تخطي إلى المحتوى الرئيسي

برنامج طلب الفدية CL0P: ما هو وما طريقة عمله؟

يسرق هجوم برنامج طلب الفدية cl0p المعلومات المشفرة

في السنوات الأخيرة، بات برنامج طلب الفدية cl0p يمثل تهديدًا كبيرًا للأمن الإلكتروني، مما تسبب في أضرار جسيمة لمجموعة واسعة من المؤسسات والصناعات في جميع أنحاء العالم. وبينما تعمل هجمات فيروسات cl0p بشكل عام بطريقة مماثلة لهجمات برامج طلب الفدية الأخرى، إلا أن هناك بعض الاختلافات المحددة.

لكن ما هو بالضبط برنامج طلب الفدية cl0p وما طريقة عمل هذه الهجمات؟ وربما الأهم من ذلك، ما الذي يمكن أن تفعله المؤسسات لتقليل فرص الوقوع ضحية لهذه الهجمات التي يمكن أن يكون لها تداعيات مالية كبيرة؟

تاريخ موجز عن برنامج طلب الفدية CL0P

Cl0p - يُكتب أحيانًا بـ cl0p، بالرقم صفر - هو نوع من برامج طلب الفدية أو برامج الابتزاز الضارة. وعلى الرغم من أنه ليس بالضبط مثل CryptoMix، إلا أنه يُعتقد أن برنامج طلب الفدية cl0p قد تم تصميمه على غرار هذا البرنامج الضار الذي سبقه. أما الآن، فقد مرّ فيروس حصان طروادة مع ذلك بتكرارات عديدة، وسرعان ما حلت إصدارات جديدة محل الإصدارات السابقة.

اكتشف باحثون أمنيون فيروس Cl0p في فبراير 2019 في أعقاب هجوم تصيد احتيالي موجه كبير. وكان - ولا يزال - يشكل تهديدًا أمنيًا إلكترونيًا كبيرًا لجميع أنواع الشركات والمؤسسات بسبب الطريقة التي يُفسد بها الملفات على أجهزة الضحايا ويبتز المدفوعات المالية. وفي الواقع، يُعتقد أن البرامج الضارة المحددة، مجموعة برامج طلب الفدية cl0p قد ابتزت أموالاً من شركات الطاقة العالمية والعديد من الجامعات الكبرى وهيئة الإذاعة البريطانية والخطوط الجوية البريطانية ووكالات حكومية مختلفة باستخدام برامجها الضارة.

في عام 2020، شنّت مجموعة برامج طلب الفدية cl0p هجومًا لاستغلال الثغرات الأمنية في شبكة المحتوى الخاص لمنصة Kiteworks (المعروفة باسم Accellion سابقًا) لاستهداف عملاء المنصة واختراق شبكاتهم - على الرغم من أن البرنامج الضارة clop نفسه لم يُنشر في هذا الهجوم. وفي الوقت نفسه، أطلق منشئو فيروس حصان طروادة cl0p مخطط ابتزاز مزدوج، حيث سربوا البيانات المسروقة من شركة أدوية في هجوم تدميري واسع النطاق.

وأعقب ذلك في عام 2021 هجمات على شركة SolarWinds، وهي شركة برمجيات تقدم خدمات إدارة تكنولوجيا المعلومات لمختلف الشركات، وشركة Swire Pacific Offshore، وهي شركة خدمات بحرية مقرها سنغافورة.

في عام 2023، ارتفع نشاط Clop مقارنة بالسنوات السابقة. وفي الفترة من يناير إلى يونيو 2023، تم استخدام فيروس حصان طروادة لمهاجمة الضحايا في مختلف القطاعات، حيث تصدرت خدمات الأعمال، تليها البرامج والتمويل. وكان العديد من الضحايا في أمريكا الشمالية وأوروبا، حيث شهدت الولايات المتحدة أكبر عدد من الهجمات بفارق كبير.

كان حجم الهجوم كبيرًا، حيث أبلغت أكثر من 2000 مؤسسة عن وقوع حوادث، مما أثر على أكثر من 62 مليون شخص تم تسريب بياناتهم، معظمهم في الولايات المتحدة.

وصلت سلسلة هجمات برامج طلب الفدية التي تشنها مجموعة Cl0p من خلال الثغرة الأمنية لبرلمج نقل الملفات MOVEit (CVE-2023-34362) إلى ذروتها: ادعى المهاجمون أنهم اخترقوا مئات الشركات وأصدروا إنذارًا نهائيًا حتى 14 يونيو. سمح الهجوم الفوري بالتنزيل الجماعي لبيانات المؤسسات، بما في ذلك معلومات سرية مختلفة. وقررت سلطات إنفاذ القانون الأمريكية تقديم مكافأة قدرها 10 ملايين دولار للحصول على معلومات تتعلق بفيروس Cl0p.

ما هو فيروس Cl0p؟

إذن، ما هو فيروس Cl0p؟ يُظهر تحليل برنامج طلب الفدية Cl0p أنه نسخة مختلفة من برنامج طلب الفدية CryptoMix. وعلى غرار البرامج الضارة التي يستند إليها، يصيب فيروس cl0p الجهاز المستهدف. ومع ذلك، في هذه الحالة، يعيد برنامج طلب الفدية تسمية جميع الملفات بامتداد ‎.cl0p ويشفرها ويجعلها غير قابلة للاستخدام.

ولتنفيذ هجماته بشكل فعال، يتوافق برنامج طلب الفدية cl0p مع تنسيق Win32 PE (القابل للتنفيذ المحمول) للملفات القابلة للتنفيذ. والأهم من ذلك أن الباحثين اكتشفوا ملفات قابلة للتنفيذ لفيروس cl0p بتوقيعات تم التحقق منها مما يمنحه مظهرًا شرعيًا ويساعد البرامج الضارة على التهرب من اكتشافها بواسطة برامج الأمان. ثم يشفر Cl0p الملفات باستخدام تشفير البث RS4 ثم يستخدم RSA 1024 لتشفير مفاتيح RC4. وتكون جميع الملفات الموجودة على أي جهاز معرضة للخطر أثناء هذا النوع من الإصابة ببرامج طلب الفدية، بما في ذلك الصور ومقاطع الفيديو والموسيقى والمستندات.

وبعد تشفير الملفات، يصدر فيروس cl0p فدية من المهاجم إلى الضحية. وإذا لم يتم دفع هذه الفدية، يهدد المهاجم بتسريب البيانات من هذه الملفات. وهذا ما يُعرف باسم "الابتزاز المزدوج" بسبب التكتيك المزدوج المتمثل في عرض ملفات الضحية والتهديد بتسريب البيانات علنًا. ويُطلب من الضحايا عادةً دفع الفدية بعملة البيتكوين أو أي عملة رقمية أخرى.

من يقف وراء برنامج طلب الفدية cl0p؟

لكن ما هو برنامج طلب الفدية cl0p؟ يُعتقد أن برنامج طلب الفدية Cl0p تم تطويره بواسطة مجموعة مجرمي إنترنت ناطقة بالروسية تعمل على إعداد برامج طلب الفدية كخدمة والتي تحركها المكاسب المالية في المقام الأول. وتُعرف هذه المجموعة عادةً باسم TA505، على الرغم من أنه غالبًا ما يُستخدم بالتبادل مع اسم FIN11. ومع ذلك، ليس من الواضح تمامًا ما إذا كانتا مجموعة واحدة، أو ما إذا كانت مجموعة FIN11 هي مجموعة فرعية من TA505.

أيًا كان الاسم الذي تستخدمه، تدير عصابة برنامج طلب الفدية cl0p هذه منتجها على نموذج برامج طلب الفدية كخدمة. وعلى هذا النحو، فإن فيروس cl0p متاح للبيع على الويب المظلم، ويمكن استخدامه تقنيًا من قبل أي مجرم إلكتروني على استعداد لدفع ثمن برنامج طلب الفدية.

برنامج طلب الفدية Cl0p: طريقة العمل

تنفذ مجموعة برنامج طلب الفدية cl0p هجماتها بشكل أساسي كعملية متعددة الخطوات. وهي:

  1. يستخدم المهاجمون البرامج الضارة للوصول إلى الجهاز المستهدف باستخدام طرق مختلفة.
  2. بعد ذلك، يُجرون الاستطلاع يدويًا على الجهاز ويسرقون البيانات التي يريدونها.
  3. في هذه المرحلة، يقومون بتشغيل برنامج التشفير لقفل الملفات الموجودة على الجهاز المستهدف عن طريق تغيير امتدادها، مما يجعلها غير قابلة للاستخدام. وفي الآونة الأخيرة، كما في حالة هجمات 2023 من خلال برنامج نقل الملفات MOVEit، تمت سرقة البيانات دون تشفير الملفات.
  4. عندما يحاول الضحية فتح أحد الملفات المشفرة، فإنه يتلقى مذكرة فدية تحتوي على تعليمات عن كيفية إجراء الدفع.
  5. يستخدم المهاجم "الابتزاز المزدوج"، مهددًا بتسريب البيانات المسروقة من جهاز الضحية إذا لم يتم دفع الفدية.
  6. إذا تم دفع الفدية، يتلقى الضحية مفتاح فك التشفير الذي يعيد الملفات الموجودة على جهازه.

يستخدم المهاجمون طرقًا مختلفة لتوصيل برنامج طلب الفدية cl0p إلى الأجهزة المستهدفة. وهي تشمل ما يلي:

  • التصيد الاحتيالي (باستخدام تقنيات الهندسة الاجتماعية)
  • استغلال الثغرات الأمنية في البرامج
  • مرفقات وروابط البريد الإلكتروني المصابة
  • مواقع الويب المصابة
  • اختراق الخدمات الخارجية عن بعد

بغض النظر عن الطريقة التي يختارونها لإيصال فيروس حصان طروادة cl0p إلى الجهاز المستهدف، فإن الهجوم الناتج يعمل بالطريقة نفسها بشكل أساسي. ويكون الهدف دائمًا الحصول على فدية من الضحية. ومع ذلك، في العديد من الحالات، يأخذ المهاجم المبلغ ولا يرد. وفي هذه الحالات، لا يتلقى الضحية مفتاح فك التشفير ولا يمكنه استعادة الوصول إلى ملفاته.

منع برنامج طلب الفدية CL0P

من الضروري أن يتبع جميع مستخدمي الجهاز الأحكام الأساسية لسلامة الكمبيوتر لتجنب الإصابة بفيروس cl0p. وبشكل عام، هذه هي المبادئ نفسها التي تنطبق على منع كل أنواع الهجمات الإلكترونية، مثل:

  • تضمين تهديدات البرامج الضارة في التدريب على التوعية الأمنية للمؤسسات لضمان بقاء الموظفين على اطلاع دائم بأحدث التهديدات والتدابير الوقائية - قد تكون Kaspersky Automated Security Awareness Platform أداة مفيدة في هذا الصدد.
  • حماية بيانات الشركة، بما في ذلك تقييد ضوابط الوصول.
  • تجنب الوصول إلى خدمات سطح المكتب عن بُعد باستخدام الشبكات العامة - إذا لزم الأمر، استخدم كلمات مرور قوية لهذه الخدمات.
  • إجراء نسخ احتياطي للبيانات دائمًا وتخزينها في موقع منفصل، مثل التخزين السحابي أو محركات الأقراص الخارجية في المكاتب الخلفية.
  • حافظ على تحديث كل البرامج والتطبيقات، بما في ذلك أنظمة التشغيل وبرامج الخادم، لضمان تثبيت أحدث تصحيحات الأمان - من المهم بشكل خاص تثبيت تصحيحات لحلول VPN التجارية على الفور التي تسمح للموظفين بالوصول عن بُعد إلى الشبكات المؤسسية؛ ويمكن أن تكون التحديثات وعمليات التثبيت التلقائية المجدولة خارج ساعات العمل مفيدة هنا.
  • البقاء على اطلاع بأحدث تقارير معلومات التهديدات.
  • استخدام حلول البرامج مثل Kaspersky Endpoint Detection أو Kaspersky Managed Detection and Response Service للاكتشاف المبكر للتهديدات لتحديد الهجمات وإيقافها في المراحل المبكرة.
  • استخدام حلول أمان نقطة النهاية الجديرة بالثقة - يتضمن Kaspersky Endpoint Security for Business منع الاستغلال واكتشاف السلوك باستخدام الذكاء الاصطناعي ومعلومات التهديدات من الخبراء وتقليل أسطح الهجمات ومحرك معالجة يمكنه التراجع عن الإجراءات الضارة.

التعامل مع فيروس برنامج طلب الفدية CL0P

بمجرد إصابة جهاز بفيروس cl0p، لا يوجد للأسف الكثير الذي يمكن فعله لاستعادة الوصول إلى ملفاته. وكما هو الحال مع أي نوع من هجمات برامج طلب الفدية، فإن النصيحة العامة هي عدم دفع الفدية المطلوبة. ويرجع ذلك إلى أن المهاجمين غالبًا لا يقدمون مفتاح فك التشفير بعد تلقي مبلغ الفدية. وحتى لو فعلوا ذلك، فإن نجاح الهجوم يمنحهم الثقة والتشجيع لمواصلة هذه الهجمات على ضحايا آخرين مطمئنين.

بدلاً من دفع الفدية، من الأفضل عادة الاتصال بالسلطات للإبلاغ عن الهجوم وبدء تحقيق فيه. ومن الممكن أيضًا استخدام أحد البرامج العديدة المتاحة على نطاق واسع لفحص الجهاز وإزالة برنامج طلب الفدية CL0P. ومع ذلك، لا يؤدي هذا إلى استعادة الملفات التي تم تشفيرها أثناء الهجوم. وعلى هذا النحو، من المهم إنشاء نسخ احتياطية منتظمة وتخزينها في مكان منفصل - مثل محرك أقراص خارجي أو على السحابة - بحيث تظل متاحة في حالة حدوث هجوم.

يعد الحذر ضروريًا دائمًا عندما يتعلق الأمر بسلامة جهاز الكمبيوتر الخاص بك. ومن المهم الانتباه عند تصفح الإنترنت وتنزيل البرامج وتثبيتها وتحديثها.

تهديد Cl0p

تعد برامج الفدية Cl0p، مثلها مثل الأنواع الأخرى من الفيروسات والبرامج الضارة، تهديدًا مستمرًا للأمن الإلكتروني في مجتمع أصبح الآن رقميًا إلى حد كبير. يعد فيروس cl0p تهديدًا محددًا ضمن مجموعة كبيرة من البرامج الضارة الابتزازية، لكنه تهديد يثير قلق الشركات والمؤسسات بشكل خاص. وعلى الرغم من الآثار الخطيرة التي قد تترتب على ضحاياه، إلا أن هناك بعض التدابير الوقائية والضمانات التي يمكن تنفيذها لمحاولة تقليل مخاطر الهجمات من cl0p أو التخفيف من آثارها في حالة وقوع هجوم.

مقالات ذات صلة:

المنتجات والخدمات ذات الصلة:

برنامج طلب الفدية CL0P: ما هو وما طريقة عمله؟

قلل من تهديدات برامج طلب الفدية cl0p من خلال معرفة طريقة عملها وكيفية منع هذه الهجمات. اعرف المزيد على مركز موارد Kaspersky.
Kaspersky logo

مقالات ذات صلة