يتطور عالم الأمن السيبراني باستمرار إلى أشكال جديدة من التهديدات ونقاط الضعف. لكن Fraansomware يثبت أنه حيوان مختلف – الأكثر تدميراً ، مستمرًا ، تحديًا سيئًا للوقاية منه ، ولا يظهر أي علامات على التباطؤ.
يمكن أن يؤدي انخفاض الضحية لهجوم الفدية إلى فقدان البيانات بشكل كبير ، وخرق البيانات ، والتعطل التشغيلي ، والاسترداد المكلف ، والعواقب القانونية ، والأضرار السمعة.
في هذه القصة ، قمنا بتغطية كل ما تحتاج إلى معرفته حول الفدية وكيفية عمله.
ما هو الفدية؟
Ransomware هو برنامج ضار يتحكم في الجهاز المصاب ، ويشفر الملفات ، ويحظر وصول المستخدم إلى البيانات أو النظام حتى يتم دفع مبلغ من المال ، أو الفدية.
يتضمن مخطط Crooks ملاحظة فدية – مع المبلغ والتعليمات حول كيفية دفع فدية مقابل مفتاح فك التشفير – أو التواصل المباشر مع الضحية.
في حين أن الفدية تؤثر على الشركات والمؤسسات من كل الحجم والنوع ، فإن المهاجمين غالباً ما يستهدفون الرعاية الصحية والتعليم وتكنولوجيا المعلومات والحكومة والتمويل مع جيوب أعمق – مما يسبب الأضرار التي تتراوح بين مئات الملايين إلى مليارات الدولارات.
بدأت هجمات Ransomware في الانتقال في عام 2012 ، ومنذ ذلك الحين ، أصبحت الهجمات الإلكترونية الأكثر انتشارًا في جميع أنحاء العالم.
على سبيل المثال ، ضرب Hellokitty Ransomware مطور ألعاب الفيديو البولندية CD Projekt Red الأسبوع الماضي مع تكتيك شائع ، أي مهاجمين ، هددوا الشركة لتسرب رمز الألعاب المصدر ، بما في ذلك Cyberpunk 2077 ، Witcher 3 ، Gwent ، بالإضافة إلى الملفات السرية في الشركة.
وقد حدث ذلك بالفعل! بعد أن أعلن CD Projekt أنهم لن يدفعوا الفدية ، أنشأ المهاجمون مزادًا للبيانات المسروقة في منتدى المتسللين.
وهو ليس المثال الوحيد. لطالما كانت الفدية واحدة من أكثر أنواع العينات الخبيثة التي تم تحميلها في تحليل البرامج الضارة Sandbox any.run. تم تحليل أكثر من 124،00 جلسة تفاعلية مع فدية على الإنترنت فقط في عام 2020.
من خزانة إلى المؤسسة
واحدة من طرق الحماية من الهجمات هي الوعي. نعتقد أنه من الضروري للمديرين التنفيذيين للمؤسسات والموظفين فهم هذا النوع من التهديد.
في هذه المقالة ، سنلقي نظرة على تاريخ الفدية:
أول فدية
تم تنفيذ أول هجوم معروف في الفدية في عام 1989 من قبل باحث في الإيدز ، جوزيف بوب ، الذي وزع أقراص مرنة 20 ألف قرص ضار على الباحثين الإيدز الذي يمتد أكثر من 90 دولة ، مدعيا أن الأقراص تحتوي على برنامج مسح. منذ ذلك الحين ، تطور تهديد Ransomware كثيرًا واكتسب المزيد من الميزات.
خزانة رانسومواري
في عام 2007 ، ظهرت Locker Ransomware ، وهي فئة جديدة من البرامج الضارة Ransomware ، والتي لا تشفر الملفات ؛ بدلاً من ذلك ، فإنه يغلق الضحية من أجهزتهم ، ويمنعهم من استخدامه.
على غرار هذا ، طالب Winlock بفدية بقيمة 10 دولارات لرمز فتح. في وقت لاحق ، سيطرت القلعة و lyposit و Reveton Worm على شاشة مع رسالة رائعة من وكالة إنفاذ القانون المزيفة.
عادةً ما يأخذ هذا نموذج قفل واجهة المستخدم الخاصة بالكمبيوتر أو الجهاز ثم يطلب من المستخدم دفع رسوم لاستعادة الوصول إليه.
Scareware
في السنوات اللاحقة ، غير المهاجمون استراتيجيتهم للاستفادة من الخوف من خلال نشر تطبيقات التزوير وبرامج مكافحة الفيروسات (AV). يتضمن الهجوم رسالة منبثقة معروضة للضحايا قائلين إن أجهزة الكمبيوتر الخاصة بهم مصابة بالفيروسات. إنه يجذب الضحايا لموقع ويب حيث يُطلب منهم المال لدفع تكاليف البرامج لإصلاح المشكلة. بدا كل شيء جديرًا بالثقة: الشعارات ، وأنظمة الألوان ، وغيرها من المواد المحمية بحقوق الطبع والنشر.
منذ تلك اللحظة ، فهم المجرمون أنه كان من الأسهل بكثير تسوية العديد من المواقع الإلكترونية ، والتركيز على التصيد ، والحصول على العملية بأكملها.
Crypto Ransomware
في عام 2013 ، ظهر Cryptolocker كأول برامج تشفير خبيثة تصل عادةً كمرفق بريد إلكتروني. كان Gameover Zeus botnet مسؤولاً عن هذه الهجمات. يقوم Cryptolocker بتشفير الملفات ، وبعد ذلك ، كان هناك حاجة إلى دفعة Bitcoin لإلغاء قفلها.
إذا لم يتم استلام الفدية في 3 أيام ، تضاعفت الفدية. cryptorbit ، cryptodefense ، cryptowall ، wannacry اختلافات decoy الموسع وحتى نقاط الضعف في النظام المستخدمة لإصابة أجهزة الكمبيوتر.
آخر خطوة في هذا التطور هي وصول Ransomware-As-A-Service ، والتي ظهرت لأول مرة في عام 2015 مع إطلاق Tox Toolkit. لقد أعطت مجرمي الإنترنت المحتملين خيار تطوير أدوات مخصصة لفدية المخصصة مع إمكانيات التهرب المتقدمة.
Enterprise Ransomware
قام المهاجمون Ransomware بالتسوية وذهبوا إلى مرحلة المؤسسة. فضلوا التعامل مع المنظمات الكبيرة وتخويفها من اندلاع محتمل.
على سبيل المثال ، حصل الهدف على بريد إلكتروني مع تهديد هجوم رفض الخدمة الموزع (DDOS). لتجنب ذلك ، يحتاج الضحايا لدفع فدية.
حالة واحدة أخرى هي Ransom تسوية البيانات. يهدد المجرم هدفًا لاستغلال المعلومات المتعرض للخطر للجمهور ما لم يتم دفع فدية. التكتيك التالي فعال على مستوى المؤسسة ، حيث لا ترغب الشركات في وضع سمعتها على المحك.
الآن من الواضح أن البرامج الضارة ستستمر في التطور. وربما ستحصل على هجمات هجينة ، بما في ذلك عائلات البرامج الضارة الأخرى.
تفاصيل الهجوم
كما نعرف الآن تاريخ وأنواع الفدية ، حان الوقت لفهم كيفية عمله.
- النشر: في الخطوة الأولى ، يقوم المهاجمون بتوزيع المكونات الأساسية المستخدمة لإصابة النظام أو تشفيره أو قفله ، أو تم تنزيله دون معرفة المستخدم ، أو باستخدام الخداع ، أو بعد استغلال عيوب النظام المستهدفة.
- تثبيت: عند تنزيل الحمولة ، تكون الخطوة التالية هي العدوى. البرامج الضارة تسقط ملفًا صغيرًا غالبًا ما يكون قادرًا على التهرب من الدفاع. يقوم Ransomware بتنفيذ ومحاولات الحصول على ثبات على النظام المصاب من خلال وضع نفسه على مفاتيح التسجيل في Autorun ، مما يسمح للمهاجمين عن بُعد بالتحكم في النظام.
- القيادة والسيطرة: ثم يتصل البرامج الضارة بخادم أوامر المهاجمين والتحكم (C2) لتلقي التعليمات ، وفي المقام الأول ، لإيداع مفتاح التشفير الخاص غير المتماثل من متناول الضحية.
- دمار: بمجرد أن يتم تشفير الملفات ، تقوم البرامج الضارة بحذف النسخ الأصلية على النظام ، والطريقة الوحيدة لاستعادتها هي فك تشفير الملفات المشفرة.
- الابتزاز: هنا تأتي رانسوم ملاحظات. يعرف الضحية أن بياناته تتعرض للخطر. يختلف نطاق الدفع وفقًا لنوع الهدف. للتشويش على الضحية وتخويفها ، يمكن للمهاجمين حذف العديد من الملفات من الكمبيوتر. ومع ذلك ، إذا دفع المستخدم الفدية ، فليس من الضمان استعادة المعلومات أو حذف برامج الفدية نفسها.
العائلات والمشغلين الشعبية
عدة أنواع من البرامج الضارة مشهورة في عالم الفدية. دعونا ننظر من خلالهم ونتحدث عن المشغلين الشعبيين الذين يبرزون في تاريخ البرامج الضارة:
1) Gandcrab Ransomware هي واحدة من أكثر إصدارات الفدية سيئة السمعة في السنوات القليلة الماضية التي جمعت ما يقرب من ملياري دولار من المدفوعات من ضحاياها.
يُعتقد أنه منتج لمجموعة من المتسللين الروسيين ، تم اكتشاف Gandcrab في عام 2018 كجزء من Ransomware-As-A-Service (RAAS) التي تم بيعها إلى مجرمي الإنترنت الآخرين.
على الرغم من أن Gandcrab أعلنت “التقاعد” في عام 2019 ، إلا أن بعض الباحثين يزعمون أنه عاد بسلالة جديدة ، تسمى Sodinokibi ، مع قاعدة كود مماثلة. Sodinokibi تستهدف أنظمة Microsoft Windows وتشفير جميع الملفات باستثناء ملفات التكوين.
2) بعد ذلك ، المتاهة تشتهر Ransomware ، التي تصدرت عناوين الصحف في العامين الماضيين ، بإصدار البيانات المسروقة للجمهور إذا لم تدفع الضحية لفك تشفيرها.
كان أول هجوم من الفدية الذي جمع تشفير البيانات وسرقة المعلومات. علاوة على ذلك ، هددوا بإبراز البيانات العامة إذا لم يتم دفع فدية. عندما بدأ Covid-19 ، أعلنت Maze أنها ستترك المستشفيات بمفردها. لكن في وقت لاحق ، كسروا هذا الوعد أيضًا.
في عام 2020 أعلنت Maze أنها تغلق عملياتها. لكن من المرجح أن ينتقلوا للتو إلى برامج ضارة أخرى.
3) Netwalker تستخدم عملية تجويف وتصوير الكود لاستهداف ضحايا الشركات. ولكن في يناير 2021 ، تعاونت وكالات إنفاذ القانون ضد Netwalker واستولت على المجالات في شبكة مظلمة تستخدمها ممثلو البرامج الضارة.
4) wannacry ينتشر بشكل مستقل من الكمبيوتر إلى الكمبيوتر باستخدام EternalBlue ، وهو استغلال يفترض أنه تم تطويره بواسطة NSA ثم سرقت من قبل المتسللين.
هذا هو أكثر أنواع الفدية التي تم تحميلها في أي خدمة. يمكنك التحقيق فيها في مكتبة التقديم العامة، ابحث عن طريق علامة “wannacry”.
5) يحتوي Malspam من Avaddon عادةً على المبتسم الوحيد لجذب المستخدمين في تنزيل المرفق. يقوم البرامج الضارة أيضًا بالتحقق من لغة المستخدم قبل الإصابة. إذا كانت روسية أو شيروكي ، فإن Avaddon لا تشفر أنظمة.
6) Babuk هي مؤسسات جديدة تستهدف البرامج الضارة في عام 2021. ويضم Babuk تشفيرًا آمنًا يجعل من المستحيل استعادة الملفات مجانًا.
أهداف هجمات الفدية
هناك عدة أسباب يختار المهاجمون أولاً نوع المنظمات التي يريدون استهدافها باستخدام رانسومواري:
- من السهل التهرب من الدفاع. الجامعات ، الشركات الصغيرة التي لديها فرق أمنية صغيرة هي هدف سهل. مشاركة الملفات وقاعدة بيانات واسعة النطاق تجعل الاختراق بسيطًا للمهاجمين.
- إمكانية دفع سريع. تضطر بعض المنظمات إلى دفع فدية بسرعة. غالبًا ما تحتاج الوكالات الحكومية أو المرافق الطبية إلى وصول فوري إلى بياناتها. عادة ما ترغب شركات المحاماة والمؤسسات الأخرى ذات البيانات الحساسة في الحفاظ على سر.
وبعض البرامج الفدية تنتشر تلقائيًا ، ويمكن لأي شخص أن يصبح ضحيته.
النمو السريع لبرامج الفدية
السبب الرئيسي وراء نجاح هذا النوع من البرامج الضارة هو الهجمات التي تجلب نتائج مجرمي الإنترنت. تتيح الأسواق Crooks شراء فدية متقدمة لكسب المال.
يوفر مؤلفو البرامج الضارة عدة طرق لحزم البرامج الفدية. البرمجيات الخبيثة تشفير الأنظمة بسرعة وخلسة. بمجرد استلام الفدية ، ليس من التحدي تغطية المسارات. هذه النقاط تؤدي إلى زيادة كبيرة.
الآن ، يذهب المجرمون إلى أصلع ويتوقعون الحصول على مئات أو آلاف الدولارات لأن الشركات لا ترغب في المخاطرة بفقدان البيانات وانقطاعها.
طرق توزيع الفدية
فيما يلي عدة طرق لكيفية انتشار الفدية:
- البريد الإلكتروني (البريد العشوائي)
- هجوم ثقب الري
- malvertising
- مجموعات استغلال
- USB والوسائط القابلة للإزالة
- رانسومواري كخدمة
- أيام الصفر
تحليل الفدية في أي
دعونا التحقيق أ عينة من الفدية معاً.
هذه مهمة مع البرامج الضارة Sodinokibi. بفضل أي تفاعل ، يمكننا متابعة مسار المستخدم:
بادئ ذي بدء ، ننتظر أن ينهي البرنامج الضار أن ينهي ملفات الملفات على القرص. الميزة المميزة لـ Sodinokibi هي خلفية سطح المكتب مع النص.
ثم نفتح ملف نصي على سطح المكتب. نعم ، يمكننا التفاعل مع الملفات والمجلدات في الجهاز الظاهري أثناء تنفيذ المهمة.
هناك يمكننا أن نرى تعليمات مع عنوان عنوان URL. يمكننا نسخه وفتحه في المتصفح. في الصفحة الجديدة ، نحتاج إلى إدخال المفتاح ؛ كل مفتاح فريد لكل آلة مصابة.
يوجد في الملف النصي حتى نتمكن من إدخاله. ثم تظهر صفحة مع مجموع دفع الفدية وعد التنازلي. أخيرًا ، نفتح الملف بصورة لاختبار فك تشفير ونفتحه.
تدابير الوقاية
بدأ 2021 مع اعتقالات عصابات الفدية. تم إسقاط مجموعة Egregor Hacker من قبل الشرطة الفرنسية والأوكرانية الأسبوع الماضي.
هذا ميل جيد أن تستمر وكالات إنفاذ القانون في هزيمة الجهات الفاعلة للبرامج الضارة. ومع ذلك ، نحن بحاجة إلى الحذر ونحاول إيقاف الهجمات أيضًا.
للحماية من برامج الفدية ، يجب أن يكون لدى الشركات خطة تفصيلية ضد البرامج الضارة ، بما في ذلك بيانات النسخ الاحتياطي. نظرًا لأنه من الصعب للغاية اكتشاف Ransomware والقتال ، يجب استخدام آليات الحماية المختلفة.
any.run هو واحد منهم يساعد على تحديد البرامج الضارة في وقت مبكر ومنع الإصابات. إلى جانب ذلك ، فإن أهم حماية هي تدريب الموظفين. إنهم بحاجة إلى تجنب أي روابط أو ملفات مشبوهة. يمكن للموظفين الذين يعرفون أن Ransomware موجودة وكيفية عملها يمكنهم اكتشاف مثل هذه الهجمات.
