برامج الفدية هو شكل من أشكال الحمولة التي تصف على أفضل وجه النية المملة للجهات الفاعلة بخصوص التهديد التي تسعى إلى ابتزاز دفعة من الضحية لأنها نجحت في التحكم في بيانات الضحية أو أنظمتها. عادة ما يتم طلب العملة المشفرة لدفع الفدية.
ويمكن للمهاجم أن يستخدم موجات هجومية متعددة وقد يكون للفشل في الدفع عواقب، بما في ذلك التهديدات التالية:
وبوجه عام، ستسعى الجهات الفاعلة الخبيثة إلى الحصول على مدفوعات لأن إجراءاتها يمكن أن تضر بنظم تكنولوجيا المعلومات وتؤثر سلبًا على العمليات العادية لضحاياها. وعلى الرغم من أن البرامج الضارة إحدى أساليب الهجوم الرئيسية، فقد وقعت عدة حوادث لفدية البرامج دون استخدام برامج ضارة - على سبيل المثال، حوادث برامج فدية مع ابتزاز إلكتروني من خلال التهديد بشن هجوم على رفض الخدمة (DoS) أو تعطيل موقع إلكتروني. كما نشأت العتاد كخدمة (RWaaS)، حيث أنشأت الجهات الفاعلة المعنية بالتهديدات نموذج عمل لشن هجوم محدد الهدف ضد فرد أو شركة كخدمة، مقابل رسوم.
يتم تقديم برامج الفدية بشكل شائع عن طريق رسائل البريد الإلكتروني الخاصة بالتصيد الاحتيالي أو تنزيلات "المشغلات". تبدو رسائل التصيد الإلكتروني مشروعة وجديرة بالثقة وتجعل الضحية تنقر فوق ارتباط ضار أو تفتح مرفقًا. أي برنامج يتم تنزيله باستخدام محرك الأقراص عبارة عن برنامج يتم تنزيله تلقائيًا من الإنترنت دون موافقة المستخدمين ومن دون معرفتهم. يمكن تشغيل التعليمة البرمجية الضارة بعد التنزيل، دون أي تفاعل للمستخدم. وبعد أن يتم تشغيل التعليمات البرمجية الضارة، يصبح كمبيوتر المستخدم مصابًا ببرامج فدية.
ويقوم برنامج الفدية بعد ذلك بتعريف محركات الأقراص في النظام المصاب ويبدأ في تشفير الملفات داخل كل محرك. يأتي التشفير بشكل عام بامتداد فريد للملفات المشفرة، مثل aaa أو .micro أو .encrypted أو .ttt أو .xyz أو .zzz أو .locky أو .crypt أو .cryptolocker أو .vault أو .petya وفور اكتمال التشفير، يقوم برنامج الفدية بإنشاء ملف أو مجموعة من الملفات التي تحتوي على معلومات وتعليمات حول شروط هجوم برامج الفدية وعرضها. فعلى سبيل المثال، بمجرد أن تستوفي الضحية شروط الفدية، قد يوفر ممثل التهديد مفتاح تشفير للضحية لإطلاق الملفات المشفرة.
ويمكن أن يساعد النظافة الأمنية الأساسية والممارسات التشغيلية الصحية المؤسسات على منع حوادث الفدية وتقليل الخسارة المالية ووقت التوقف عن العمل والاضطراب.
توجد عدة نقاط ضعف بين مستخدمي المؤسسة. وستستفيد المؤسسات من تثقيف المستخدمين الأفراد بشأن ممارسات استعراض البريد الإلكتروني الآمن والإنترنت. ومن المهم أيضا توفير التثقيف بشأن الاستخدام الآمن لمنصات التواصل الاجتماعي حتى يدرك المستخدمون أن من شأن جهة فاعلة خبيثة التهديد أن تستخدم المعلومات المتاحة للجمهور بشأن تلك البرامج لاستهدافهم أو غيرهم في مؤسساتهم.
ولتعزيز الممارسات الآمنة، يمكن للمؤسسات تطبيق عناصر التحكم الفنية للأنظمة المختلفة التي يستخدمها المهاجمون لنشر البرامج الضارة. ومن أمثلة عناصر التحكم التقنية ما يلي:
بالإضافة إلى تشغيل منتجات الحماية المحدثة لنقطة النهاية، يجب أن يكون لدى المؤسسات أنظمة إدارة الهوية والوصول (IAM)، مع اتباع نهج أمان لا يمثل أي ثقة. مع المصادقة القوية ومبادئ أقل الامتيازات، يمكن للمؤسسات الحفاظ على السيطرة الصارمة على الأنظمة المهمة ومخازن البيانات الحساسة.
يجب على المؤسسات إلى جانب ضوابط الوصول الصارمة فرض القيود على أدوات التعاون وموارد مشاركة الملفات والأنظمة التي يشيع الوصول إليها. ويجوز للمؤسسات أن تفرض تحديات إضافية في مجال التصديق عند الاقتضاء. يمثل حذف عمليات تسجيل الدخول المجهولة والحسابات العامة واستخدام بيانات الاعتماد الضعيفة، إلى جانب التحكم الصارم في الحسابات المميزة مثل نظام التشغيل الجذري والإداري أو حسابات مسؤول قاعدة البيانات، عاملاً رئيسيًا في الحفاظ على وضع أمان قوي.
يجب على المؤسسات تحديد خطوط أساس تكوين الأمان المعروفة وصيانتها ونشر الأنظمة وفقًا للإرشادات الخاصة بتكوين الأمان. ونظرًا لأنه غالبًا ما تستهدف الحمولات الضارة نقاط ضعف البرامج المعروفة، فإنه من المهم تطبيق تصحيحات الأمان على الفور.
وأخيرًا، تقوم ممارسة أخرى من شأنها مساعدة المؤسسة على الاسترداد من برامج فدية بتخزين النسخ الاحتياطية بشكل منفصل وعلى نظام تشغيل مختلف حتى لا يمكن الوصول إليها من الشبكة.
وعندما تكتشف المؤسسات برامج فدية، ينبغي لها أن تحاول الحد من انتشار الحمولة الضارة عن طريق:
لتقليل تأثير هجوم برامج الفدية، يجب أن تشتمل خطط الإصلاح الخاصة بالمؤسسة على توفير عمليات نسخ احتياطي متكررة وآمنة مع إجراءات استرداد فعالة ومتحقق منها. وقبل استعادة النظم، ينبغي للمؤسسات أن تحدد في حدود مستوى معقول من الثقة وقت وكيفية حدوث الحل التوفيقي الأولي. وبدون بذل العناية الواجبة، يمكن للمؤسسات التي تتعرض للضحية أن تستعيد دون قصد الحل التوفيقي وتعيد إقرار الوقوع أثناء القيام بعملية الاسترداد الأولية. ومع وضع ذلك في الاعتبار، قد يكون من الضروري إجراء تحليل للتكاليف والفوائد قبل اختيار استعادة حالة آمنة أقدم ولكن معروفة أو استعادة حالة أحدث، ولكن ربما تكون مصابة لتقليل اضطراب الأعمال. ونظرًا لأنه من المعروف أن بعض البرامج الضارة تستهدف ملفات النسخ الاحتياطي والموارد، فيجب على المؤسسات ضمان التحكم الفعال بها أيضًا.