كان النسخ الاحتياطي للبيانات أحد أكثر الطرق فعالية للحماية من برامج التشفير للفدية حتى الآن بالرغم من أنه يتطلب الكثير من العمل. والآن يبدو أن مطوري البرامج الخبيثة قد لحقوا بمن يعتمدون على النسخ الاحتياطية. حيث عمد مطورو العديد من برامج الفدية، بعد مواجهتهم لضحايا رفضوا دفع الفدية، إلى مشاركة بياناتهم عبر الإنترنت.
نشر بيانات التهديدات يحوّل التهديدات إلى حقيقة
إن التهديد بنشر البيانات السرية ليس بالأمر الجديد. على سبيل المثال، في عام 2016، جربت المجموعة التي طورت برنامج التشفير الذي هاجم نظام سكة قطارات بلدية سان فرانسيسكو هذه الخدعة، ولكنهم لم ينفذوا تهديدهم على الإطلاق.
Maze هو الأول
على عكس سابقيها، نفذت المجموعة التي طورت برنامج الفدية Maze تهديدها في أواخر عام 2019، أكثر من مرة. ففي نوفمبر، عندما رفضت شركة Allied Universal الدفع، عمد المجرمون إلى تسريب 700 ميجابايت من البيانات الداخلية عبر الإنترنت بما في ذلك جهات الاتصال واتفاقيات إنهاء الخدمة والشهادات الرقمية وغيرها. وقال المبتزون إنهم نشروا 10% مما سرقوا وهددوا بنشر ما تبقى إذا لم تتعاون الشركة المستهدفة.
وفي ديسمبر، عمد مطورو Maze إلى إنشاء موقع على الويب واستخدامه لنشر أسماء الشركات الضحايا وتواريخ الهجوم وكمية البيانات المسروقة وعناوين IP للخوادم التي تعرضت للهجوم وأسمائها، كما حمّلوا بعض المستندات أيضًا. وفي نهاية الشهر، ظهر على الموقع 2 جيجابايت من الملفات التي كان يبدو أنها سُرقت من مدينة بينساكولا، فلوريدا. وقال المبتزون إنهم نشروا المعلومات إثباتًا لجديتهم.
وفي يناير، قام مطورو Maze بتحميل 9.5 جيجابايت من بيانات المعامل التشخيصية الطبية و14.1 جيجابايت من المستندات الخاصة بشركة صناعة الكبلات Southwire التي كانت قد قاضت المبتزين قبلاً لتسريب بيانات سرية. وأدت الدعوى إلى إغلاق موقع Maze على الويب ولكن ليس لوقت طويل.
تلا ذلك Sodinokibi وNemty وBitPyLock
سار المجرمون الإلكترونيون على النهج نفسه، حيث ذكرت المجموعة التي طورت برنامج Sodinokibi واستخدمته للهجوم على شركة Travelex المالية الدولية عشية رأس السنة أنها تنوي نشر بيانات عملاء الشركة في أوائل يناير، وقال المجرمون الإلكترونيون إن لديهم أكثر من 5 ميجابايت من المعلومات التي تتضمن تواريخ ميلاد وأرقام ضمان اجتماعي وبيانات بطاقات بنكية.
ومن جانبها، أعلنت شركة Travelex أنها لم تر أي دليل على التسريب، ولذلك فهي ترفض الدفع. وفي هذه الأثناء، قال المجرمون إن الشركة وافقت على الدخول في مفاوضات.
وفي 11 يناير، قامت المجموعة ذاتها بتحميل روابط لنحو 337 ميجابايت من البيانات إلى لوحة رسائل مخترقين وادّعت أن البيانات تابعة لشركة توظيف تسمى Artech Information Systems وأنها رفضت دفع الفدية. قال المجرمون إن البيانات التي تم تحميلها تمثل جزءًا بسيطًا مما سرقوه. وأضافو أنهم ينوون بيع البقية، وليس نشرها، ما لم يمتثل الضحايا لمطالبهم.
تبعهم بعد ذلك مطورو برنامج Nemty الخبيث، وأعلنوا عن خططهم لنشر البيانات السرية لمن لا يدفعون. وأوضحوا أنهم ينوون إنشاء مدونة لنشر أجزاء من المستندات الداخلية للضحايا الذين لا ينفذون مطالبهم تدريجيًا.
ثم سار مطورو برنامج BitPyLock الخبيث على الخطى ذاتها من خلال إضافة وعد بنشر البيانات السرية لضحاياهم إلى رسالة الفدية التي يرسلونها. وبالرغم من أنهم لم يفعلوا ذلك حتى الآن، فقد يثبت أن BitPyLock يسرق البيانات بدوره.
لا مزيد من برامج الفدية
إن الميزات المتقدمة التي تضاف إلى برامج الفدية الخبيثة ليست بالجديدة. على سبيل المثال، في عام 2016، كان أحد إصدارات Shade Trojan يثبّت أدوات إدارة عن بعد بدلاً من تشفير الملفات إذا اكتشف أنه وصل إلى جهاز محاسبة. وعمد برنامج CryptXXX بتشفير الملفات وسرقة بيانات تسجيل دخول الضحايا. وقامت المجموعة التي صممت RAA بتجهيز بعض عينات البرنامج الخبيث Pony Trojan، الذي كان يستهدف بيانات تسجيل الدخول أيضًا. لا تثير قدرات برامج الفدية على سرقة البيانات دهشة أي شخص، لا سيما الآن، مع تعرّف الشركات على أهمية النسخ الاحتياطي لبياناتها.
من المقلق أنه لا يمكن الحماية من هذه الهجمات باستخدام عمليات النسخ الاحتياطي. وإذا تعرضت لهجمة فلا توجد طريقة لتفادي الخسائر التي لن تقف بالضرورة عند الفدية، فالمبتزون لا يقدمون أي ضمانات. الطريقة الوحيدة لحماية نفسك هي عدم السماح بدخول البرامج الخبيثة إلى نظامك.
كيفية حماية نفسك من برامج الفدية
لا نزال في انتظار معرفة إذا ما كان هذا الاتجاه الجديد الذي تنتهجه برامج الفدية سينجح أم لا. إن هذه الهجمات بدأت حديثًا، لذا فأنت بحاجة إلى حماية نفسك. وهذا يعني أكثر من مجرد تفادي الخسائر التي تلحق بالسمعة والكشف عن الأسرار التجارية، فإذا تركت بيانات عميل شخصية تتعرض للسرقة، فقد تتعرض لغرامات جسيمة. لذا إليك بعض النصائح:
• بادر إلى تحسين الوعي بأمان تكنولوجيا المعلومات. كلما زاد وعي الموظفين، قلت احتمالية التعرض للخداع ونجاح أساليب الهندسة الاجتماعية الأخرى. لدينا منصة تعليمية اسمها Kaspersky Automated Security Awareness Platform، وهي مصممة للموظفين من مختلف مستويات أحمال العمل والاهتمامات ومستويات الوصول إلى المعلومات السرية.
• حدّث أنظمة التشغيل والبرامج بانتظام، لا سيّما أي شيء تم العثور فيه على نقاط ضعف تسمح بالوصول غير المصرح به إلى النظام والتحكم به.
• استخدمKaspersky Anti-Ransomware Tool حلاً متخصصًا للحماية يهدف إلى مواجهة برامج الفدية. على سبيل المثال، يمكنك تنزيل أداة مجانًا.