ما هو انتزاع الفدية؟
برامج الفدية هي نوع من البرامج الضارة (البرامج الضارة) التي يستخدمها مجرمو الإنترنت. في حالة إصابة جهاز كمبيوتر أو شبكة ببرنامج الفدية ، يقوم برنامج الفدية بحظر الوصول إلى النظام أو تشفير بياناته. يطالب مجرمو الإنترنت بفدية مالية من ضحاياهم مقابل الإفراج عن البيانات. للحماية من الإصابة بفيروس الفدية ، يوصى باستخدام برنامج أمان وعين يقظين. يتوفر لضحايا هجمات البرامج الضارة ثلاثة خيارات بعد الإصابة: يمكنهم إما دفع الفدية أو محاولة إزالة البرامج الضارة أو إعادة تشغيل الجهاز. متجهات الهجوم التي يستخدمها الابتزاز بشكل متكرر في أحصنة طروادة تشمل بروتوكول سطح المكتب البعيد ورسائل البريد الإلكتروني المخادعة ونقاط ضعف البرامج. وبالتالي يمكن أن تستهدف هجمات برامج الفدية الأفراد والشركات.
تحديد برامج الفدية - يجب التمييز بشكل أساسي على وجه الخصوص ، هناك نوعان شائعان جدًا من برامج الفدية:
انتزاع الفدية Locker. يحظر هذا النوع من البرامج الضارة وظائف الكمبيوتر الأساسية. على سبيل المثال ، قد يتم رفض وصولك إلى سطح المكتب ، بينما يتم تعطيل الماوس ولوحة المفاتيح جزئيًا. يتيح لك ذلك الاستمرار في التفاعل مع النافذة التي تحتوي على طلب الفدية من أجل إجراء الدفع. بصرف النظر عن ذلك ، فإن الكمبيوتر غير صالح للعمل. ولكن هناك أخبار سارة: لا تستهدف البرامج الضارة في Locker عادةً الملفات المهمة ؛ بشكل عام يريد فقط قفلك. وبالتالي فإن التدمير الكامل لبياناتك أمر غير محتمل.
برامج الفدية المشفرة. الهدف من crypto ransomware هو تشفير بياناتك المهمة ، مثل المستندات والصور ومقاطع الفيديو ، ولكن لا تتداخل مع وظائف الكمبيوتر الأساسية. يؤدي هذا إلى انتشار الذعر لأن المستخدمين يمكنهم رؤية ملفاتهم ولكن لا يمكنهم الوصول إليها. غالبًا ما يضيف مطورو التشفير عدًا تنازليًا لطلب الفدية: "إذا لم تدفع الفدية بحلول الموعد النهائي ، فسيتم حذف جميع ملفاتك". ونظرًا لعدد المستخدمين غير المدركين للحاجة إلى النسخ الاحتياطية في السحابة أو على أجهزة التخزين المادية الخارجية ، يمكن أن يكون لبرامج الفدية المشفرة تأثير مدمر. وبالتالي ، يدفع العديد من الضحايا الفدية لمجرد استعادة ملفاتهم.
لوكي وبيتيا وشركاه.
أنت الآن تعرف ما هو برنامج الفدية والنوعين الرئيسيين. بعد ذلك ستتعرف على بعض الأمثلة المعروفة التي ستساعدك على تحديد المخاطر التي تشكلها برامج الفدية الضارة:
- لوكي
Locky عبارة عن برنامج فدية تم استخدامه لأول مرة في هجوم في عام 2016 من قبل مجموعة من المتسللين المنظمين. قام Locky بتشفير أكثر من 160 نوعًا من الملفات وانتشر عن طريق رسائل بريد إلكتروني مزيفة تحتوي على مرفقات مصابة. وقع المستخدمون بسبب خدعة البريد الإلكتروني وقاموا بتثبيت برنامج الفدية على أجهزة الكمبيوتر الخاصة بهم. تسمى طريقة الانتشار هذه بالتصيد الاحتيالي ، وهي شكل من أشكال ما يعرف بالهندسة الاجتماعية. تستهدف Locky ransomware أنواع الملفات التي غالبًا ما يستخدمها المصممون والمطورون والمهندسون والمختبرين.
- أريدك
كان WannaCry عبارة عن هجوم من برامج الفدية انتشر إلى أكثر من 150 دولة في عام 2017. وقد تم تصميمه لاستغلال ثغرة أمنية في Windows تم إنشاؤها بواسطة وكالة الأمن القومي وتسربتها مجموعة مخترقي Shadow Brokers. أثر WannaCry على 230.000 جهاز كمبيوتر في جميع أنحاء العالم. أصاب الهجوم ثلث جميع مستشفيات NHS في المملكة المتحدة ، مما تسبب في أضرار تقدر بنحو 92 مليون جنيه إسترليني. تم حظر المستخدمين وطُلبت فدية تُدفع بعملة البيتكوين. كشف الهجوم عن مشكلة الأنظمة القديمة ، لأن المخترق استغل ثغرة أمنية في نظام التشغيل كان التصحيح موجودًا منذ فترة طويلة في وقت الهجوم. بلغت الأضرار المالية العالمية التي سببها WannaCry حوالي 4 مليارات دولار أمريكي.
- الأرنب السيء
كان Bad Rabbit عبارة عن هجوم فدية من عام 2017 انتشر عبر ما يسمى بهجمات السيارات. تم استخدام مواقع غير آمنة لتنفيذ الهجمات. في هجوم رانسوم وير ، يقوم المستخدم بزيارة موقع ويب حقيقي ، غير مدرك أنه قد تم اختراقه من قبل المتسللين. بالنسبة لمعظم هجمات محرك الأقراص ، كل ما هو مطلوب هو أن يقوم المستخدم باستدعاء صفحة تم اختراقها بهذه الطريقة. ومع ذلك ، في هذه الحالة ، أدى تشغيل برنامج التثبيت الذي يحتوي على برامج ضارة مقنعة إلى الإصابة. وهذا ما يسمى بقطارة البرامج الضارة. طلب Bad Rabbit من المستخدم تشغيل تثبيت Adobe Flash مزيف ، وبالتالي إصابة الكمبيوتر ببرامج ضارة.
- ريوك
Ryuk عبارة عن حصان طروادة للتشفير انتشر في أغسطس 2018 وقام بتعطيل وظيفة الاسترداد لأنظمة تشغيل Windows. هذا جعل من المستحيل استعادة البيانات المشفرة بدون نسخة احتياطية خارجية. قام ريوك أيضًا بتشفير الأقراص الصلبة للشبكة. كان التأثير هائلاً ، ودفعت العديد من المنظمات الأمريكية المستهدفة الفدية التي طالبت بها. يقدر إجمالي الضرر بأكثر من 640 ألف دولار.
- الظل / Troldesh
وقع هجوم Shade أو Troldesh ransomware في عام 2015 وانتشر عبر رسائل البريد الإلكتروني العشوائية التي تحتوي على روابط أو مرفقات ملفات مصابة. ومن المثير للاهتمام أن مهاجمي Troldesh تواصلوا مباشرة مع ضحاياهم عبر البريد الإلكتروني. وحصل الضحايا الذين أقاموا معهم "علاقة جيدة" على خصومات. ومع ذلك ، فإن هذا النوع من السلوك هو استثناء بدلاً من ذلك
هان القاعدة.
- بانوراما
Jigsaw عبارة عن هجوم من برمجيات الفدية بدأ في عام 2016. وقد حصل الهجوم على اسمه من صورة عرضتها للدمية الشهيرة من سلسلة أفلام Saw. مع كل ساعة إضافية تظل الفدية غير مدفوعة ، يقوم Jigsaw ransomware بحذف المزيد من الملفات. تسبب استخدام صورة فيلم الرعب في ضغوط إضافية بين المستخدمين.
- كريبتولوكير
CryptoLocker عبارة عن برنامج فدية تم اكتشافه لأول مرة في عام 2007 وانتشر عبر مرفقات البريد الإلكتروني المصابة. بحث برنامج الفدية عن بيانات مهمة على أجهزة الكمبيوتر المصابة وقام بتشفيرها. تأثر ما يقدر بنحو 500000 جهاز كمبيوتر. تمكنت وكالات إنفاذ القانون وشركات الأمن في النهاية من السيطرة على شبكة عالمية من أجهزة الكمبيوتر المنزلية المختطفة التي تم استخدامها لنشر CryptoLocker. سمح ذلك للوكالات والشركات باعتراض البيانات التي يتم إرسالها عبر الشبكة دون ملاحظة المجرمين. في النهاية ، أدى ذلك إلى إنشاء بوابة على الإنترنت حيث يمكن للضحايا الحصول على مفتاح لفتح بياناتهم. سمح ذلك بالإفراج عن بياناتهم دون الحاجة إلى دفع فدية للمجرمين.
- بيتيا
Petya (يجب عدم الخلط بينه وبين ExPetr) هو هجوم فدية حدث في عام 2016 وأعيد إحيائه باسم GoldenEye في عام 2017. بدلاً من تشفير ملفات معينة ، قامت برامج الفدية الضارة هذه بتشفير القرص الثابت بالكامل للضحية. تم ذلك عن طريق تشفير Master File Table (MFT) ، مما جعل من المستحيل الوصول إلى الملفات الموجودة على القرص الصلب. انتشر Petya ransomware إلى أقسام الموارد البشرية في الشركات عبر تطبيق مزيف يحتوي على رابط Dropbox مصاب.
نوع آخر من Petya هو Petya 2.0 ، والذي يختلف في بعض الجوانب الرئيسية. من حيث كيفية تنفيذ الهجوم ، كلاهما قاتل بنفس القدر للجهاز.
- العين الذهبية
أدى إحياء Petya باسم GoldenEye إلى الإصابة بفيروس الفدية في جميع أنحاء العالم في عام 2017. ضرب GoldenEye ، المعروف باسم "الأخ القاتل" لـ WannaCry ، أكثر من 2000 هدف - بما في ذلك منتجي النفط البارزين في روسيا والعديد من البنوك. في تحول مثير للقلق للأحداث ، أجبرت GoldenEye موظفي محطة تشيرنوبيل للطاقة النووية على التحقق يدويًا من مستوى الإشعاع هناك ، بعد أن تم قفلهم من أجهزة الكمبيوتر التي تعمل بنظام Windows.
- غاندكراب
GandCrab عبارة عن برنامج فدية بغيض يهدد بالكشف عن العادات الإباحية لضحاياها. وزعمت أنها اخترقت كاميرا الويب الخاصة بالضحية وطالبت بفدية. إذا لم يتم دفع الفدية ، فسيتم نشر لقطات محرجة للضحية على الإنترنت. بعد ظهوره لأول مرة في عام 2018 ، استمر GandCrab ransomware في التطور في إصدارات مختلفة. كجزء من مبادرة "لا مزيد من الفدية" ، طور مقدمو خدمات الأمن ووكالات الشرطة أداة لفك تشفير برامج الفدية لمساعدة الضحايا على استعادة بياناتهم الحساسة من GandCrab.
- B0r0nt0k
B0r0nt0k عبارة عن برنامج فدية تشفير يركز بشكل خاص على الخوادم التي تعمل بنظامي التشغيل Windows و Linux. تقوم برامج الفدية الضارة هذه بتشفير ملفات خادم Linux وإرفاق امتداد ملف ".rontok". لا تشكل البرامج الضارة تهديدًا للملفات فحسب ، بل تقوم أيضًا بإجراء تغييرات على إعدادات بدء التشغيل وتعطيل الوظائف والتطبيقات وإضافة إدخالات التسجيل والملفات والبرامج.
- Dharma Brrr انتزاع الفدية
يتم تثبيت Brrr ، وهو Dharma ransomware الجديد ، يدويًا بواسطة المتسللين الذين يقومون بعد ذلك باختراق خدمات سطح المكتب المتصلة بالإنترنت. بمجرد تنشيط برنامج الفدية من قبل المتسلل ، يبدأ في تشفير الملفات التي يعثر عليها. يتم إعطاء البيانات المشفرة امتداد الملف ".id- [id]. [email] .brrr".
- رانسومواري FAIR RANSOMWARE
FAIR RANSOMWARE عبارة عن برنامج فدية يهدف إلى تشفير البيانات. باستخدام خوارزمية قوية ، يتم تشفير جميع المستندات والملفات الخاصة للضحية. الملفات المشفرة بهذه البرامج الضارة لها امتداد الملف "FAIR RANSOMWARE" مضافًا إليها.
- رانسومواري مادو
برنامج الفدية MADO هو نوع آخر من برامج الفدية المشفرة. يتم منح البيانات التي تم تشفيرها بواسطة برنامج الفدية هذا الامتداد ".mado" وبالتالي لم يعد من الممكن فتحها.
هجمات برامج الفدية
كما ذكرنا سابقًا ، تجد برامج الفدية أهدافها في جميع مناحي الحياة. عادة ما تكون الفدية المطلوبة بين 100 دولار و 200 دولار. ومع ذلك ، تتطلب بعض هجمات الشركات أكثر من ذلك بكثير - خاصةً إذا كان المهاجم يعلم أن البيانات التي يتم حظرها تمثل خسارة مالية كبيرة للشركة التي تتعرض للهجوم. وبالتالي يمكن لمجرمي الإنترنت جني مبالغ ضخمة باستخدام هذه الأساليب. في المثالين التاليين ، تعتبر ضحية الهجوم الإلكتروني ، أو كانت ، أكثر أهمية من نوع برامج الفدية المستخدمة.
- WordPress انتزاع الفدية
WordPress ransomware ، كما يوحي الاسم ، يستهدف ملفات موقع WordPress. يتم ابتزاز الضحية من أجل الحصول على فدية ، كما هو معتاد في برامج الفدية. كلما زاد الطلب على موقع WordPress ، زاد احتمال تعرضه للهجوم من قبل مجرمي الإنترنت باستخدام برامج الفدية.
- قضية ولفيرين
كانت Wolverine Solutions Group (مورد رعاية صحية) ضحية لهجوم برامج الفدية في سبتمبر 2018. قامت البرامج الضارة بتشفير عدد كبير من ملفات الشركة ، مما يجعل من المستحيل على العديد من الموظفين فتحها. لحسن الحظ ، تمكن خبراء الطب الشرعي من فك تشفير البيانات واستعادتها في 3 أكتوبر
تم اختراق الكثير من بيانات المرضى في الهجوم. الأسماء والعناوين والبيانات الطبية وغيرها من المعلومات الشخصية قد تكون وقعت في أيدي مجرمي الإنترنت.
- برامج الفدية كخدمة
تمنح برامج الفدية كخدمة مجرمي الإنترنت ذوي القدرات التقنية المنخفضة الفرصة لتنفيذ هجمات برامج الفدية. يتم توفير البرامج الضارة للمشترين ، مما يعني مخاطر أقل ومكاسب أعلى لمبرمجي البرنامج.
- استنتاج
هجمات برامج الفدية (Ransomware) لها العديد من المظاهر المختلفة وتأتي بجميع الأشكال والأحجام. يُعد ناقل الهجوم عاملاً مهمًا لأنواع برامج الفدية المستخدمة. لتقدير حجم ومدى الهجوم ، من الضروري دائمًا مراعاة ما هو على المحك أو البيانات التي يمكن حذفها أو نشرها. بغض النظر عن نوع برنامج الفدية ، فإن النسخ الاحتياطي للبيانات مسبقًا والتوظيف المناسب لبرامج الأمان يمكن أن يقلل بشكل كبير من شدة الهجوم.