ما هو برنامج الفدية Maze؟ التعريف والشرح

برنامج الفدية Maze – المعنى والتعريف

برنامج الفدية Maze هو سلالة معقدة من برامج فدية نظام Windows التي تستهدف المؤسسات حول العالم عبر مختلف القطاعات. وكما هو الحال مع أشكال برامج الفدية الأخرى، يطلب برنامج الفدية Maze الحصول على أموال بالعملات الرقمية مقابل الاسترداد الآمن للبيانات المشفرة.

وفي حال رفض ضحايا برنامج الفدية Maze للدفع، يهدد المجرمون بتسريب البيانات السرية للضحايا، وازدادت رؤية هذا السلوك في الأشكال الجديدة من برامج الفدية، مثل REvil/Sodinokibi, JSWorm/Nemty/Nefilim, Clop وغيرها.

ما هو برنامج الفدية Maze؟

برنامج الفدية Maze مصمم ليكون بديلاً لبرنامج الفدية ChaCha، وتم اكتشافه في مايو 2019. ومنذ ديسمبر 2019 وبرنامج الفدية Maze نشط للغاية في استهداف الضحايا عبر مختلف القطاعات.

كيف يعمل برنامج الفدية Maze؟

يتم في العادة نشر برنامج الفدية Maze عبر ما يلي:

1. رسائل البريد الإلكتروني العشوائية، وغالبًا باستخدام روابط أو مرفقات خبيثة (غالبًا ما تكون ملفات برنامج Word أو Excel)
2. هجمات القوة العمياء عبر بروتوكول سطح المكتب البعيد (RDP)
3. باستخدام عدة استغلال

يمكن للهجمة في بعض الحالات أن تأتي من عميل أو شريك مؤسسة قط وقع ضحية بالفعل للمخترقين. وبمجرد أن يكتسب برنامج الفدية Maze الوصل إلى شبكة، يحاول المتحكمون في ذلك الفيروس بعدها الانتشار والحصول على مزايا أعلى حتى يمكنه بعد ذلك نشر تشفير الملفات عبر جميع الأقراص. Maze بالأخص خطير لأنه يعمل كذلك على سرقة البيانات وتسريبها إلى الخوادم التي يتحكم فيها مخترقون خبثاء يهددون بالكشف عن تلك البيانات في حال عدم دفع تلك الفدية.

قد تقدر المؤسسات على استعادة بياناتها من نسخة احتياطية آمنة للظهور وتشغيلها مرة أخرى (إذا لم يتم اختراق النسخة الاحتياطية نفسها)، لكن هذا لا يلغي حقيقة أن المجرمين يملكون الآن نسخة من بيانات المؤسسة. باختصار: Maze هو خليط بين هجوم برامج الفدية واختراق البيانات.

الموقع الإلكتروني لبرنامج الفدية Maze

مبتكرو برنامج الفدية Maze يديرون موقعًا إلكترونيًا حيث يدرجون قائمة بضحاياهم (الذين يسمونهم "عملاء")، وينشرون بانتظام على ذلك الموقع الإلكتروني عينات من البيانات المسروقة في شكل عقاب! يشمل الموقع الإلكتروني هذا تفاصيل عن وقت إصابة الضحايا ببرنامج الفدية Maze وكذلك روابط لتنزيلات من البيانات والمستندات المسروقة بمثابة "دليل". وما يزيد الاستفزاز أن الموقع الإلكتروني يتميز بالشعار الساخر "المحافظة على سلامة العالم"، بل حتى يشمل أزرار للمشاركة على منصات التواصل الاجتماعي لإمكانية مشاركة البيانات المخترقة عبر الشبكات الاجتماعية بكل سهولة.

يحذر الموقع الإلكتروني لبرنامج الفدية Maze ضحاياه منه أنه سيفعل ما يلي في حال عدم سداد الفدية:

• نشر على الملأ تفاصيل الاختراقات الأمنية وإبلاغ الإعلام بها
• بيع المعلومات المسروقة ذات القيمة التجارية على الإنترنت المظلم
• أبلغ أي بورصات ذات صلة باختراق المعلومات الحساسة وفقدانها بهدف خفض سعر سهم الشركة
• استخدم المعلومات المسروقة في مهاجمة العملاء والشركاء وإبلاغهم أن الشركة قد تعرضت للاختراق

يعتقد الكثيرون أن Maze يعمل من خلال شبكة تابعة حيث يشارك المطورون عائداتهم مع مجموعات مختلفة تستخدم فيروس الفدية Maze في الشبكات التنظيمية.

وفي 2020، تعاون المجرمون الذين ابتكروا Maze مع مجموعتين مجرمتين غيرهما: LockBit وRagnarLocker، وبهذا شكلوا ميثاقًا من برامج الفدية، ووحد المجرمون جهودهم، وتم نشر البيانات التي سرقتها هذه المجموعات على موقع Maze الإلكتروني. وبعد هذا التعاون، استخدام Maze تقنيات تنفيذية لم يكن يستخدمها قبل ذلك إلا مجموعة RagnarLocker.

نهاية برنامج الفدية Maze؟

في نهاية عام 2020 أعلنت مجموعة برنامج الفدية Maze أنها ستغلق في بيان غير متسق، وقالوا إنهم لن يحدثوا موقعهم الإلكتروني بأي تحديث بعد ذلك وأن الضحايا الذين يرغبون في إزالة بياناتهم يمكن أن يتواصلوا مع "دردشة الدعم".

ادعت المجموعة أنهم بدأوا هجماتهم لرفع الوعي بالأمن السيبراني، وفي الوقت نفسهم ادعوا أمرًا محيرًا وهو أن المجموعة لم توجد في الأساس إلا في عقول الصحفيين الذين كانوا يكتبون عنها.

مما ادعوه أيضًا أنهم كانوا يملكون إمكانية الوصول إلى أنظمة تكنولوجيا المعلومات في حكومة ولاية نيويورك والعديد من مزودي خدمة الإنترنت ولكنهم اختاروا عدم مهاجمتهم.

يجب التعامل مع ادعاءات المجموعة بحل نفسها وتفككها بحذر، فسابقًا عصابة برامج الفدية GandCrab أعلنت اعتزالها العمل لكنها عادت مرة أخرى في ثوب جديد باسم REvil/Sodinokibi. التشابه بين Maze وبين سلالتين من برامج الفدية قد نشأتا حديثًا معروفين باسم Egregor وSekhmet تشابه ملحوظ للغاية ويشير بقوة إلى أن المجموعة ببساطة تحولت إلى موجة جديدة من الهجمات السيبرانية.

هجمات برنامج الفدية Maze - أمثلة

من أمثلة الضحايا برنامج الفدية Maze الجديرين بالملاحظة:

هجمة برنامج الفدية Maze على Cognizant

استهدفت واحدة من أكثر هجمات برنامج الفدية Maze شهرةً شركة Cognizant، وهي إحدى أعلى 500 شركة مساهمة أمريكية حسب إيراداتها وأحد أكبر مزودي خدمات تكنولوجيا المعلومات في العالم.

في إبريل 2020، تعرضت شركة Cognizant لهجوم من مجموعة برنامج الفدية Maze، وتسبب هذا الهجوم في تعطل خدمات العملاء وكذلك تشفير وتعطيل بعض الأنظمة الداخلية، كما أجبر الشركة على إغلاق بعض الأنظمة الأخرى.

وقع الهجوم بينما كان جائحة Covid-19 في أوجها عندما كان الموظفون يحاولون العمل عن بُعد، وتأثرت قدرة الموظفين على العمل بتعطيل أنظمة الكمبيوتر التي تدعم البنية التحتية الافتراضية لأجهزة الكمبيوتر. أيضًا تم حذف الأدلة الداخلية، وهذا جعل من الصعب على الموظفين التواصل مع بعضهم بعضًا وعلى فرق المبيعات للتواصل مع العملاء المحتملين والعملاء الفعليين، كما تم فقد الوصول إلى البريد الإلكتروني في بعض الحالات.

اختبار بعض عملاء شركة Cognizan حماية أنفسهم من البرنامج الضار بإغلاق وصول Cognizan إلى شبكاتهم وبالتالي إيقاف مشروعاتهم مؤقتًا، وشركة Cognizant بدورها استعانت بأفضل الخبراء في الأمن السيبراني لمساعدة فرق أمن تكنولوجيا المعلومات الداخلية لديهم تم الإبلاغ أيضًا عن هجوم الفدية على شركة Cognizant لوكالات إنفاذ القانون، وتم تزويد عملاء Cognizant بتحديثات مستمرة.

حذرت شركة Cognizant في إشعارات خرق البيانات الخاصة بها من سرقة المعلومات الشخصية الحساسة مثل أرقام التأمين الاجتماعي والأرقام الضريبية والمعلومات المالية ورخص القيادة وجوازات السفر. أما بالنسبة للموظفين الذين كانوا يملكون بطاقات ائتمان للشركة، حذرت الشركة من احتمال تعرضها للاختراق خلال الهجوم، كما وفَّرت Cognizant عامًا مجانيًا من الحماية من سرقة الهوية ومراقبة الإنترنت المظلم للمتضررين.

قُدِّر أن هجوم برنامج الفدية Maze على شركة Cognizant كلفها من 50 مليون دولار إلى 70 مليون دولار في أعقاب ذلك مباشرة، مع تكبد المزيد من التكاليف بعد ذلك من أجل استعادة أنظمة الكمبيوتر بالكامل.

يشمل عملاء شركة شركات Cognizant شركتا الخدمات المالية ING وStandard Life، وشركة السيارات Mitsubishi Motors، وشركة خدمات الموارد البشرية PeopleSoft، لكن لم تكشف شركة Cognizant عن العملاء الذين تضرروا من الهجوم.

هجمة برنامج الفدية Maze على كانون

في أغسطس 2020، أفادت تقرير بوقوع كانون ضحية لهجوم برنامج الفدية Maze. استخرجت العصابة ما يصل إلى 10 تيرابايت من بيانات كانون، وقد أثر الحادث على حوالي 25 مجالاً مختلفًا تملكهم كانون وعددًا من تطبيقاتها الداخلية، وشمل ذلك خدمات البريد الإلكتروني والتعاون.

أثرت هجمة برنامج الفدية Maze هذه على مستخدمي خدمة التخزين المجاني 10 جيجابايت، وأقرت كانون بأن أي بيانات أو صور محفوظة قبل 16 يونيو 2020 تم فقدانها، لكنها قالت إنه لم يكن هناك تسرب لبيانات الصور. لا يمكن الوصول إلى الصور المصغرة لهذه المعلومات عبر الإنترنت إلا أنه لا يزال من الممكن عرضها، لكن النقر على أي من الصور يتسبب في خطأ على الموقع الإلكتروني.

هجمة برنامج الفدية Maze على زيروكس

ادعى مديرو برنامج الفدية Maze في يوليو 2020 أنهم اخترقوا أنظمة زيروكس وهددوا بتسريب كميات هائلة من البيانات ما لم يتم دفع فدية لهم، ونشرت المجموعة مجموعة من 10 لقطات شاشة على موقعها الإلكتروني كدليل على الاختراق، وأثبتت لقطات الشاشة هذه أن العصابة قد سرقت بيانات ذات صلة بعمليات دعم العملاء.

هجمة برنامج الفدية Maze على مدينة بينساكولا الأمريكية

تعرضت مدينة بينساكولا في ولاية فلوريدا الأمريكية لهجوم في أواخر 2019، وهددت مجموعة برنامج الفدية Maze بتسريب البيانات ما لم يحصلوا على فدية قدرها 1 مليون دولار. أفادت التقارير أن المجموعة سرقت أكثر من 32 جيجابايت من البيانات من أنظمة المدينة المصابة، وسربوا 2 جيجابايت كدليل على الهجوم.

ونتيجة لهجوم برنامج الفدية Maze، تم إيقاف خدمات الدفع عبر الإنترنت للطاقة وخدمات الصرف الصحي، لكن من حسن حظ السكان أن خدمات أخرى مثل الشرطة والمطافئ كانت تعمل دون تأثير.

هل يجب دفع الفدية في حال تعرض لهجوم من برنامج الفدية Maze؟

لا ننصح بذلك، لأنه كلما زاد عدد الناس الذين يدفعون الفدية زاد طمع المجرمين وزادت احتمالية إطلاقهم لعمليات هجوم مشابهة في المستقبل.

لكن مع هذا، ترى بعض الشركات أن شركتها لن تنجو ما لم تدفع. لا توجد إجابة سهلة عن هذا، وهذا في النهاية قرار تتخذه كل منظمة بناءً على ظروفها الخاصة؛ وأيا كان القرار، من الأفضل إشراك سلطات إنفاذ القانون والعمل معهم عن كثب حتى يتمكنوا من التحقيق ومعرفة من قد يكون وراء الهجمات.

وبغض النظر عن دفع الشركات أو رفضها الدفع، من الضروري فهم المشكلات الأمنية التي أدت إلى الهجوم في المقام الأول، ويجب على الشركات معرفة ما حدث خطأ وكيفية إصلاح ذلك لمنع الهجمات السيبرانية في المستقبل.

وكرد لنهج برنامج الفدية الضار Maze، ينصح مكتب التحقيقات الفيدرالي الشركات بالتفكير بشكل استباقي في إنشاء ذاكرة تخزين مؤقت من البيانات الوهمية، والهدف من مجموعات البيانات الوهمية هذه هو تصعيب المهمة على المهاجمين في سرقة ملفات مهمة فعلًا في حال نجاح الاختراق.

كيفية الحماية من برنامج الفدية Maze

لا تتوقف برامج الفدية عن التطور، وأفضل خط دفاع ضدها هو الوقاية الاستباقية، لأنه بمجرد تشفير البرامج الضارة أو المتسللين للبيانات، غالبًا ما يكون قد فات أوان استعادتها.

نصائح للشركات للمساعدة في الوقاية من هجمات برامج الفدية:

1. إبقاء البرنامج وأنظمة التشغيل محدّثة

إبقاء البرنامج وأنظمة التشغيل محدّثة سيساعد في حمايتك من البرامج الضارة. احرص على تطبيق التصحيحات والتحديثات للبرامج مثل Microsoft Office وJava وAdobe Reader وAdobe Flash ومتصفحات الإنترنت مثل Internet Explorer وChrome وFirefox وOpera وما إلى ذلك، بما في ذلك ملحقات/إضافات المتصفح. عندما تقوم ببدء تحديث، ستستفيد من أحدث التصحيحات الأمنية، وهذا يزيد من صعوبة استغلال المجرمين الإلكترونيين الثغرات الأمنية في البرامج لديك.

2. استخدام برامج الأمن

بينما يزداد انتشار الجرائم الإلكترونية، تزداد أهمية الحماية من برامج الفدية بشكل يفوق أي وقت مضى. احمِ أجهزة الكمبيوتر لديك من برامج الفدية بواسطة حلّ شامل لأمن الإنترنت مثل Kaspersky Internet Security. عندما تقوم بتنزيل شيء ما أو تشغيل مقاطع على الإنترنت، يقوم البرنامج بحظر الملفات المصابة، الأمر الذي يمنع البرامج الضارة من إصابة جهاز الكمبيوتر الخاص بك ويبقي المجرمين الإلكترونيين بعيدين.

3. استخدم VPN في الوصول إلى الشبكة

استخدم VPN في الوصول إلى شبكة الإنترنت بدلًا من تعريض بروتوكول سطح المكتب البعيد (RDP) للإنترنت. يوفِّر Kaspersky Secure Connection خصوصية على الإنترنت والقدرة على الوصول إلى محتوى عالمي.

4. انسخ البيانات احتياطيًا

انسخ البيانات احتياطيًا بانتظام  في مكان آمن خارج الموقع حتى تتمكن من استعادة أي بيانات مسروقة في حال حدوث هجوم. من الطرق السهلة لتحقيق ذلك هي تمكين النسخ الاحتياطية التلقائية بدلاً من الاعتماد على التذكيرات الدورية من المستخدم. يجب اختبار النسخ الاحتياطية بانتظام لضمان حفظ البيانات بسلامة.

5. قم بتعليم الموظفين بمخاطر الأمن السيبراني وأعلمهم بها

يجب أن تضمن الشركات أن الموظفين على علم بالطرق التي يتبعها مجرمو الإنترنت لاختراق المنظمات إلكترونيًا، ويجب تدريب جميع الموظفين على أفضل ممارسات الأمن السيبراني، مثل ما يلي:

• تجنّب النقر فوق الروابط في رسائل البريد الإلكتروني العشوائية أو في مواقع الويب غير المألوفة. تشكّل عمليات التنزيل التي تبدأ عند النقر فوق روابط ضارة إحدى طرق إصابة أجهزة الكمبيوتر لديك.
• تجنب تنزيل برامج أو ملفات وسائط من المواقع غير المعروفة.
• تجنب فتح مرفقات البريد الإلكتروني من مرسِلين لا تثق بهم. اطّلع على مرسِل البريد الإلكتروني وتأكد من أنّ عنوان البريد الإلكتروني صحيح. تأكد من تقييم ما إذا كان المرفق يبدو حقيقيًا قبل فتحه. إذا كنت غير متأكد، اتصل بالشخص الذي تعتقد أنه أرسله وتحقق منه.
• إذا تلقيت مكالمة أو رسالة نصية أو رسالة بريد إلكتروني من مصدر غير موثوق به يطلب الحصول على معلومات شخصية، فلا تقم بمنحه إياها.
• لا تستخدم إلا تقنية آمنة للتوصيل عن بُعد في الشبكة المحلية للشركة.
• استخدم أمان نقطة النهاية مع اكتشاف السلوك والاستعادة التلقائية للملفات، مثل Kaspersky Endpoint Security for Business.
• استخدم كلمات مرور مميزة يصعب اختراقها لحماية البيانات والحسابات الحساسة مع تمكين المصادقة ثنائية العوامل.
• قم بتشفير البيانات الحساسة عند الإمكان.

بغض النظر عما إذا كانت مجموعة برنامج الفدية Maze تتفكك أو تتحول ببساطة إلى مجموعة إجرامية أخرى، فإن تهديد برامج الفدية سيستمر. وكما هو الحال دائمًا، اليقظة مطلوبة للبقاء على علم بالتهديدات الإلكترونية التي لا تتوقف عن التطور.

مقالات ذات صلة:

• أنواع برامج الفدية
• كيفية الحماية من هجمات برامج الفدية:
• ما هي أنواع برامج الفدية المختلفة؟
• ما هي النافذة المنبثقة "تم اكتشاف برامج فدية"؟
• ما هو الانتهاك الأمني؟