content/ar-ae/images/repository/isc/2020/lockbit-ransomware-cover.jpg

 

تعريف LockBit

نامج الفدية LockBit هو برنامج ضار مصمم يمنع وصول المستخدم إلى نظام تشغيل الكمبيوتر إلا بعد دفع فدية. ويقوم LockBit تلقائيًا بفحص الأهداف الثمينة ونشر نفسه وتشفير جميع أنظمة الكمبيوتر التي يمكن الوصول إليها على الشبكة. الاستخدام الرئيسي لبرنامج الفدية هذا هو شن هجمات شديدة على الشركات والمؤسسات الأخرى؛ ونظرًا لأنه هجوم سيبراني ذاتي التوجيه، فقد ترك مهاجمو LockBit بصمتهم من خلال تهديد المنظمات عالميًا ببعض التهديدات التالية:

  • تعطيل العمليات مع توقف الوظائف الأساسية فجأة.
  • الابتزاز لتحقيق مكاسب مالية للمخترقين.
  • سرقة البيانات والنشر غير القانوني كابتزاز وتهديد إذا لم تمتثل الضحية.

ما هو برنامج الفدية LockBit‏؟

LockBit هو هجوم جديد من برامج الفدية في سلسلة طويلة من الهجمات السيبرانية الابتزازية. أول ما ظهر هذا النوع كان يعرف باسم برنامج الفدية "ABCD"، ومنذ ذلك الحين انتشر ليصبح تهديدًا فريدًا ضمن نطاق أدوات الابتزاز هذه. إن LockBit فئة فرعية من برامج الفدية المعروفة باسم "فيروس التشفير" نظرًا لتشكيل طلبات فدية له حول دفع مبلغ مالي مقابل فك التشفير، فهو بهذا يركز في الغالب على الشركات والمنظمات الحكومية وليس الأفراد.

بدأت الهجمات باستخدام LockBit أول ما بدأت في سبتمبر 2019 عندما كان يسمى "فيروس .abcd". كان هذا الاسم المستعار يشير إلى اسم امتداد الملف المستخدم عند تشفير ملفات الضحية. ومن أبرز أهدافه السابقة: منظماتٍ في الولايات المتحدة والصين والهند وإندونيسيا وأوكرانيا؛ كما شهدت عدة دول مختلفة في جميع أنحاء أوروبا (من بنيها فرنسا والمملكة المتحدة وألمانيا) هجماتٍ له.

الأهداف التي يمكن استهدافها هي تلك التي سوف تتضرر من تشفير ملفاتها وتضطر إلى دفع مبلغ ضخم من أجل استردادها، وكذلك لديها المال الكافي للدفع. ومن ثم يمكن أن يتسبب ذلك في شن هجمات على الشركات الكبيرة في شتى المجالات، من الرعاية الصحية إلى المؤسسات المالية. في عملية الفحص الآلي التي يقوم بها، يبدو أيضًا أنه يتجنب عمدًا مهاجمة الأنظمة المحلية في روسيا أو أي دولة أخرى داخل رابطة الدول المستقلة؛ الاحتمال الأقرب للمنطق هنا هو تجنبها لعدم التعرض للملاحقة القضائية في تلك المناطق

يعمل LockBit مثل برامج الفدية كخدمة (RaaS) حيث تدفع الأطراف الراغبة في استخدام هذا البرنامج مبلغًا من أجل استخدام البرنامج والربح ضمن إطار عمل تابع. بعدها يتم تقسيم الأرباح بين فريق مطوري LockBit والشركات التابعة المهاجمة التي تحصل على ما يصل إلى ¾ أموال الفدية!

كيف يعمل برنامج الفدية LockBit؟

العديد من السلطات تعتبر برنامج الفدية LockBit جزءًا من عائلة البرامج الضارة "LockerGoga وMegaCortex". هذا يعني ببساطة أنه يشترك في السلوكيات مع هذه الأشكال المعروفة من برامج الفدية المستهدفة. كتوضيح سريع، نحن نفهم أن هذه الهجمات:

  • ذاتية الانتشار داخل المنظمة بدلًا من طلب التوجيه اليدوي.
  • مستهدفة بدلًا من الانتشار عشوائيًا مثل البرامج الضارة العشوائية.
  • تستخدم أدواتٍ مماثلة للنشر، مثل ويندوز باورشل وبروتوكول كتلة رسالة الخادم (SMB).

الأهم من كل ذلك هو قدرته على الانتشار الذاتي، مما يعني أنه ينتشر من تلقاء نفسه. يتم توجيه LockBit في برمجته من خلال عمليات آلية مصممة مسبقًا، وهذا يجعله فريدًا من بين العديد من هجمات برامج الفدية الأخرى الناتجة عن العيش خاملة في الشبكة — أحيانًا لأسابيع — لاستكمال عمليات الاستكشاف والمراقبة.

بعد أن يصيب المهاجم مضيفًا واحدًا يدويًا، يمكنه العثور على مضيفين آخرين يمكن الوصول إليهم وربطهم بالمضيف المصاب ثم مشاركة الإصابة باستخدام برنامج نصي. تتم هذه العملية وتتكرر بالكامل دون أي تدخل بشري.

إضافة إلى ذلك، يستخدم البرنامج أدوات في أنماط أصلية لجميع أنظمة الكمبيوتر التي تعمل بنظام التشغيل Windows تقريبًا. تواجه أنظمة أمان نقطة النهاية صعوبةً في الإبلاغ عن نشاط ضارٍّ، كما أنه يخفي ملف التشفير القابل للتنفيذ من خلال تمويهه على أنه تنسيق ملف صورة PNG الشائع، مما يؤدي إلى خداع دفاعات النظام.

مراحل هجمات LockBit

يمكن تقسيم هجمات LockBit إلى ثلاث مراحل تقريبًا:

  1. استغلال
  2. اختراق
  3. نشر

المرحلة الأولى: استغلال نقاط الضعف في الشبكة. يبدو الاختراق الأوَّلي مثل الهجمات الضارة الأخرى حيث قد يتم استغلال المنظمة من خلال وسائل الهندسة الاجتماعية مثل التصيد الاحتيالي، حيث ينتحل المهاجمون شخصيات أو سلطات موثوقًا بها لطلب بيانات اعتماد الوصول. يمكن كذلك استخدام هجمات القوة العمياء بنفس القدر على خوادم الشبكة الداخلية وأنظمة الشبكة الخاصة بالمنظمة. وبدون التكوين السليم للشبكة، قد تستغرق مسارات الهجوم بضعة أيام حتى تكتمل.

وبمجرد تحويل LockBit إلى شبكة، يقوم برنامج الفدية بإعداد النظام لإطلاق حمولة التشفير الخاصة به عبر كل جهاز يمكنه ذلك. رغم ذلك، قد يضطر المهاجم إلى التأكد من إكمال بضع خطوات إضافية قبل أن يتمكن من اتخاذ الخطوة النهائية

المرحلة الثانية: اختراق أعمق لإكمال إعداد الهجوم إذا لزم الأمر. من هذه المرحلة، يقوم برنامج LockBit بتوجيه كل الأنشطة بشكل مستقل؛ ولقد تم برمجته لاستخدام ما يعرف بأدوات "مرحلة ما بعد الاستغلال" لرفع الصلاحيات من أجل تحقيق مستوى وصول جاهز للهجوم، كما أنه يتعمق عبر الوصول المتاح بالفعل عن طريق الحركة الجانبية لفحص صلاحية الهدف

في هذه المرحلة، سيتخذ LockBit أي إجراءات تحضيرية قبل نشر جزء التشفير من برنامج الفدية. ويتضمن ذلك تعطيل برامج الأمان وأي بنية أساسية أخرى يمكن أن تسمح باستعادة النظام. 

إن الهدف من الاختراق هو جعل الاستعادة دون مساعدة أمرًا مستحيلًا أو بطيئًا بدرجة كافية بحيث يكون الخضوع لفدية المهاجم هو الحل العملي الوحيد. فعندما يكون الضحية يائسًا من إعادة العمليات إلى طبيعتها، يكون هذا هو الوقت الذي سيدفع فيه الفدية المطلوبة.

المرحلة الثالثة: نشر حمولة التشفير. بمجرد أن يتم إعداد الشبكة لنشر LockBit بالكامل، سيبدأ برنامج الفدية في الانتشار عبر أي جهاز يتمكن من الوصول إليه. وكما ذكرنا سابقًا، لا يحتاج LockBit إلى الكثير لإكمال هذه المرحلة، بل يمكن لوحدة نظام واحدة ذات وصول عالٍ إصدار أوامر لوحدات الشبكة الأخرى لتنزيل LockBit وتشغيله.

سيضع جزء التشفير "قفلًا" على جميع ملفات النظام، ولا يمكن للضحايا فتح أنظمتهم إلا عبر مفتاح مخصص يتم إنشاؤه بواسطة أداة فك التشفير الخاصة ببرنامج LockBit. تترك هذه العملية أيضًا نسخًا من ملف نصي بسيط لطلب الفدية في كل مجلد بالنظام، وبهذا يزود الضحية بالتعليمات الواجب اتباعها لاستعادة نظامه، وقد تضمن أيضًا تهديدًا بالابتزاز في بعض إصدارات LockBit.

ومع اكتمال كافة المراحل، تُترك الخطوات التالية للضحية: التواصل مع مكتب دعم LockBit ودفع الفدية. ومع ذلك، لا ينصح باتباع مطالبهم، فالضحايا ليس لديهم أي ضمان بأن المهاجمين سيفون بوعدهم بعد الدفع.

أنواع تهديدات LockBit

بوصفه أحدث شكل هجومي لبرامج الفدية، يمكن أن يُشكِّل تهديد LockBit مصدر قلق كبير. لا يمكننا استبعاد أنه يمكن أن يترسخ عبر العديد من الصناعات والمنظمات، خاصةً مع الزيادة الأخيرة في العمل عن بُعد. يمكن أن يساعدك اكتشاف متغيرات LockBit في تحديد ما تتعامل معه بالضبط.

المتغير الأول —. امتداد abcd

الإصدار الأصلي من LockBit يعيد تسمية الملفات بأخرى تحمل امتداد "abcd". إضافةً إلى ذلك، يتضمن طلب فدية مع المطالب والتعليمات بشأن عمليات الاستعادة المزعومة في ملف "Restore-My-Files.txt"، والذي يوضع في كل مجلد.

المتغير الثاني — امتداد .LockBit

الإصدار الثاني المعروف من برنامج الفدية هذا اعتمد امتداد الملف ".LockBit"، وهذا ما يمنحه اسمه الحالي. ومع ذلك، سيجد الضحايا أن السمات الأخرى لهذا الإصدار تبدو متطابقة غالبًا على الرغم من بعض المراجعات الخفية

المتغير الثالث — .LockBit الإصدار الثاني

لم يعد الإصدار التالي المميز من LockBit يتطلب تنزيل متصفح Tor في تعليمات الفدية الخاصة به. بل بدلًا من ذلك يرسل الضحايا إلى موقع إلكتروني بديل عبر الوصول التقليدي إلى الإنترنت؟

التحديثات والمراجعات المستمرة لبرنامج LockBit

تم مؤخرًا تحسين LockBit بمزيدٍ من المزايا الناشئة مثل إبطال العلامات المحددة للتصاريح الإدارية. يقوم LockBit الآن بتعطيل مطالبات الأمان التي قد يراها المستخدمون عندما يحاول أحد التطبيقات العمل كمسؤول!

كذلك تم إعداد ذها البرنامج الضار الآن لسرقة نسخ من بيانات الخادم، ويتضمن سطور ابتزاز إضافية مدرجة في طلب الفدية. وفي حال عدم اتباع الضحية للتعليمات، يهدد LockBit عندها بالنشر العلني للبيانات الشخصية للضحية.

إزالة LockBit وفك التشفير

إذا كانت شركتك مصابة بالفعل، فإن إزالة برنامج الفدية LockBit وحده لا يمنحك الوصول إلى ملفاتك، بل ستظل بحاجة إلى أداة لاستعادة نظامك، حيث يتطلب التشفير "مفتاحًا" لإلغاء القفل. بدلًا من ذلك، قد تتمكن من استعادة أنظمتك من خلال إعادة تثبيتها إذا كان لديك صور احتياطية تم إنشاؤها مسبقًا قبل الإصابة.

كيفية تحمي نفسك من برنامج الفدية LockBit

ستحتاج على أي حال إلى إعداد تدابير وقائية لضمان تكيُّف منظمتك مع أي برامج فدية أو هجمات ضارة قبل وقوعها من الأساس. إليك بعض الممارسات التي يمكن أن تساعدك على الاستعداد:

  1. تعيين كلمات مرور قوية: تظهر العديد من نقاط خرق الحسابات بسبب سهولة تخمين كلمات المرور، أو تلك التي تكون بسيطة بما يكفي لتكتشفها أداة خوارزمية في غضون أيام قليلة من التحقيق. لهذا تأكد من اختيار كلمة مرور آمنة، مثل اختيار كلمة مرور طويلة مع حروف مختلفة، واستخدام القواعد التي يتم إنشاؤها ذاتيًا لصياغة عبارات المرور
  2. تنشيط المصادقة ثنائية العوامل: احم نفسك من هجمات القوة العمياء عن طريق إضافة طبقات على عمليات تسجيل الدخول الأوَّلية المستندة إلى كلمة المرور. يمكنك إضافة تدابير مثل القياسات الحيوية أو مفتاح USB فعلي للمصادقة على جميع أنظمتك إن أمكن.
  3. إعادة تقييم وتبسيط أذونات حساب المستخدم: حدد الأذونات بمستويات أكثر صرامةً للحد من التهديدات المحتملة من المرور دون رادع. اهتم على الأخص بالأذونات التي يصل إليها مستخدمو نقطة النهاية وحسابات تكنولوجيا المعلومات بأذونات على مستوى المسؤول. يجب تأمين مجالات الويب والمنصات التعاونية وخدمات اجتماعات الويب وقواعد بيانات الشركة.
  4. مسح حسابات المستخدمين القديمة وغير المستخدمة: قد تحتوي بعض الأنظمة القديمة على حسابات من موظفين سابقين لم يتم تعطيلها وإغلاقها. يجب أن يتضمن استكمال فحص أنظمتك إزالة نقاط الضعف المحتملة هذه
  5. التأكد من أن تكوينات النظام تتبع جميع الإجراءات الأمنية: قد يستغرق هذا وقتًا طويلًا، لكن إعادة النظر في الإعدادات الحالية قد يكشف عن مشكلات جديدة وسياسات قديمة تعرض منظمتك لخطر الهجوم. يجب إعادة تقييم إجراءات التشغيل القياسية بشكل دوري لمواجهة التهديدات السيبرانية الجديدة.
  6. الاحتفاظ دائمًا بنسخ احتياطية على مستوى النظام وإعداد صور نظيفة للآلة المحلية: ستحدث حوادث لا شك، والحماية الحقيقية الوحيدة ضد فقدان البيانات بلا رجعة هي إنشاء نسخ غير متصلة بالإنترنت. يجب أن تقوم مؤسستك بشكل دوري بإنشاء نسخ احتياطية لمواجهة أي تغييرات مهمة في أنظمتك. وفي حال إصابة نسخة احتياطية من خلال البرامج الضارة، فضع في اعتبارك وجود نقاط احتياطية أخرى متعددة تختر السليم من بينها.

مقالات ذات صلة:

برنامج الفدية LockBit — ما تحتاج إلى معرفته

ما هو LockBit؟ هو أحدث برامج الفدية التي أثرت في الشركات على مستوى العالم. تعلم هنا كيفية حماية عملك من برنامج الفدية الضار والخطير هذا.
Kaspersky Logo