ما المقصود ببرامج الفدية؟

المحدد ببرامج الفدية

برامج الفدية هو شكل من أشكال الحمولة التي تصف على أفضل وجه النية المملة للجهات الفاعلة بخصوص التهديد التي تسعى إلى ابتزاز دفعة من الضحية لأنها نجحت في التحكم في بيانات الضحية أو أنظمتها. عادة ما يتم طلب العملة المشفرة لدفع الفدية.


ويمكن للمهاجم أن يستخدم موجات هجومية متعددة وقد يكون للفشل في الدفع عواقب، بما في ذلك التهديدات التالية:

  • استخراج بيانات الضحية ونشرها
  • عرض مواطن الضعف والممارسات التشغيلية للضحية التي أدت إلى التسوية
  • تشفير بيانات الضحية وحظر الوصول بشكل دائم
  • التحكم الإداري أو الأولي والتعطيل الدائم للأنظمة المخالفة

وبوجه عام، ستسعى الجهات الفاعلة الخبيثة إلى الحصول على مدفوعات لأن إجراءاتها يمكن أن تضر بنظم تكنولوجيا المعلومات وتؤثر سلبًا على العمليات العادية لضحاياها. وعلى الرغم من أن البرامج الضارة إحدى أساليب الهجوم الرئيسية، فقد وقعت عدة حوادث لفدية البرامج دون استخدام برامج ضارة - على سبيل المثال، حوادث برامج فدية مع ابتزاز إلكتروني من خلال التهديد بشن هجوم على رفض الخدمة (DoS) أو تعطيل موقع إلكتروني. كما نشأت العتاد كخدمة (RWaaS)، حيث أنشأت الجهات الفاعلة المعنية بالتهديدات نموذج عمل لشن هجوم محدد الهدف ضد فرد أو شركة كخدمة، مقابل رسوم.

كيفية عمل برامج الفدية

يتم تقديم برامج الفدية بشكل شائع عن طريق رسائل البريد الإلكتروني الخاصة بالتصيد الاحتيالي أو تنزيلات "المشغلات". تبدو رسائل التصيد الإلكتروني مشروعة وجديرة بالثقة وتجعل الضحية تنقر فوق ارتباط ضار أو تفتح مرفقًا. أي برنامج يتم تنزيله باستخدام محرك الأقراص عبارة عن برنامج يتم تنزيله تلقائيًا من الإنترنت دون موافقة المستخدمين ومن دون معرفتهم. يمكن تشغيل التعليمة البرمجية الضارة بعد التنزيل، دون أي تفاعل للمستخدم. وبعد أن يتم تشغيل التعليمات البرمجية الضارة، يصبح كمبيوتر المستخدم مصابًا ببرامج فدية.

ويقوم برنامج الفدية بعد ذلك بتعريف محركات الأقراص في النظام المصاب ويبدأ في تشفير الملفات داخل كل محرك. يأتي التشفير بشكل عام بامتداد فريد للملفات المشفرة، مثل aaa أو .micro أو .encrypted أو .ttt أو .xyz أو .zzz أو .locky أو .crypt أو .cryptolocker أو .vault أو .petya وفور اكتمال التشفير، يقوم برنامج الفدية بإنشاء ملف أو مجموعة من الملفات التي تحتوي على معلومات وتعليمات حول شروط هجوم برامج الفدية وعرضها. فعلى سبيل المثال، بمجرد أن تستوفي الضحية شروط الفدية، قد يوفر ممثل التهديد مفتاح تشفير للضحية لإطلاق الملفات المشفرة.

كيف يمكن للمؤسسات أن تكون أكثر مرونة في مواجهة هجمات برامج الفدية

ويمكن أن يساعد النظافة الأمنية الأساسية والممارسات التشغيلية الصحية المؤسسات على منع حوادث الفدية وتقليل الخسارة المالية ووقت التوقف عن العمل والاضطراب.

توجد عدة نقاط ضعف بين مستخدمي المؤسسة. وستستفيد المؤسسات من تثقيف المستخدمين الأفراد بشأن ممارسات استعراض البريد الإلكتروني الآمن والإنترنت. ومن المهم أيضا توفير التثقيف بشأن الاستخدام الآمن لمنصات التواصل الاجتماعي حتى يدرك المستخدمون أن من شأن جهة فاعلة خبيثة التهديد أن تستخدم المعلومات المتاحة للجمهور بشأن تلك البرامج لاستهدافهم أو غيرهم في مؤسساتهم.

ولتعزيز الممارسات الآمنة، يمكن للمؤسسات تطبيق عناصر التحكم الفنية للأنظمة المختلفة التي يستخدمها المهاجمون لنشر البرامج الضارة. ومن أمثلة عناصر التحكم التقنية ما يلي:

  • تنفيذ أدوات وتقنيات الترشيح للأنظمة الأساسية للبريد الإلكتروني والاتصالات لمنع تسليم البرامج الضارة لمستخدميها
  • تنفيذ المسح الضوئي للبرامج الضارة وخدمات التحقق من صحة الارتباطات وتقنيات صندوق الحماية لخوادم البريد الإلكتروني وبوابات الإنترنت
  • تعريف وإنفاذ السياسات المتعلقة بتنزيل واستخدام التعليمات البرمجية الخارجية وغير الموثوق بها في بيئتها، لمنع تسوية الأنظمة عن طريق تركيب برامج ضارة أو تنفيذ البرامج النصية الضارة.

بالإضافة إلى تشغيل منتجات الحماية المحدثة لنقطة النهاية، يجب أن يكون لدى المؤسسات أنظمة إدارة الهوية والوصول (IAM)، مع اتباع نهج أمان لا يمثل أي ثقة. مع المصادقة القوية ومبادئ أقل الامتيازات، يمكن للمؤسسات الحفاظ على السيطرة الصارمة على الأنظمة المهمة ومخازن البيانات الحساسة.

يجب على المؤسسات إلى جانب ضوابط الوصول الصارمة فرض القيود على أدوات التعاون وموارد مشاركة الملفات والأنظمة التي يشيع الوصول إليها. ويجوز للمؤسسات أن تفرض تحديات إضافية في مجال التصديق عند الاقتضاء. يمثل حذف عمليات تسجيل الدخول المجهولة والحسابات العامة واستخدام بيانات الاعتماد الضعيفة، إلى جانب التحكم الصارم في الحسابات المميزة مثل نظام التشغيل الجذري والإداري أو حسابات مسؤول قاعدة البيانات، عاملاً رئيسيًا في الحفاظ على وضع أمان قوي.

يجب على المؤسسات تحديد خطوط أساس تكوين الأمان المعروفة وصيانتها ونشر الأنظمة وفقًا للإرشادات الخاصة بتكوين الأمان. ونظرًا لأنه غالبًا ما تستهدف الحمولات الضارة نقاط ضعف البرامج المعروفة، فإنه من المهم تطبيق تصحيحات الأمان على الفور.

وأخيرًا، تقوم ممارسة أخرى من شأنها مساعدة المؤسسة على الاسترداد من برامج فدية بتخزين النسخ الاحتياطية بشكل منفصل وعلى نظام تشغيل مختلف حتى لا يمكن الوصول إليها من الشبكة.

ما الذي يجب القيام به إذا كانت مؤسستك هي الهدف من هجوم برامج الفدية

وعندما تكتشف المؤسسات برامج فدية، ينبغي لها أن تحاول الحد من انتشار الحمولة الضارة عن طريق:

  • عزل النظام (الأنظمة) المُصابة وحذفها وتعطيلها من جميع الشبكات
  • معالجة جميع ثغرات مشاركة الملفات في الوقت المناسب وأخذ أي أنظمة تشغيل غير مدعومة في وضع عدم الاتصال
  • مراجعة سلسلة الثقة الموجودة بين أنظمة تكنولوجيا المعلومات لمنع التأثير المتتالي لتفشي البرامج الضارة
  • الفصل بين الشبكة وقواعد البيانات للمساعدة في عزل تفشي البرامج الضارة والحد من التأثير التشغيلي للتوفيق

لتقليل تأثير هجوم برامج الفدية، يجب أن تشتمل خطط الإصلاح الخاصة بالمؤسسة على توفير عمليات نسخ احتياطي متكررة وآمنة مع إجراءات استرداد فعالة ومتحقق منها. وقبل استعادة النظم، ينبغي للمؤسسات أن تحدد في حدود مستوى معقول من الثقة وقت وكيفية حدوث الحل التوفيقي الأولي. وبدون بذل العناية الواجبة، يمكن للمؤسسات التي تتعرض للضحية أن تستعيد دون قصد الحل التوفيقي وتعيد إقرار الوقوع أثناء القيام بعملية الاسترداد الأولية. ومع وضع ذلك في الاعتبار، قد يكون من الضروري إجراء تحليل للتكاليف والفوائد قبل اختيار استعادة حالة آمنة أقدم ولكن معروفة أو استعادة حالة أحدث، ولكن ربما تكون مصابة لتقليل اضطراب الأعمال. ونظرًا لأنه من المعروف أن بعض البرامج الضارة تستهدف ملفات النسخ الاحتياطي والموارد، فيجب على المؤسسات ضمان التحكم الفعال بها أيضًا.