ما هي برامج الفدية؟
برامج الفديةهي نوع من البرمجيات الضارة (البرمجيات الخبيثة) التي يستخدمها المجرمون الإلكترونيون. إذا تمت إصابة جهاز كمبيوتر أو شبكة ببرنامج فدية، يعمل ذلك الفيروس على حجبالوصول إلى النظام أو يقوم بتشفيرالبيانات الموجودة. يطلب المجرمون الإلكترونيون مبلغ فدية من ضحاياهم مقابل فك التشفير عن البيانات! ومن أجل الحماية من الإصابة ببرنامج فدية، يجب توخي الحذر دائمًا وتثبيت تطبيق أمان. وبالنسبة لمن يقع ضحية لهجمات البرمجيات الضارة، يكون أمامهم ثلاثة اختيارات بعد حدوث الإصابة: إما أن يدفعوا الفدية أو يحاولوا إزالة البرنامج الضار أو يعيدون تشغيل الجهاز. أماكن دخول الهجمات التي تستغلها أحصنة طروادة التشفيرية في العادة تشمل بروتوكول سطح المكتب البعيدورسائل البريد الإلكتروني المتصيدةوالثغرات الأمنية في التطبيقات. وبهذا فإن هجمات برامج الفدية تستهدف كلٍ من الأفراد وكذلك الشركات.
معرفة برامج الفدية – العلامات الأساسية المميزة
بشكلٍ عام، يوجد نوعان من برامج الفدية شائعان للغاية:
- برنامج الفدية للجهاز. هذا النوع من البرمجيات الضارة يحجب الوصول إلى وظائف الكمبيوتر الأساسية، فيمكن على سبيل المثال ألا تتمكن من الوصول إلى سطح مكتب جهازك مع تعطيل الماوس ولوحة المفاتيح بشكل جزئي، وهذا يتيح لك الاستمرار في التفاعل مع النافذة التي تحتوي على طلب الفدية من أجل دفع المبلغ المطلوب، لكنك لا تتمكن من فعل اي شيء آخر على جهاز الكمبيوتر. لكن يوجد خبر جيد في هذا نوع من برامج الفدية، وهو أنه في العادة لا يستهدف الملفات المهمة للغاية، بل ما يفعله هو عدم تمكينك من استخدامها فقط، وبالتالي من المستبعد إتلاف بياناتك بالكامل.
- برامج الفدية للملفات. الهدف من هذا النوع من برامج الفدية هو تشفيربياناتك المهمة، مثل مستنداتك وصورك ومقاطع الفيديو، لكنه لا يعطِّل الوظائف الأساسية لجهاز الكمبيوتر. هذا يتسبب في الذعر لمعظم المستخدمين حيث يمكنهم رؤية ملفاتهم لكن لا يمكنهم الوصول إليها! وما يتسبب في مزيد من الذعر أن مطورو تلك البرمجيات الخبيثة غالبًا ما يضيفون عدًا تنازليًا لطلب الفدية مع رسالة كهذه: "إذا لم تدفع مبلغ الفدية قبل هذا الموعد، سيتم حذف جميع ملفاتك". وبالنظر إلى عدد المستخدمين الذين يهملون إنشاء نسخ احتياطية من ملفاتهم المهمة على خدمة سحابية أو على جهاز تخزين خارجي، يمكن لهذا النوع من برامج الفدية أن يسبب الكثير من الأضرار، وبالتالي يزيد عدد الضحايا الذي يدفعون الفدية المطلوبة ببساطة من أجل استعادة ملفاتهم.
Locky وPetya والمزيد.
الآن أنت تعرف ماهية برامج الفدية والنوعين الرئيسين لها، والآن حان وقت معرفة بعض الأمثلة المشهورة التي ستساعدك في تحديد المخاطر التي تشكلها عليك برامج الفدية:
Locky
Locky هو برنامج فدية أول استخدام له في الهجمات كان في 2016 على يد مجموعة من المخترقين المنظمين، وعمل ذلك الفيروس على تشفير أكثر من 160 نوعًا من الملفات، وكان ينتشر عن طريق رسائل البريد الإلكتروني المزيفة التي يوجد بها مرفقات مصابة. والمستخدمون يقعون ضحايا لهذه الرسائل المزيفة ويثبتون برنامج الفدية على أجهزة الكمبيوتر لديهم، وهذه الطريقة في الانتشار تسمى التصيد الاحتيالي، وهي إحدى أساليب ما يُعرف باسم الهندسة الاجتماعية. Locky يستهدف مجموعة أنواع الملفات التي غالبًا ما يستخدمها المصممون والمطوّرون والمهندسون والمسؤولون عن الاختبارات.
WannaCry
WannaCry هو فيروس فدية انتشرت هجماته في أكثر من 150 بلد في 2017! كان هذا الفيروس في الأساس مصممًا لاستغلال ثغرة أمنية في نظام التشغيل Windows، وكان من ابتكار وكالة الأمن القومي الأمريكية ومن تسريب مجموعة المخترقين والمتسللين Shadow Brokers. WannaCry أصاب 230 ألف جهاز حول العالم، وهجماته ضربت ثلث جميع المستشفيات التابعة للحكومة في المملكة البريطانية، وسببت خسائر تقدر بما يصل إلى 92 مليون جنيه إسترليني! كان يتم حجب المستخدمين ويُطلب منهم سداد فدية بعملة البيتكوين. كشفت هجمات هذا الفيروس مشكلة العمل على نظام غير محدث لأن المخترقون كانوا يستغلون ثغرة أمنية في نظام التشغيل رغم وجود إصدار تصحيحي لها منذ فترة طويلة قبل الهجوم. والخسائر المالية التي تسبب فيها فيروس WannaCry وصلت تقريبًا إلى 4 مليار دولار أمريكي!
Bad Rabbit
Bad Rabbit هو فيروس فدية بدأ هجومه لأول مرة في 2017 وانتشر عبر ما يُعرف باسم التنزيل غير المقصود، أو drive-by. في تنفيذ هذه الهجمات تم استخدام مواقع غير آمنة، وكانت تلك الهجمات تحدث بأن يزو المستخدم موقع حقيقي دون أن يدري أن ذلك الموقع قد اخترقه المحتالون وحقنوه بالفيروس. معظم هذه الهجمات لا تحتاج إلى أي شيء إلا أن يقوم المستخدم بفتح صفحة قد تم حقن هذا الفيروس فيها، وفي هذه الحالة تشغيل معالج التثبيت الذي يحتوي على البرنامج الضار المتخفي يؤدي إلى الإصابة. هذا معروف باسم قطارة البرنامج الضار أو malware dropper. Bad Rabbit يطلب من المستخدمين تشغيل معالج تثبيت أدوبي فلاش مثلاً لكن هذه عملية تثبيت زائفة، وبالتالي يصيب الكمبيوتر ببرنامج ضار.
Ryuk
Ryuk هو حصان طروادة تشفيري انتشر في أغسطس 2018، وكان يقوم بتعطيلوظيفة الاسترداد لأنظمة التشغيل Windows، وهذا كان يجعل من المستحيل للمستخدمين استعادة البيانات المشفرة دون وجود نسخة احتياطية خارجية، كما أنه كان يقوم بتشفير الأقراص الصلبة على الشبكة. هذا جعل تأثير الفيروس ضخمًا، والعديد من المؤسسات الأمريكية المستهدفة دفعت مبالغ الفدية المطلوبة، وإجمالي الخسائر المقدرة وصل إلى أكثر من 640 ألف دولار أمريكي.
Shade/Troldesh
فيروس Shade أو Troldesh هو برنامج فدية قد انتشر في 2015، وكان ينتشر عبر رسائل البريد الإلكتروني العشوائية التي تحتوي على روابط أو ملفات مرفقة مصابة. المثير في الأمر أن المهاجمين بفيروس Troldesh كانوا يتواصلون مباشرةً مع ضحاياهم عبر البريد الإلكتروني، وكان الضحايا الذين يكونون معهم "علاقة جيدة" كانوا يحصلون على تخفيضات! رغم ذلك، هذا السلوك كان استثناءً وليس قاعدة.
Jigsaw
Jigsaw هو برنامج فدية بدأ هجماته في 2016، وحصل هذا الفيروس على اسمه من صورة يتم عرضها للدمية المشهورة من سلسلة أفلام الرعب المعروفة Saw. ومع كل ساعة إضافية تمر دون سداد الفدية، كان فيروس Jigsaw يحذف المزيد من الملفات، وهذا كان يجعل المستخدم يشعر بالرعب كما في الفيلم بسبب الضغط الذي تضعه الصورة على المستخدمين.
CryptoLocker
CryptoLocker هو برنامج فدية ظهر للمرة الأولى عام 2007 وانتشر عبر مرفقات البريد الإلكتروني المصابة، وكان هذا الفيروس يبحث عن البيانات المهمة على أجهزة الكمبيوتر المصابة ثم يقوم بتشفيرها، وقد أصاب ما يقرب من نصف مليون جهاز كمبيوتر. تمكنت جهات تنفيذ القانون وشركات الأمن في النهاية من التحكم في شبكة عالمية من أجهزة الكمبيوتر المنزلية المخترقة التي كانت تُستخدم في نشر فيروس CryptoLocker، وهذا سمح لتلك الجهات والشركات باعتراض البيانات التي كان يتم إرسالها عبر الشبكة دون ملاحظة المجرمين لذلك، وأخيرًا بهذا تمكنوا من إنشاء بوابة إلكترونية يمكن للضحايا من عليها الحصول على مفتاح لفتح قفل بياناتهم، وبهذا تمكنوا من استعادة بياناتهم دون الحاجة إلى دفع فدية إلى المجرمين.
Petya
Petya (مختلف تمامًا عن ExPetr) هو برنامج فدية بدأ هجومه لأول مرة عام 2016، ثم أعاد GoldenEye نشره في 2017. لم يكن هذا الفيروس يقوم بتشفير ملفات معينة، بل كان يقوم بتشفير كامل القرص الصلب للضحية، وكان يفعل هذا عن طريق تشفير جدول الملفات الرئيسي (Master File Table)، وبالتالي كان من المستحيل الوصول إلى الملفات الموجودة على القرص الصلب. فيروس الفدية Petya انتشر إلى أقسام الموارد البشرية في الشركات عبر تطبيق مزيف كان موجودًا في رابط مصاب للخدمة السحابية Dropbox.
يوجد إصدار أحدث من Petya اسمه Petya 2.0، وكان يختلف عنه في بعض النقاط الرئيسية في كيفية تنفيذ الهجمات، لكن كان كلاهما خطيران للغاية على الأجهزة.
GoldenEye
عاد فيروس Petya إلى الحياة مرة أخرى عبر فيروس GoldenEye، وهذا تسبب في هجمة عالمية لبرامج الفدية في 2017, GoldenEye معروف بأنه "الأخ الشقيق المميت" للفيروس الأشهر WannaCry، وقد أصاب أكثر من ألفي هدف، من بينها مجموعة من أكبر منتجي النفط في روسيا وكذلك العديد من البنوك. وانقلبت الأحداث وتوترت فجأة عندما قام فيروس GoldenEye بإجبار محطة الطاقة النووية تشيرنوبل على التحقق يدويًا من مستوى الإشعاع بها بعد أن تم منعهم من استخدام أجهزة الكمبيوتر بنظام Windows لديهم.
GandCrab
GandCrab هو برنامج فدية أكثر تخصصًا واستهدافًا حيث كان يهددبكشف العادات الإباحية التي كان يفعلها الضحايا، وكان يدعي أنه تمكن من اختراق كاميرا الويب للضحية ويطلب منه دفع فدية مقابل عدم الكشف عن أي شيء. وفي حال عدم دفع الفدية، كان يتم نشر مقطع محرج للغاية للضحية على الإنترنت. كان أول ظهور لفيروس الفدية GandCrab في 2018، وقد استمر في التطور إلى إصدارات متعددة أخرى. وكجزء من مبادرة "لا مزيد من برامج الفدية" أو "No More Ransom"، قام موفور الخدمات الأمنية والجهات الحكومية التنفيذية بتطوير أداة فك تشفير لبرامج الفدية من أجل مساعدة الضحايا في استعادة بياناتهم الحساسة من فيروس GandCrab.
B0r0nt0k
B0r0nt0k هو أداة برنامج فدية يقوم بتشفير الملفات، ويركِّز بالتحديد على الخوادم القائمة على نظامي Windows وLinux. برنامج الفدية الضار هذا يقوم بتشفيرالملفات على خادم Linux ويضيف الامتداد ".rontok" إلى نهاية اسم الملف. بهذا فإنه لا يشكل تهديدًا على الملفات فقط، بل إنه كذلك يجري تغييرات لإعدادات بدء تشغيل الجهاز ويعطل وظائف الجهاز والتطبيقات ويضيف مدخلات إلى السجل والملفات والبرامج.
برنامج الفدية Dharma Brrr
Brrr هو الإصدار الجديد من برنامج الفدية Dharma، وهذا النوع يقوم المحتالون بتثبيته يدويًا بعد اختراق خدمات سطح المكتب المتصلة بالإنترنت؛ وبمجرد أن يقوم المجرم بتنشيط برنامج الفدية، يبدأ في تشفير الملفات التي يجدها، والبيانات التي يتم تشفيرها تحصل على امتداد الملف ".id-[id].[email].brrr".
برنامج الفدية FAIR RANSOMWARE
FAIR RANSOMWARE هو برنامج فدية يهدف إلى تشفير البيانات، ويفعل ذلك باستخدام خوارزمية قوية وظيفتها هي تشفير جميع المستندات والملفات الخاصة للضحية، وبعدها يقوم بإضافة امتداد ".FAIR RANSOMWARE" إلى جميع الملفات التي تم تشفيرها.
برنامج الفدية MADO
MADO هو نوع آخر من برامج الفدية التي تقوم بتشفير الملفات، وبعدها يضيف الامتداد .mado" إلى آخر اسماء الملفات التي يتم تشفيرها، وبالتالي لا يعد من الممكن فتحها.
هجمات برامج الفدية
كما ناقشنا أعلاه، برامج الفدية تبحث عن أهداف في جميع أنحاء الحياة، وفي المعتاد الفدية التي تم طلبها تتراوح من 100 إلى 200 دولار، لكن بعض الهجمات تتطلب أكثر من ذلك بكثير، لا سيما إذا كان المهاجم يعلم أن البيانات المحجوبة تمثل خسارة مالية كبيرة للشركة التي تعرضت لهجوم، وبهذا يمكن للمجرمين الإلكترونيين تحقيق مبالغ كبيرة من الأموال باستخدام هذه الطرق. في المثالين المذكورين بالأسفل، ضحية المجرم الإلكتروني يكون أو كان أكثر تميزًا من نوع برنامج الفدية المستخدم.
برنامج الفدية WordPress
برنامج الفدية WordPress كما هو واضح من اسمه يستهدف ملفات مواقع WordPress، ويتم ابتزاز الضحية وطلب فدية مالية منه، كما هو معتاد مع برامج الفدية التقليدية. كلما زاد الطلب على موقع WordPress، زادت احتمالية تعرضه لهجوم على أيد المجرمين الإلكترونين باستخدام برامج الفدية.
حالة Wolverine
Wolverine Solutions Group هي شركة توفير خدمات صحية كانت ضحية لهجمة برنامج فدية في سبتمبر 2018، وقام هذا البرنامج الضار بتشفير عدد كبير من ملفات الشركة وجعل من المستحيل للعديد من الموظفين فتح الملفات. لكن لحسن الحظ، تمكّن خبراء التحاليل من العمل على فك تشفير البيانات واستعادتها في 3 أكتوبر. لكن هذا لا ينفي أن العديد من بيانات المرضى تعرضت للاختراق في الهجمة. كان يمكن للأسماء والعناوين والبيانات الطبية والمعلومات الشخصية الأخرى أن تقع في أيدي المجرمين الإلكترونيين.
برامج الفدية كخدمة
برامج الفدية كخدمة تمنح المجرمين الإلكترونيين ذوي القدرات التقنية المنخفضة الفرصة لتنفيذ هجمات الفدية، حيث تم إتاحة البرمجيات الضارة للمشترين، وهذا يعني خطورة أقل ومكسب أعلى لمبرمجي مثل تلك التطبيقات.
الملخص
هجمات برامج الفدية لها العديد من الأشكال المختلفة وتأتي في جميع الأشكال والأحجام. طرق إدخال الهجمات أيضًا من العوامل المهمة لأنواع برامج الفدية المستخدمة. ومن أجل تقدير حجم الهجمة ومداها، من الضروري دائمًا التفكير فيما يمكن خسارته أو ماهية البيانات التي يمكن حذفها أو نشرها. وبغض النظر عن نوع برنامج الفدية، إنشاء نسخة احتياطية من البيانات مقدمًا والتعامل الصحيح مع تطبيقات الأمان يمكن أن يقلل بشكل كبير من شدة الهجمة.