في أواخر يوليو الماضي لعام 2020، كانت شركة جارمن حديث المواقع الإلكترونية الخاصة بأخبار التكنولوجيا، حيث زخرت تلك المواقع بمقالات عنها. حيث تعطّلت عدّة خدمات تقدمها شركة جارمن، بما في ذلك مزامنة الأجهزة مع السحابة وأدوات البرامج التجريبية. وكانت قلّة المعلومات الدقيقة سببًا في محاولة الجميع وضع نظريات حول الحادثة على نطاق واسع. ومن جانبنا، قررنا الانتظار للحصول على بيانات حقيقية قبل تقييم الموقف.
وفي بيانها الرسمي، أكدت شركة جارمن تعرّضها لهجوم إلكتروني أدّى إلى مقاطعة الخدمات عبر الإنترنت وتشفير بعض الأنظمة الداخلية. وتشير المعلومات المتاحة في وقت كتابة هذا التقرير إلى أن المهاجمين استخدموا برنامج الفدية WastedLocker. وأجرى خبراؤنا تحليلًا تقنيًا مفصلًا للبرنامج الضار، ونذكر هنا النتائج الرئيسية لهذا التحليل.
برنامج الفدية WastedLocker
WastedLocker هو مثال على برنامج الفدية المستهدَفة – برنامج ضار مُعدّل للهجوم على شركة محددة. وأشارت رسالة الفدية إلى الضحية بالاسم، واشتملت جميع الملفات المشفّرة على الامتداد الإضافي .garminwasted .
وأشار نظام التشفير الذي استخدمه مجرمو الإنترنت إلى نفس النتيجة. وتم تشفير الملفات باستخدام خوارزميات AES وRSA، والتي غالبًا ما يستخدمها مبتكرو برامج الفدية مجتمعة. ومع ذلك، يتم استخدام مفتاح RSA عام واحد لتشفير الملفات، بدلاً من مفتاح فريد يتم إنشاؤه لكل إصابة. وبعبارة أخرى، إذا تم استخدام هذه التعديلات على برنامج الفدية ضد عدّة أهداف، يكون برنامج فك تشفير البيانات متعدّد الأغراض، حيث يتعين أن يكون هناك مفتاح واحد خاص أيضًا.
وبالإضافة إلى ذلك، يعرض برنامج الفدية الميزات التالية اللافتة للنظر:
• أولوية تشفير البيانات، وهذا يعني أنه يمكن لمجرمي الإنترنت تحديد دليل خاص للملفّات التي يتم تشفيرها أولًا. وهذا يزيد من الضرر في حال أوقفت آليات الحماية تشفير البيانات قبل اكتمال التشفير؛
• دعم تشفير الملفات على مصادر شبكة بعيدة؛
• صلاحية فحص واستخدام DLL hijacking لامتيازت أعلى.
ستجد تحليلًا مفصلًا لبرنامج الفدية في WastedLocker: التحليل التقني المنشور على موقع Securelist.
ما حال شركة جارمن؟
وفقًا للبيان المُحدّث من الشركة، عادت الخدمات للعمل وتم تشغيلها مرة أخرى، على الرغم من أن تزامن البيانات قد يكون بطيئًا ولا يزال محدودًا في بعض الحالات الفردية. ويمكن تفهم ذلك الأمر: حيث تتصل الآن الأجهزة التي لم تتمكن من إجراء المزامنة مع خدماتها السحابية طوال عدّة أيام بخوادم الشركة، جميعها في وقت واحد، مما يؤدي إلى زيادة الحمل عليها.
وذكرت شركة جارمن أنه لا يوجد أي دليل على أن أي شخص قد تمكن من الدخول غير المصرح به إلى بيانات المستخدم أثناء الحادث.
كيفية الحماية ضد مثل تلك الهجمات
ستستمر هجمات برامج الفدية المستهدفة على الشركات. وعليه، فإن توصياتنا للحماية ضد تلك الهجمات قياسية إلى حد ما:
• داوِم على تحديث البرنامج إلى أحدث إصدار، وخاصة نظام التشغيل، حيث تهاجم فيروسات حصان طروادة نقاط الضعف المعروفة؛
• استخدِم RDP لمنع الوصول العام إلى أنظمة الشركة (أو، إذا لزم الأمر، فاستخدِم VPN)؛
• درِّب الموظفين على أساسيات الأمان عبر الإنترنت. وفي معظم الأحيان، تكون الهندسة الاجتماعية التي تستهدف الموظفين السبب في دخول فيروسات أحصنة طروادة الخاصة ببرامج الفدية لتصيب شبكات الشركة؛
• استخدِم أحدث حلول الأمان التي تشتمل على تقنيات مكافحة برامج الفدية المتقدمة.تكتشف منتجاتنا برامج WastedLocker وتحول دون الإصابة بها.