القائمة الرئيسية

الصفحات

كيفية منع هجمات برامج الفدية: دليل الخبراء

كيفية منع هجمات برامج الفدية: دليل الخبراء

كيفية منع هجمات برامج الفدية: دليل الخبراء

نمت هجمات برامج الفدية بنسبة 350٪ في عام 2018 لتصل إلى إجمالي 812 مليون جهاز مصاب وكانت مصدر قلق بالغ للمدن والمستشفيات والمدارس وحتى الوكالات الحكومية في عام 2020.


يمكنك التخفيف من هجمات برامج الفدية أو منعها من خلال تنفيذ تعليم المستخدم وتدريبه ، وأتمتة النسخ الاحتياطية ، وتقليل أسطح الهجوم ، ووضع خطة استجابة للحوادث ، وتثبيت مراقبة نقاط النهاية في الشبكة ، وشراء تأمين ضد برامج الفدية. يمكن أن تكون برامج الفدية نائمة وتؤدي إلى إصابة نُسخك الاحتياطية. في هذه الحالة ، يمكن تنفيذ النسخ الاحتياطية المادية خارج موقع العمل كطبقة إضافية من الأمان.


ما هي برامج الفدية؟

ما هي برامج الفدية؟


تعد برنامج الفدية أحد أنواع البرامج الضارة المصممة لمنع المستخدمين من الوصول إلى الملفات الموجودة على أجهزة الكمبيوتر الخاصة بهم. يتم ذلك عن طريق تشفير هذه الملفات بحيث يمكن لمشغل البرامج الضارة فقط فك تشفيرها.


توجد انواع كثيرة من برامج الفدية ، بما في ذلك Ryuk و LockerGoga والآلاف من البرامج الأخرى. يتم تطوير الانواع الجديدة على أساس يومي واستخدامها من قبل الجهات الفاعلة في التهديد ضد أهداف محددة ولأغراض مختلفة.


تعتبر هجمات برامج الفدية ناجحة للغاية لأنها بسيطة للغاية ولها تأثير نفسي واضح على الاهداف. يمكنها إصابة أي نوع من أجهزة الكمبيوتر (أجهزة الكمبيوتر المحمولة / أجهزة الكمبيوتر المكتبية ، والأجهزة المحمولة ، وإنترنت الأشياء ، وأجهزة التوجيه ، والتخزين السحابي ، وما إلى ذلك) ومنع وصول المالك إلى البيانات المخزنة على هذه الأنظمة.


كيف تمنع هجمات برامج الفدية؟

بحلول الوقت الذي تنبثق فيه رسالة الفدية على الجهاز ، يكون قد فات الأوان لحفظ النظام. يمكن أن يساعد اتخاذ الخطوات مسبقًا في الحماية من الهجوم السيبراني ومنع حدوثه في المقام الأول.


في عامي 2017 و 2018 ، كانت غالبية هجمات برامج الفدية غير مستهدفة. اعتبارًا من عام 2019 ، تحولت تكتيكات برامج الفدية لاستهداف المؤسسات الأكبر التي لديها القدرة على دفع المزيد من الفديات الكبيرة.


تستخدم هذه الهجمات ذرائع مصممة لخداع الأهداف ، وتمكينها من إصابة وتشفير نقاط النهاية والانتشار عبر الشبكة غالبًا ما تكلف المؤسسات مئات الآلاف إن لم يكن الملايين من الأضرار.


تعليم وتدريب المستخدم

تنتشر العديد من أنواع البرامج الضارة ، بما في ذلك فيروسات الفدية ، عبر التصيد الاحتيالي وهجمات الهندسة الاجتماعية الأخرى. يمكن أن يؤدي تدريب المستخدمين على التعرف على هذه التهديدات إلى تقليل مخاطر الإصابة.


النسخ الاحتياطي الآلي

تجبر هجمات برامج الفدية الأهداف على الدفع مقابل الوصول إلى الملفات المشفرة. في حالة وجود نسخ احتياطية حديثة ، لا يوجد سبب لدفع الفدية. من المهم أن تضع في اعتبارك أنه يمكن أيضًا استخدام النسخ الاحتياطية في وضع عدم الاتصال وخارج الموقع كطبقة إضافية من الأمان في حالة إصابة النسخ الاحتياطية.


محركات الأقراص السحابية مثل OneDrive أو Google Drive ليست طريقة مقبولة للتعامل مع النسخ الاحتياطية. إذا كان من الممكن توصيل جهاز الكمبيوتر الخاص بك وتعيينه إلى محرك الأقراص السحابية ، فأنت لا تزال عرضة لهجمات برامج الفدية.


تصغير سطح الهجوم

تستفيد البرامج الضارة عادةً من الثغرات الأمنية الحالية والخدمات غير الآمنة (مثل RDP) وأدوات مثل PowerShell. يؤدي الحفاظ على الثغرات الأمنية مرقعة ، وتحديث برامج مكافحة الفيروسات ، وإيقاف الخدمات غير الضرورية إلى تقليل سطح الهجوم.


خطة الاستجابة للحوادث

في أعقاب هجوم رانسوم وير ، من الضروري الاستجابة بسرعة وبشكل صحيح. يضمن وجود خطة أن يتعامل فريق تكنولوجيا المعلومات وفريق الأمن بشكل صحيح مع أي حادث محتمل.


مراقبة وحماية نقاط النهاية

يمكن أن يتيح التعرف على إصابات برامج الفدية مبكرًا وإنهاء الهجوم قبل حدوث الكثير من الضرر. يجب أن تحتوي نقاط النهاية على حلول مراقبة في مكانها والقدرة على إنهاء الإصابات المحتملة تلقائيًا.


تأمين برامج الفدية

قد يكون التعافي من هجوم برامج الفدية مكلفًا. يمكن أن يؤدي وجود تأمين ضد برامج الفدية إلى تقليل التكلفة التي تتحملها المؤسسة.


ماذا تفعل إذا وقعت ضحية لهجوم برامج الفدية؟

في حالة إصابة نظام ما ببرنامج الفدية ، فإن الاستجابة السريعة ضرورية. تقوم برامج الفدية بتشفير الملفات بسرعة وتحاول نشر نفسها على أنظمة أخرى ، مما يعني أن تأثير الهجوم ينمو بسرعة في حالة تأخر الاستجابة.


إذا تم اكتشاف هجوم فدية ، فاتخذ الإجراءات التالية:

  • عزل النظام المتأثر: غالبًا ما تحاول فيروسات الفدية بنشر نفسها عبر الشبكة. يمكن القيام بذلك ببساطة عن طريق فصل كابل الشبكة.
  • إخطار فريق تكنولوجيا المعلومات / الأمن: يجب أن يكون لدى الفريق إجراءات للتعافي.
  • لا تقم بإعادة تشغيل الكمبيوتر: تقوم بعض متغيرات برامج الفدية بتشفير ملفات النظام الهامة عن طريق الخطأ. قد لا يتم اقلاع نظام تشغيل الكمبيوتر مرة اخرى بعد الإصابة.
  • قم بعمل نسخة من محرك الأقراص المصاب: تقوم بعض برامج فك تشفير برامج الفدية ، مثل Ryuk ، بتدمير الملفات عن طريق الخطأ ، حتى باستخدام المفتاح الصحيح.
  • محاولة فك تشفير القرص باستخدام أدوات فك تشفير برامج الفدية: تم إصدار برامج فك التشفير لفيروسات برامج الفدية المعيبة وقد تكون قادرة على تنفيذ فك التشفير.
  • استعادة الأنظمة المصابة من الإصدارات النظيفة: قد يكون لبرامج الفدية آليات ثبات تجعل من الصعب إزالتها دون مسح كامل.
  • استعادة الأنظمة من النسخ الاحتياطية النظيفة: إن أمكن ، قم باستعادة الأنظمة من النسخ الاحتياطية التي سبقت الإصابة بفيروس الفدية. قم دائمًا بالاستعادة من نسخة لحماية الملفات الاصلية.
  • قم بتعقيم الوسائط القابلة للإزالة ومحركات الأقراص المتصلة وما إلى ذلك: تحاول برامج الفدية عادةً الانتشار عن طريق إصابة محركات الأقراص المتصلة الأخرى. يجب عزلها وتعقيمها لإزالة العدوى.


كيف يعمل هجوم برامج الفدية؟

برنامج الفدية هو نوع من البرامج الضارة المصممة لاستخدام خوارزميات التشفير الحديثة لكسب المال لمجرمي الإنترنت. من المستحيل اختراق خوارزميات التشفير الشائعة الاستخدام اليوم ، مثل معيار التشفير المتقدم (AES) باستخدام التكنولوجيا الحديثة.


معظم فيروسات الفدية مؤتمتة ومنتشرة بشكل شائع من خلال تقنيات الهندسة الاجتماعية ، مثل التصيد الاحتيالي ، بهدف منع الشركات من الوصول إلى الملفات والبيانات المهمة.


بعد الإصابة ، فإن خطر فقدان هذه البيانات إلى الأبد يدفع الأفراد والمؤسسات إلى دفع الفدية.

8 خطوات لكيفية عمل هجوم رانسوم وير


الخطوات أدناه هي نظرة مبسطة لكيفية عمل هجوم رانسوم وير لإصابة شبكة داخل مؤسسة:

  • الخطوة 1: يرسل ممثل التهديد رسالة بريد إلكتروني تحتوي على مرفق إلى ارتباط ضار.
  • الخطوة 2: يتجاوز البريد الإلكتروني عامل تصفية البريد العشوائي ليصيب صندوق الوارد للمستخدمين.
  • الخطوة 3: يتلقى المستخدم البريد الإلكتروني الضار وينقر فوق الارتباط ، أو يقوم بتنزيل أحد المرفقات.
  • الخطوة 4: فشل برنامج مكافحة الفيروسات في منع التهديد.
  • الخطوة 5: يتم تسليم الفيروس XYZ.exe ويتم تنفيذ الحمولة على جهاز المستخدم.
  • الخطوة 6: يتم تشفير ملفات الضحية بواسطة البرامج الضارة.
  • الخطوة 7: يتم إرسال مذكرة فدية تطلب عادةً الدفع بعملة البيتكوين التي لا يمكن تعقبها.
  • الخطوة 8: يتحرك المهاجمون بشكل جانبي عبر المنظمة لنشر الفيروس وتعظيم فعالية الهجوم.

 

بمجرد تشفير البيانات بواسطة إحدى هذه الخوارزميات ، فإن الطريقة الوحيدة للوصول إليها تكون باستخدام مفتاح التشفير المقابل.


يستفيد مجرمو الإنترنت من هذه الحقيقة عن طريق إصابة الأجهزة المستهدفة ببرامج ضارة. واحدة من أكثر الطرق شيوعًا للقيام بذلك هي من خلال رسائل التصيد الاحتيالي. على سبيل المثال ، البريد الإلكتروني الذي يحتوي على مستند Microsoft Word مرفق سيستخدم وحدات ماكرو Word (أو وسائل أخرى) لتنزيل وتنفيذ برامج الفدية الضارة.


أو قد يستهدفون مساعدين تنفيذيين يتظاهرون بأنهم مدير تنفيذي على مستوى C يطلبون تحويل الأموال أو شراء بطاقات الهدايا:

مثال على هجوم التصيد بالرمح 02


بمجرد الوصول إلى الجهاز ، تبدأ البرامج الضارة في تشفير ملفات المستخدم. سيحدد نوع متغيرات برامج الفدية كيفية تشفير الملفات. قد يقوم البعض بإجراء تشفير بالجملة للملفات ، تاركًا فقط تلك التي تعتبر ضرورية لتشغيل الكمبيوتر.


يقوم الآخرون بتنفيذ المزيد من الهجمات المستهدفة ، واختيار الملفات التي من المرجح أن تكون ذات قيمة للهدف.


ستحاول العديد من برامج الفدية أيضًا نشر نفسها إلى أنظمة أخرى بعد الإصابة الأولية. تشتهر WannaCry باستخدام استغلال لثغرة EternalBlue كآلية إصابة أساسية ، ولكن العديد من الفيروسات الحديثة ستبحث عن الوسائط القابلة للإزالة المتصلة (مثل محركات أقراص USB) أو محركات الأقراص المرفقة أو خوادم الملفات.


إذا تم الكشف عن أي من هذه ، فسيقوم برنامج الفدية بنسخ نفسه وإصابة هؤلاء أيضًا.

كيف يعمل هجوم رانسوم وير

بعد اكتمال التشفير ، سيعرض برنامج الفدية رسالة فدية للمستخدم. الصورة أعلاه هي مثال على ذلك ، لكن التفاصيل تختلف من فيروس إلى آخر. عادةً ما تطلب هذه الرسائل فدية بعملة بتكوين مقابل مفتاح فك التشفير.


كما تم تسهيل نمو فيروسات الفدية من خلال إنشاء Ransomware-as-a-Service (RaaS). باستخدام RaaS ، يبيع مؤلفو برامج الفدية خدماتهم أو مجموعاتهم إلى مستخدمين أقل تطورًا يستخدمونها لتنفيذ هجمات برامج الفدية ضد أهداف من اختيارهم.


يتيح ذلك لمجرمي الإنترنت الأقل مهارة تنفيذ هجمات مع تحقيق ربح لصانعي برامج الفدية.


من هم الأكثر عرضة لهجمات برامج الفدية؟

في الماضي ، كان مهاجمو برامج الفدية يفضلون نهج "الكمية على الجودة". حاول تفشي برامج الفدية مثل WannaCry إصابة أكبر عدد ممكن من أجهزة الكمبيوتر وطلب فدية صغيرة من كل منها.


ومع ذلك ، فقد ثبت أن هذا الأسلوب غير فعال من حيث التكلفة للمهاجمين. بالنسبة للمستخدم العادي ، فإن عملية شراء Bitcoin وإرسالها لدفع الفدية قد تكون عملية صعبة.


ونتيجة لذلك ، لم يتلق مجرمو الإنترنت أي فدية أو اضطروا إلى إضاعة الوقت في دعم العملاء ، مما أدى إلى تقليص أرباحهم.


يستهدف تهديد برامج الفدية الحديثة المؤسسات الكبيرة ويطالب بدفع فدية أكبر من كل هدف. تشمل الأهداف الشائعة ما يلي:

 

يمكن أن يختلف تأثير هجوم برامج الفدية بشكل كبير. حصلت بعض الأهداف على نتائج طفيفة نسبيًا ، إما بدفع فدية صغيرة ، أو الاستعادة من النسخ الاحتياطية ، أو شطب البيانات المفقودة. المنظمات الأخرى دفعت ثمنا أعلى بكثير.


في مايو 2019 ، تم استهداف مدينة بالتيمور بولاية ماريلاند ببرنامج فدية.


طالب مجرمو الإنترنت بفدية تقدر بحوالي 80000 دولار لتمكين المدينة من استعادة الوصول إلى أنظمة الكمبيوتر في المدينة. ومع ذلك ، بناءً على نصيحة الخدمة السرية ومكتب التحقيقات الفيدرالي ، اختارت المدينة عدم الدفع.


في النهاية ، بلغت تكلفة هجوم فدية بالتيمور حوالي 18 مليون دولار. قبلت المدينة هذا السعر باعتباره تكلفة التمسك بمبادئها.


كان دفع الفدية سيمكن مجرمي الإنترنت من تمويل هجمات إضافية ضد أهداف أخرى. بالإضافة إلى ذلك ، فإن الاستعداد لدفع الفدية يمكن أن يجعل المنظمة هدفًا أكبر في المستقبل حيث يُنظر إليها على أنها "علامة سهلة".


لو لم تختر بالتيمور دفع الفدية ، لاتخذت كل منظمة أو مدينة هذا الاختيار. اختارت العديد من المدن ، بما في ذلك West Haven و Connecticut و Valdez في ألاسكا ، دفع "رسوم لمرة واحدة" بدلاً من قبول التكاليف الإضافية للتعافي بمفردها.


معضلة دفع الفدية - هل يجب عليك الدفع؟

تقول أفضل الممارسات أنه لا ينبغي للمنظمات أبدًا دفع فدية بعد الهجوم. ومع ذلك ، في بعض الحالات ، يجبر مديري الأعمال المؤسسات على الدفع لاستعادة الوصول إلى البيانات الهامة. على سبيل المثال ، إذا كانت قيمة البيانات كبيرة بما يكفي لإجبار الشركات على سداد دفعة ، مثل الملكية الفكرية الخاصة.


أصدر مكتب التحقيقات الفيدرالي مؤخرًا وثائق تحدد ما يجب مراعاته قبل دفع الفدية:

يجب عليك دفع فدية برامج الفدية


من الناحية العملية ، لا يوجد إجماع حقيقي حول موضوع دفع الفدية أم لا. تعني العوامل الإضافية أن الاختيار ليس دائمًا بسيطًا مثل الدفع عن عدمه.


من ناحية أخرى ، فإن دفع الفدية نظريًا يمنح المنظمة الوصول إلى بياناتها المشفرة. ومع ذلك ، هذا ليس هو الحال دائما. في الواقع ، يحتوي برنامج فك تشفير متغير Ryuk من برامج الفدية على خطأ برمجي يسقط بطريق الخطأ آخر بايت من ملف تم فك تشفيره.


في العديد من الملفات ، هذا البايت عبارة عن مساحة غير ضرورية ، ولكن في ملفات أخرى ، من الضروري فتح الملف وتحليله.


من ناحية أخرى ، عدم دفع الفدية يعني أن المهاجم لا يحصل على شيء مقابل هجومه. نظرًا لأن الهدف من هجوم برامج الفدية هو تحقيق ربح ، يتخذ بعض مجرمي الإنترنت إجراءات لمنع ذلك. تسرق بعض أنواع برامج الفدية الآن بيانات حساسة قبل تشفيرها.


إذا رفض الضحية دفع الفدية ، يهدد المهاجم ببيع هذه البيانات إلى منافس أو نشرها علنًا. إذا كانت هذه البيانات تحتوي على بيانات عميل حساسة ، فسيتم اعتبارها خرقًا للبيانات بموجب اللائحة العامة لحماية البيانات (GDPR) وقوانين خصوصية البيانات المماثلة.


كيف يتم اكتشاف برامج الفدية على الشبكة؟

مثل أي نوع من البرامج الضارة ، يمكن اكتشاف بعض متغيرات برامج الفدية باستخدام حلول مكافحة الفيروسات والبرامج الضارة التقليدية القائمة على توقيع الملف.


ومع ذلك ، يستخدم مبرمجوا البرامج الضارة بشكل متزايد هجمات يوم الصفر والبرامج الضارة متعددة الأشكال للتهرب من أنظمة الكشف هذه. نتيجة لذلك ، لا يكتشف برنامج مكافحة الفيروسات المستند إلى التوقيع سوى نصف البرامج الضارة فقط.


تعني طبيعة برامج الفدية أيضًا أنه يمكن اكتشافها بوسائل أخرى. من أجل إجراء تشفير جماعي لملفات المستخدم ، يجب أن تفتح البرامج الضارة عددًا كبيرًا من الملفات وتشفيرها وتدمير النسخ الأصلية.


نظرًا لأن هذه ليست إجراءات يتخذها عادةً مستخدم شرعي ، فيمكن استخدامها للمساعدة في اكتشاف هجوم برامج الفدية ومنعها.


يمكن تكوين حلول المعلومات الأمنية وإدارة الأحداث (SIEM) وأنظمة منع التطفل (IPS) لتشمل قواعد للكشف عن هذه الأنشطة واتخاذ الإجراءات.


إذا كان أحد البرامج الموجودة على جهاز الكمبيوتر يعرض هذا السلوك ، فيجب إيقافه على الفور لتقليل تأثير الهجوم.


يمكن أيضًا اكتشاف برامج الفدية استنادًا إلى استخدامه للوظائف المضمنة على جهاز الكمبيوتر الهدف. تم تصميم العديد من متغيرات البرامج الضارة الآن "للعيش بعيدًا عن الأرض" باستخدام Microsoft PowerShell لتنزيل البرامج الضارة وتشغيلها.


وبالمثل ، تصل برامج الفدية عادةً إلى مكتبات التشفير المضمنة في نظام التشغيل بغرض التشفير. يمكن أن تساعد مراقبة استخدام هذه الوظائف أيضًا في اكتشاف برامج الفدية الضارة وحظرها على النظام.


الخلاصة

تمثل برامج الفدية تهديدًا أمنيًا كبيرًا لأي مؤسسة ، ولكن يمكن منعها تمامًا. يمكن أن يؤدي اتخاذ إجراء لتقليل احتمالية الإصابة والتأكد من توفر نسخ احتياطية نظيفة لاستعادة النظام إلى تقليل التكلفة المرتبطة بهجوم برامج الفدية بشكل كبير.

reaction:
Ahmed Taher
Ahmed Taher
مدون من العراق . احب البرمجة وكل ما يتعلق بالشبكات والسيرفرات وامن المعلومات . واسعى الى توفير جميع المصادر والمواد للامتحانات الدولية.

تعليقات