان المتخصصة مثل:
    Kaspersky Embedded Security Systems
    فيما يتعلق بالبنية التحتية التي تنطوي على العديد من الأنظمة المتضمنة.
  • تكوين وضع “رفض الافتراضي” بوصفه تدابير حماية إضافياً على الأنظمة متى أمكن ذلك (على سبيل المثال على أجهزة الكمبيوتر المساعدة ذات البرامج التي نادراً ما يتم تعديلها). ويمكن إجراء ذلك ضمن مكون مراقبة التطبيق الخاص ببرنامج
    Kaspersky Endpoint Security for Business suite.

 

وكما هو الحال دائماً، فإننا نوصي بشدة باستخدام منهجية أمن المعلومات المتعددة المراحل، والتي تتضمن تحديثات البرامج التلقائية (بما في ذلك التحديثات الخاصة بنظام التشغيل) ومكونات مكافحة فيروسات الفدية والمكونات التي تراقب جميع العمليات داخل نظام التشغيل.

 

الدفع أو عدم الدفع

وفي نهاية المطاف، بالرغم من أننا لا نوصي بدفع فدية بشكل عام، إلا أننا نتفهم أن هناك بعض الشركات التي تشعر بعدم وجود أي خيار أمامها. ومع ذلك، ففي حال إصابة بياناتك بالفعل بفيروس الفدية ، حينئذٍ ينبغي لك عدم دفع فدية تحت أي ظرف من الظروف.

وقد توصل خبراؤنا إلى أن هذا البرنامج الخبيث لا يمتلك أي آلية لحفظ معرف التثبيت. ذلك أنه يتعذر على القائم بالتهديد استخلاص المعلومات الضرورية اللازمة لفك التشفير. وخلاصة القول، إن هذه البرامج لا يمكنها مساعدة الضحايا في عملية استرجاع البيانات.

مؤتمر واجتماع إلكتروني طارئ عبر الإنترنت بشأن الهجمات

في إطار مساعدة الشركات على فهم طبيعة البرنامج الخبيث وتوفير الحماية ضده، يعقد خبراؤنا اجتماعاً ومؤتمراً إلكترونياً طارئاً عبر شبكة الإنترنت. وقد قدم جوان أندريس جوريرو-ساد، وهو باحث أمني أول في فريق الأبحاث والتحليل العالمي بشركة كاسبرسكي لاب ومات سويشي المؤسس الشريك للشركة الأمنية
Comae Technologies
أحدث المعلومات بشأن هذا التهديد، وقاما بتوضيح السبب وراء عدم اعتباره فيروس فدية ولكنه فيروس تدميري استخدم في أعمال التخريب والتدمير.