ما هي مجال العملات الرقمية برامج الفدية؟ دراسة مفصلة
مقدمة
مع نمو الاعتماد على البنية التحتية الرقمية لدينا، يصبح تأثير هجمات برامج الفدية أكثر خطورة، مما يؤدي إلى تعطيل العمليات اليومية وتسبب خسائر مالية. يصبح القبض على الجناة الإلكترونيين أكثر صعوبة حيث يلجأون إلى أساليب متطورة لإخفاء آثارهم. أداة واحدة مثل هذه التي اعتمدوها هي العملات الرقمية لاستلام الفديات. إنهم يستغلون الطبيعة اللامركزية والشبه مجهولة للعملات الرقمية كشكل مفضل للدفع. في عام 2023 وحده، أدت هجمات برامج الفدية إلى دفع أكثر من 1 مليار دولار في الفديات،ذكرتمن قبل شركة تحليل سلسلة الكتل، Chainalysis.
ما هي برامج الفدية؟
برامج الفدية هي برامج ضارة مصممة لتشفير بيانات النظام ، مما يجعلها غير قابلة للوصول حتى يتم دفع فدية. يستهدف هذا الهجوم الإلكتروني الأفراد والشركات والمؤسسات الحكومية ، ويستغل نقاط الضعف في أنظمتهم للوصول غير المصرح به. بمجرد نشر البرامج الضارة ، تقوم بتشفير الملفات وتطالب بالدفع ، عادة بالعملة المشفرة ، لفك تشفير البيانات.
بينما الهدف الرئيسي لهجمات برامج الفدية هو في المقام الأول مالي، في بعض الحالات، يتم استخدامه أيضًا لتسبب اضطرابات تشغيلية، والحصول على وصول غير مصرح إلى معلومات حساسة، أو ضغط المؤسسات للامتثال لمطالب أخرى. كما تم استخدامه كأداة للحرب السيبرانية بين الدول ذات التوتر السياسي.
تاريخ وتطور برامج الفدية
أول هجوم لبرامج الفدية المعروف كان برنامج الإيدز تروجان في عام 1988، والذي يعرف أيضا باسم فيروس بي سي سايبورج. تم توزيعه عن طريق أقراص مرنة على المشاركين في مؤتمر منظمة الصحة العالمية. بعد عدد معين من إعادات تشغيل الكمبيوتر، قام التروجان بتشفير الملفات وطلب فدية بقيمة 189 دولارًا مدفوعة إلى صندوق بريد في بنما. استخدم هذا الهجوم تشفيرًا بدائيًا مقارنة بالمعايير الحالية، ولكنه وضع الأسس لبرامج الفدية الحديثة. اعتبارًا من عام 2006، تم استخدام تشفير RSA المتقدم لتسليم برامج الفدية إلى المواقع الإلكترونية وعبر البريد العشوائي، مع تحصيل الفدية عن طريق القسائم وبطاقات الدفع المسبق وغيرها من الطرق الإلكترونية التي كان من الصعب تتبعها.
المصدر: Chainalysis
بحلول عام 2010، ومع اكتساب بيتكوين شعبية، بدأ المهاجمون يطالبون بفدية بعملة مجهولة الهوية تصعب تتبعها بكثير. منذ ذلك الحين، تم تطوير نماذج أحدث وأكثر تطوراً لبرامج الفدية، مما أدى إلى بناء صناعة إجرامية تمكنت من جمع أكثر من 3 مليارات دولار من عام 2019 إلى عام 2024.
دور العملات الرقمية في برامج الفدية
أحد الميزات الرئيسية للعملات الرقمية، خاصة بيتكوين، هو طبيعتها شبه المجهولة. بينما تُسجل المعاملات على البلوكشين، يتم إخفاء هويات الأطراف المعنية بعناوين المحافظ، مما يجعل من الصعب تتبع الهجوم إلى المهاجم. تترك أنظمة الدفع التقليدية، مثل بطاقات الائتمان والتحويلات المصرفية، آثار هوية واضحة يمكن للشرطة الاستفادة منها في التحقيق في الجرائم السيبرانية.
مع تتبع المعاملات بيتكوين بشكل علني على سلسلة الكتل، انتقل بعض القراصنة الإلكترونيين إلى العملات المشفرة التي تركز على الخصوصية مثل مونيرو، والتي توفر ميزات السرية وتستخدم عناوين مستترة وتوقيعات الحلقة لتحجب تفاصيل المعاملات بشكل أكبر.
كيف تعمل برامج الفدية في مجال العملات الرقمية
برامج الفدية المشفرة تخترق نظام الهدف، عادة من خلال رسائل البريد الالكتروني الاحتيالية، التنزيلات الضارة، أو استغلال ثغرات النظام. بمجرد الدخول، تقوم برامج البرمجيات الخبيثة بتشفير الملفات على جهاز الكمبيوتر أو الشبكة للضحية باستخدام خوارزميات تشفير معقدة، مما يجعل البيانات غير قابلة للوصول.
المصدر: ComodoSSL
تُنفذ مراحل العمليات مرحلة بعد مرحلة؛
- عدوى
- تشفير
- طلب فدية
العدوى
يدخل برامج الفدية المشفرة إلى جهاز الضحية من خلال قنوات مثل;
رسائل الصيد الاحتيالي: يرسل القراصنة الإلكترونيون رسائل بريد إلكتروني تبدو وكأنها قادمة من مصادر شرعية، مما يخدع المستلمين للنقر على الروابط الخبيثة أو تحميل المرفقات المصابة. وغالبًا ما تتنكر هذه الملفات كوثائق مهمة أو تحديثات، مخفية حقيقتها.
البرمجيات القديمة: يمكن لبرامج الفدية استغلال الثغرات في البرمجيات المصنفة بالإصدارات القديمة لأنظمة التشغيل أو التطبيقات. كان ذلك واضحًا في هجوم WannaCry، الذي استخدم ثغرة في نظام التشغيل Microsoft Windows.
الإعلانات الخبيثة: يمكن للمستخدمين التفاعل بدون علم مع الإعلانات الخادعة لتحميل تحديثات البرامج الزائفة التي تؤدي إلى تثبيت برامج الفدية.
اختراق بروتوكول سطح المكتب البعيد: يستخدم بروتوكول سطح المكتب البعيد (RDP) للحفاظ على اتصال بعيد بخادم في المواقف التي يعمل فيها موظفو المؤسسة من مواقع مختلفة. تتصل واجهة RDP على كمبيوتر الموظف عبر بروتوكولات التشفير مع مكون RDP على الخادم. على الرغم من تشفيره ، فإن وضع الاتصال هذا عرضة للاختراقات التي يستخدمها الفاعلون السيئون لتحميل برامج الفدية إلى خادم الشركة.
تشفير
بمجرد دخول النظام، تبدأ برامج الفدية في تشفير ملفات الضحية. تستخدم برامج الفدية في مجال العملات الرقمية أساليب تشفير مثل:
- RSA (Rivest–Shamir–Adleman): خوارزمية تشفير غير متماثلة تستخدم زوج مفتاح عام وخاص. المفتاح العام يقوم بتشفير الملفات، والمفتاح الخاص الذي يمتلكه المهاجم مطلوب لفك تشفيرها.
- AES (Advanced Encryption Standard): طريقة تشفير تناظرية حيث يتم استخدام نفس المفتاح للتشفير والفك. يستخدم برنامج الفدية هذا لتشفير الملفات، ويتم تخزين المفتاح مع الهاجم.
يستهدف البرامج الخبيثة أنواع الملفات، بما في ذلك المستندات والصور ومقاطع الفيديو وقواعد البيانات، أي شيء قد يكون للضحية قيمة. خلال هذه العملية، قد لا يلاحظ المستخدمون حتى أن بياناتهم تمت تشفيرها حتى يتم الانتهاء من عملية التشفير، مما يتركهم بدون خيارات فورية للاسترداد.
واحدة من الأنماط الملحوظة في الهجمات الكبيرة بواسطة برامج الفدية هي أنها تحدث خلال العطلات أو في الأوقات التي لا يكون فيها غالبية الموظفين متصلين عبر الإنترنت لتجنب الكشف.
برنامج الفدية
المصدر: Proofpoint
بعد تشفير البيانات، يعرض برنامج الفدية مذكرة فدية للضحية، عادة من خلال نافذة منبثقة أو ملف نصي أو صفحة HTML.
شاشة طلب فدية تطلب البيتكوين مقابل المفتاح الخاص
المصدر: Varonis
يُطلب عادة مبلغ الفدية بالبيتكوين أو المونيرو مع رابط لموقع الدفع أو طريقة للتواصل مع المهاجمين (وفي بعض الأحيان يتم استضافتها على الويب المظلم).
المصدر: Proofpoint
إذا قام الضحية بالامتثال للمطلب وتحويل المبلغ المطلوب ، فقد يقدم المهاجمون مفتاح التشفير لفتح الملفات. ومع ذلك ، فإن دفع الفدية لا يضمن أن المهاجمين سيتبعون الإجراء. في بعض الحالات ، لا يتلقى الضحايا أبدًا مفتاح التشفير حتى بعد الدفع ، أو قد يواجهون مطالبات فدية إضافية.
يقوم الخبراء في مجال الأمان السيبراني والجهات الإنفاذ بتحذير دفع الفدية، حيث يمكن للمجرمين السيبرانيين اللجوء إلى الابتزاز المزدوج، حيث لا يقوم المهاجمون بتشفير ملفات الضحية فقط بل يقومون أيضًا بسرقة البيانات الحساسة. ثم يهددون بالكشف عنها أو بيعها إذا لم يتم دفع فدية أخرى.
هجمات برامج الفدية المشهورة في مجال العملات الرقمية
وانا كراي (2017)
واناكراي هو واحد من أكثر الهجمات الضارة والمنتشرة بشكل واسع من بالفدية في التاريخ. استغل الثغرة في نظام مايكروسوفت ويندوز المعروفة باسم الإتيرنالبلو، التي سرقها مسبقًا مجموعة القراصنة الظلية من وكالة الأمن القومية. أثر واناكراي على أكثر من 200،000 كمبيوتر في 150 دولة، بما في ذلك مؤسسات كبيرة مثل الخدمة الوطنية للصحة في المملكة المتحدة (NHS)، فيديكس، ورينو. لقد تسبب في اضطراب واسع النطاق، خاصة في أنظمة الرعاية الصحية، حيث تأثرت خدمات المرضى بشكل كبير.
مذكرة فدية WannaCry
مصدر:CyberSpades
طالب المهاجمون 300 دولار في بيتكوين مقابل مفتاح فك التشفير، على الرغم من أن العديد من الضحايا لم يتمكنوا من استعادة بياناتهم حتى بعد الدفع. تم التوقف في النهاية عن الهجوم من قبل باحث أمان قام بتنشيط "مفتاح الإيقاف" المضمن في كود البرامج الضارة، ولكن ليس قبل أن يتسبب في خسائر بمليارات الدولارات.
NotPetya (2017)
نوتبيتيا كانت برامج الفدية ذات الضرر المزدوج التي كانت تعمل كبرمجيات فدية وبرمجية محو تم تصميمها لتسبب الدمار بدلاً من استخراج فدية.
ملاحظة فدية NotPetya
المصدر:الأمانالخطوط العريضة
يبدو أن البرامج الضارة تطلب فدية بيتكوين ، ولكن حتى بعد الدفع ، كان استرداد البيانات المشفرة مستحيلا ، مما يشير إلى أن المكاسب المالية لم تكن الهدف الحقيقي. على عكس برامج الفدية التقليدية ، بدا أن NotPetya له دوافع سياسية ، حيث استهدف أوكرانيا خلال فترة من التوتر الجيوسياسي مع روسيا. على الرغم من انتشاره في نهاية المطاف على مستوى العالم ، إلا أنه ألحق أضرارا بالشركات الكبيرة متعددة الجنسيات ، بما في ذلك ميرسك وميرك وفيديكس ، مما أدى إلى خسائر مالية عالمية تقدر بأكثر من 10 مليارات دولار.
DarkSide (2021)
حظيت DarkSide بالاهتمام العالمي بعد هجومها على شركة Colonial Pipeline، أكبر خط أنابيب وقود في الولايات المتحدة، مما أدى إلى نقص في الوقود عبر الساحل الشرقي. أدى الهجوم إلى تعطيل إمدادات الوقود وتسبب في شراء بانيك واسع النطاق. في النهاية، دفعت شركة Colonial Pipeline فدية قدرها 4.4 مليون دولار في بيتكوين، على الرغم من أن مكتب التحقيقات الفيدرالي استرجع جزءًا من هذه الفدية في وقت لاحق.
مذكرة فدية DarkSide
المصدر: KrebsonSecurity
برامج الفدية كخدمة
نظام كخدمة هو نموذج عمل يقوم فيه مبتكرو برامج الفدية بتأجير برامجهم الخبيثة للشركاء التابعين أو الجناة الإلكترونيين الآخرين. يستخدم الشركاء هذه البرامج لتنفيذ الهجمات، ويقومون بتقسيم أرباح الفدية مع مطوري برامج الفدية.
REvil
REvil (المعروف أيضًا باسم Sodinokibi) هو أحد أكثر مجموعات برامج الفدية المتطورة، حيث يعمل كعملية مشروع برامج الفدية كخدمة (RaaS).
تم ربط REvil بهجمات ذات ملف عالي على منظمات عالمية، بما في ذلك JBS (أكبر مورد لحوم في العالم) و Kaseya، شركة برمجيات، مما أثر على أكثر من 1،000 شركة تعتمد على منتجات برمجياتها.
Clop
المصدر: BleepingComputer
كلوب هو نوع آخر من برامج الفدية كـ خدمة (RaaS) التي تنفذ حملات رسائل البريد الإلكتروني الخبيثة على نطاق واسع تستهدف الشركات وتطلب فدية ضخمة. يستخدم مشغلو كلوب تقنية الابتزاز المزدوج: يقومون بسرقة البيانات قبل تشفيرها ويهددون بتسريب المعلومات الحساسة إذا لم يتم دفع الفدية.
في عام 2020، كانت كلوب مسؤولة عن اختراق ضخم للبيانات مرتبط ببرنامج نقل الملفات Accellion، والذي أثر على العديد من الجامعات والمؤسسات المالية والجهات الحكومية.
الدفاع ضد برامج الفدية في مجال العملات الرقمية
يبدأ أكثر دفاع فعال بمنع البرامج الضارة من دخول نظامك. فيما يلي بعض التدابير التي يمكن أن تحمي جهاز الكمبيوتر الخاص بك من برامج الفدية.
التوعية بأمان تكنولوجيا المعلومات
يجب تدريب المستخدمين والموظفين على التعرف على التهديدات مثل رسائل الصيد الاحتيالية أو المرفقات المشبوهة والاستجابة لها. يمكن أن يقلل التدريب الدوري للتوعية الأمنية بشكل كبير من خطر العدوى العرضية.
تحديثات البرامج
التحديثات العادية والتصحيحات لأنظمة التشغيل والتطبيقات وبرامج الأمان تقلل من خطر الهجمات عن طريق تقييد التعرض لبرامج الفدية الناتجة عن البرامج القديمة.
نسخ احتياطي للبيانات
إذا حدث هجوم برامج الفدية، فإن وجود نسخة احتياطية حديثة يسمح للضحية باستعادة بياناتها دون الحاجة إلى دفع فدية. يجب تخزين النسخ الاحتياطية في أماكن غير متصلة بالإنترنت أو في بيئات سحابية غير متصلة مباشرة بالشبكة، لحمايتها من الإصابة ببرامج الفدية.
مرشحات البريد الإلكتروني
نظم تصفية البريد الإلكتروني تفحص الرسائل الواردة للروابط المشبوهة والمرفقات أو السمات. يمكن لهذه الفلاتر حظر الرسائل البريدية التي تحتوي على عناصر ضارة معروفة قبل وصولها إلى صندوق الوارد للمستخدمين.
تجزئة الشبكة وضوابط الوصول
تقسيم الشبكة يقيد انتشار برامج الفدية بمجرد اختراقها لنظامك، حتى إذا تم التسلل إلى جزء من الشبكة، يمكن احتواء الضرر. ينصح الخبراء بفصل الأنظمة والبيانات الحساسة عن العمليات العادية، وتقييد الوصول إلى المناطق الحرجة.
يمكن لعناصر التحكم في الوصول مثل المصادقة متعددة العوامل (MFA) ومبدأ الامتياز الأقل (منح المستخدمين الوصول الذي يحتاجون إليه فقط) أن تحد من وصول المستخدم. إذا تمكن أحد المهاجمين من الوصول إلى حساب أو نظام واحد ، فيمكن أن تمنع عناصر التحكم في التجزئة والوصول الحركة الجانبية عبر الشبكة ، مما يحد من وصول برامج الفدية.
حلول كشف النقطة النهائية والاستجابة (EDR)
توفر حلول EDR رصدًا وتحليلًا مستمرًا لأنشطة النقطة النهائية، مما يساعد على اكتشاف علامات مبكرة للإصابة ببرامج الفدية. يمكن لهذه الأدوات الاستجابة تلقائيًا للسلوك المشبوه، وعزل الأجهزة المصابة ومنع انتشار برامج الفدية في جميع أنحاء الشبكة.
استنتاج
يسلط برنامج Ransomware Crypto الضوء على أحد الاستخدامات الخاطئة للعملات الرقمية، حيث يستغل المجرمون الخصوصية التي يوفرها تكنولوجيا blockchain. على الرغم من عدم وجود الكثير للقيام به بشأن العملات الرقمية كفدية، فإن أفضل التدابير الممكنة هي حماية المستخدمين والأنظمة من العدوى ببرامج الفدية عن طريق تجنب الروابط الاحتيالية وتنفيذ تحديثات البرامج العادية.
أيضا ، يضمن الاحتفاظ بنسخ احتياطية منتظمة للبيانات إمكانية استعادة الملفات المهمة دون دفع فدية في حالة حدوث هجوم. يعمل تجزئة الشبكة كإجراء دفاعي مهم آخر ، لأنه يحد من انتشار برامج الفدية ، ويحصرها في أجزاء معينة من النظام ويحمي المناطق غير المتأثرة.
مقالات ذات صلة
كيفية تخزين ETH?
ما هو سولانا?
ما هو دوجكوين؟
ما هي مجال العملات الرقمية برامج الفدية؟ دراسة مفصلة
ما هو برنامج الفدية؟
كيف يعمل برنامج الفدية المشفر
هجمات برامج الفدية الملحوظة في مجال العملات الرقمية
برامج الفدية كخدمة
الدفاع ضد برامج الفدية في مجال العملات الرقمية
استنتاج
مقدمة
مع نمو الاعتماد على البنية التحتية الرقمية لدينا، يصبح تأثير هجمات برامج الفدية أكثر خطورة، مما يؤدي إلى تعطيل العمليات اليومية وتسبب خسائر مالية. يصبح القبض على الجناة الإلكترونيين أكثر صعوبة حيث يلجأون إلى أساليب متطورة لإخفاء آثارهم. أداة واحدة مثل هذه التي اعتمدوها هي العملات الرقمية لاستلام الفديات. إنهم يستغلون الطبيعة اللامركزية والشبه مجهولة للعملات الرقمية كشكل مفضل للدفع. في عام 2023 وحده، أدت هجمات برامج الفدية إلى دفع أكثر من 1 مليار دولار في الفديات،ذكرتمن قبل شركة تحليل سلسلة الكتل، Chainalysis.
ما هي برامج الفدية؟
برامج الفدية هي برامج ضارة مصممة لتشفير بيانات النظام ، مما يجعلها غير قابلة للوصول حتى يتم دفع فدية. يستهدف هذا الهجوم الإلكتروني الأفراد والشركات والمؤسسات الحكومية ، ويستغل نقاط الضعف في أنظمتهم للوصول غير المصرح به. بمجرد نشر البرامج الضارة ، تقوم بتشفير الملفات وتطالب بالدفع ، عادة بالعملة المشفرة ، لفك تشفير البيانات.
بينما الهدف الرئيسي لهجمات برامج الفدية هو في المقام الأول مالي، في بعض الحالات، يتم استخدامه أيضًا لتسبب اضطرابات تشغيلية، والحصول على وصول غير مصرح إلى معلومات حساسة، أو ضغط المؤسسات للامتثال لمطالب أخرى. كما تم استخدامه كأداة للحرب السيبرانية بين الدول ذات التوتر السياسي.
تاريخ وتطور برامج الفدية
أول هجوم لبرامج الفدية المعروف كان برنامج الإيدز تروجان في عام 1988، والذي يعرف أيضا باسم فيروس بي سي سايبورج. تم توزيعه عن طريق أقراص مرنة على المشاركين في مؤتمر منظمة الصحة العالمية. بعد عدد معين من إعادات تشغيل الكمبيوتر، قام التروجان بتشفير الملفات وطلب فدية بقيمة 189 دولارًا مدفوعة إلى صندوق بريد في بنما. استخدم هذا الهجوم تشفيرًا بدائيًا مقارنة بالمعايير الحالية، ولكنه وضع الأسس لبرامج الفدية الحديثة. اعتبارًا من عام 2006، تم استخدام تشفير RSA المتقدم لتسليم برامج الفدية إلى المواقع الإلكترونية وعبر البريد العشوائي، مع تحصيل الفدية عن طريق القسائم وبطاقات الدفع المسبق وغيرها من الطرق الإلكترونية التي كان من الصعب تتبعها.
المصدر: Chainalysis
بحلول عام 2010، ومع اكتساب بيتكوين شعبية، بدأ المهاجمون يطالبون بفدية بعملة مجهولة الهوية تصعب تتبعها بكثير. منذ ذلك الحين، تم تطوير نماذج أحدث وأكثر تطوراً لبرامج الفدية، مما أدى إلى بناء صناعة إجرامية تمكنت من جمع أكثر من 3 مليارات دولار من عام 2019 إلى عام 2024.
دور العملات الرقمية في برامج الفدية
أحد الميزات الرئيسية للعملات الرقمية، خاصة بيتكوين، هو طبيعتها شبه المجهولة. بينما تُسجل المعاملات على البلوكشين، يتم إخفاء هويات الأطراف المعنية بعناوين المحافظ، مما يجعل من الصعب تتبع الهجوم إلى المهاجم. تترك أنظمة الدفع التقليدية، مثل بطاقات الائتمان والتحويلات المصرفية، آثار هوية واضحة يمكن للشرطة الاستفادة منها في التحقيق في الجرائم السيبرانية.
مع تتبع المعاملات بيتكوين بشكل علني على سلسلة الكتل، انتقل بعض القراصنة الإلكترونيين إلى العملات المشفرة التي تركز على الخصوصية مثل مونيرو، والتي توفر ميزات السرية وتستخدم عناوين مستترة وتوقيعات الحلقة لتحجب تفاصيل المعاملات بشكل أكبر.
كيف تعمل برامج الفدية في مجال العملات الرقمية
برامج الفدية المشفرة تخترق نظام الهدف، عادة من خلال رسائل البريد الالكتروني الاحتيالية، التنزيلات الضارة، أو استغلال ثغرات النظام. بمجرد الدخول، تقوم برامج البرمجيات الخبيثة بتشفير الملفات على جهاز الكمبيوتر أو الشبكة للضحية باستخدام خوارزميات تشفير معقدة، مما يجعل البيانات غير قابلة للوصول.
المصدر: ComodoSSL
تُنفذ مراحل العمليات مرحلة بعد مرحلة؛
- عدوى
- تشفير
- طلب فدية
العدوى
يدخل برامج الفدية المشفرة إلى جهاز الضحية من خلال قنوات مثل;
رسائل الصيد الاحتيالي: يرسل القراصنة الإلكترونيون رسائل بريد إلكتروني تبدو وكأنها قادمة من مصادر شرعية، مما يخدع المستلمين للنقر على الروابط الخبيثة أو تحميل المرفقات المصابة. وغالبًا ما تتنكر هذه الملفات كوثائق مهمة أو تحديثات، مخفية حقيقتها.
البرمجيات القديمة: يمكن لبرامج الفدية استغلال الثغرات في البرمجيات المصنفة بالإصدارات القديمة لأنظمة التشغيل أو التطبيقات. كان ذلك واضحًا في هجوم WannaCry، الذي استخدم ثغرة في نظام التشغيل Microsoft Windows.
الإعلانات الخبيثة: يمكن للمستخدمين التفاعل بدون علم مع الإعلانات الخادعة لتحميل تحديثات البرامج الزائفة التي تؤدي إلى تثبيت برامج الفدية.
اختراق بروتوكول سطح المكتب البعيد: يستخدم بروتوكول سطح المكتب البعيد (RDP) للحفاظ على اتصال بعيد بخادم في المواقف التي يعمل فيها موظفو المؤسسة من مواقع مختلفة. تتصل واجهة RDP على كمبيوتر الموظف عبر بروتوكولات التشفير مع مكون RDP على الخادم. على الرغم من تشفيره ، فإن وضع الاتصال هذا عرضة للاختراقات التي يستخدمها الفاعلون السيئون لتحميل برامج الفدية إلى خادم الشركة.
تشفير
بمجرد دخول النظام، تبدأ برامج الفدية في تشفير ملفات الضحية. تستخدم برامج الفدية في مجال العملات الرقمية أساليب تشفير مثل:
- RSA (Rivest–Shamir–Adleman): خوارزمية تشفير غير متماثلة تستخدم زوج مفتاح عام وخاص. المفتاح العام يقوم بتشفير الملفات، والمفتاح الخاص الذي يمتلكه المهاجم مطلوب لفك تشفيرها.
- AES (Advanced Encryption Standard): طريقة تشفير تناظرية حيث يتم استخدام نفس المفتاح للتشفير والفك. يستخدم برنامج الفدية هذا لتشفير الملفات، ويتم تخزين المفتاح مع الهاجم.
يستهدف البرامج الخبيثة أنواع الملفات، بما في ذلك المستندات والصور ومقاطع الفيديو وقواعد البيانات، أي شيء قد يكون للضحية قيمة. خلال هذه العملية، قد لا يلاحظ المستخدمون حتى أن بياناتهم تمت تشفيرها حتى يتم الانتهاء من عملية التشفير، مما يتركهم بدون خيارات فورية للاسترداد.
واحدة من الأنماط الملحوظة في الهجمات الكبيرة بواسطة برامج الفدية هي أنها تحدث خلال العطلات أو في الأوقات التي لا يكون فيها غالبية الموظفين متصلين عبر الإنترنت لتجنب الكشف.
برنامج الفدية
المصدر: Proofpoint
بعد تشفير البيانات، يعرض برنامج الفدية مذكرة فدية للضحية، عادة من خلال نافذة منبثقة أو ملف نصي أو صفحة HTML.
شاشة طلب فدية تطلب البيتكوين مقابل المفتاح الخاص
المصدر: Varonis
يُطلب عادة مبلغ الفدية بالبيتكوين أو المونيرو مع رابط لموقع الدفع أو طريقة للتواصل مع المهاجمين (وفي بعض الأحيان يتم استضافتها على الويب المظلم).
المصدر: Proofpoint
إذا قام الضحية بالامتثال للمطلب وتحويل المبلغ المطلوب ، فقد يقدم المهاجمون مفتاح التشفير لفتح الملفات. ومع ذلك ، فإن دفع الفدية لا يضمن أن المهاجمين سيتبعون الإجراء. في بعض الحالات ، لا يتلقى الضحايا أبدًا مفتاح التشفير حتى بعد الدفع ، أو قد يواجهون مطالبات فدية إضافية.
يقوم الخبراء في مجال الأمان السيبراني والجهات الإنفاذ بتحذير دفع الفدية، حيث يمكن للمجرمين السيبرانيين اللجوء إلى الابتزاز المزدوج، حيث لا يقوم المهاجمون بتشفير ملفات الضحية فقط بل يقومون أيضًا بسرقة البيانات الحساسة. ثم يهددون بالكشف عنها أو بيعها إذا لم يتم دفع فدية أخرى.
هجمات برامج الفدية المشهورة في مجال العملات الرقمية
وانا كراي (2017)
واناكراي هو واحد من أكثر الهجمات الضارة والمنتشرة بشكل واسع من بالفدية في التاريخ. استغل الثغرة في نظام مايكروسوفت ويندوز المعروفة باسم الإتيرنالبلو، التي سرقها مسبقًا مجموعة القراصنة الظلية من وكالة الأمن القومية. أثر واناكراي على أكثر من 200،000 كمبيوتر في 150 دولة، بما في ذلك مؤسسات كبيرة مثل الخدمة الوطنية للصحة في المملكة المتحدة (NHS)، فيديكس، ورينو. لقد تسبب في اضطراب واسع النطاق، خاصة في أنظمة الرعاية الصحية، حيث تأثرت خدمات المرضى بشكل كبير.
مذكرة فدية WannaCry
مصدر:CyberSpades
طالب المهاجمون 300 دولار في بيتكوين مقابل مفتاح فك التشفير، على الرغم من أن العديد من الضحايا لم يتمكنوا من استعادة بياناتهم حتى بعد الدفع. تم التوقف في النهاية عن الهجوم من قبل باحث أمان قام بتنشيط "مفتاح الإيقاف" المضمن في كود البرامج الضارة، ولكن ليس قبل أن يتسبب في خسائر بمليارات الدولارات.
NotPetya (2017)
نوتبيتيا كانت برامج الفدية ذات الضرر المزدوج التي كانت تعمل كبرمجيات فدية وبرمجية محو تم تصميمها لتسبب الدمار بدلاً من استخراج فدية.
ملاحظة فدية NotPetya
المصدر:الأمانالخطوط العريضة
يبدو أن البرامج الضارة تطلب فدية بيتكوين ، ولكن حتى بعد الدفع ، كان استرداد البيانات المشفرة مستحيلا ، مما يشير إلى أن المكاسب المالية لم تكن الهدف الحقيقي. على عكس برامج الفدية التقليدية ، بدا أن NotPetya له دوافع سياسية ، حيث استهدف أوكرانيا خلال فترة من التوتر الجيوسياسي مع روسيا. على الرغم من انتشاره في نهاية المطاف على مستوى العالم ، إلا أنه ألحق أضرارا بالشركات الكبيرة متعددة الجنسيات ، بما في ذلك ميرسك وميرك وفيديكس ، مما أدى إلى خسائر مالية عالمية تقدر بأكثر من 10 مليارات دولار.
DarkSide (2021)
حظيت DarkSide بالاهتمام العالمي بعد هجومها على شركة Colonial Pipeline، أكبر خط أنابيب وقود في الولايات المتحدة، مما أدى إلى نقص في الوقود عبر الساحل الشرقي. أدى الهجوم إلى تعطيل إمدادات الوقود وتسبب في شراء بانيك واسع النطاق. في النهاية، دفعت شركة Colonial Pipeline فدية قدرها 4.4 مليون دولار في بيتكوين، على الرغم من أن مكتب التحقيقات الفيدرالي استرجع جزءًا من هذه الفدية في وقت لاحق.
مذكرة فدية DarkSide
المصدر: KrebsonSecurity
برامج الفدية كخدمة
نظام كخدمة هو نموذج عمل يقوم فيه مبتكرو برامج الفدية بتأجير برامجهم الخبيثة للشركاء التابعين أو الجناة الإلكترونيين الآخرين. يستخدم الشركاء هذه البرامج لتنفيذ الهجمات، ويقومون بتقسيم أرباح الفدية مع مطوري برامج الفدية.
REvil
REvil (المعروف أيضًا باسم Sodinokibi) هو أحد أكثر مجموعات برامج الفدية المتطورة، حيث يعمل كعملية مشروع برامج الفدية كخدمة (RaaS).
تم ربط REvil بهجمات ذات ملف عالي على منظمات عالمية، بما في ذلك JBS (أكبر مورد لحوم في العالم) و Kaseya، شركة برمجيات، مما أثر على أكثر من 1،000 شركة تعتمد على منتجات برمجياتها.
Clop
المصدر: BleepingComputer
كلوب هو نوع آخر من برامج الفدية كـ خدمة (RaaS) التي تنفذ حملات رسائل البريد الإلكتروني الخبيثة على نطاق واسع تستهدف الشركات وتطلب فدية ضخمة. يستخدم مشغلو كلوب تقنية الابتزاز المزدوج: يقومون بسرقة البيانات قبل تشفيرها ويهددون بتسريب المعلومات الحساسة إذا لم يتم دفع الفدية.
في عام 2020، كانت كلوب مسؤولة عن اختراق ضخم للبيانات مرتبط ببرنامج نقل الملفات Accellion، والذي أثر على العديد من الجامعات والمؤسسات المالية والجهات الحكومية.
الدفاع ضد برامج الفدية في مجال العملات الرقمية
يبدأ أكثر دفاع فعال بمنع البرامج الضارة من دخول نظامك. فيما يلي بعض التدابير التي يمكن أن تحمي جهاز الكمبيوتر الخاص بك من برامج الفدية.
التوعية بأمان تكنولوجيا المعلومات
يجب تدريب المستخدمين والموظفين على التعرف على التهديدات مثل رسائل الصيد الاحتيالية أو المرفقات المشبوهة والاستجابة لها. يمكن أن يقلل التدريب الدوري للتوعية الأمنية بشكل كبير من خطر العدوى العرضية.
تحديثات البرامج
التحديثات العادية والتصحيحات لأنظمة التشغيل والتطبيقات وبرامج الأمان تقلل من خطر الهجمات عن طريق تقييد التعرض لبرامج الفدية الناتجة عن البرامج القديمة.
نسخ احتياطي للبيانات
إذا حدث هجوم برامج الفدية، فإن وجود نسخة احتياطية حديثة يسمح للضحية باستعادة بياناتها دون الحاجة إلى دفع فدية. يجب تخزين النسخ الاحتياطية في أماكن غير متصلة بالإنترنت أو في بيئات سحابية غير متصلة مباشرة بالشبكة، لحمايتها من الإصابة ببرامج الفدية.
مرشحات البريد الإلكتروني
نظم تصفية البريد الإلكتروني تفحص الرسائل الواردة للروابط المشبوهة والمرفقات أو السمات. يمكن لهذه الفلاتر حظر الرسائل البريدية التي تحتوي على عناصر ضارة معروفة قبل وصولها إلى صندوق الوارد للمستخدمين.
تجزئة الشبكة وضوابط الوصول
تقسيم الشبكة يقيد انتشار برامج الفدية بمجرد اختراقها لنظامك، حتى إذا تم التسلل إلى جزء من الشبكة، يمكن احتواء الضرر. ينصح الخبراء بفصل الأنظمة والبيانات الحساسة عن العمليات العادية، وتقييد الوصول إلى المناطق الحرجة.
يمكن لعناصر التحكم في الوصول مثل المصادقة متعددة العوامل (MFA) ومبدأ الامتياز الأقل (منح المستخدمين الوصول الذي يحتاجون إليه فقط) أن تحد من وصول المستخدم. إذا تمكن أحد المهاجمين من الوصول إلى حساب أو نظام واحد ، فيمكن أن تمنع عناصر التحكم في التجزئة والوصول الحركة الجانبية عبر الشبكة ، مما يحد من وصول برامج الفدية.
حلول كشف النقطة النهائية والاستجابة (EDR)
توفر حلول EDR رصدًا وتحليلًا مستمرًا لأنشطة النقطة النهائية، مما يساعد على اكتشاف علامات مبكرة للإصابة ببرامج الفدية. يمكن لهذه الأدوات الاستجابة تلقائيًا للسلوك المشبوه، وعزل الأجهزة المصابة ومنع انتشار برامج الفدية في جميع أنحاء الشبكة.
استنتاج
يسلط برنامج Ransomware Crypto الضوء على أحد الاستخدامات الخاطئة للعملات الرقمية، حيث يستغل المجرمون الخصوصية التي يوفرها تكنولوجيا blockchain. على الرغم من عدم وجود الكثير للقيام به بشأن العملات الرقمية كفدية، فإن أفضل التدابير الممكنة هي حماية المستخدمين والأنظمة من العدوى ببرامج الفدية عن طريق تجنب الروابط الاحتيالية وتنفيذ تحديثات البرامج العادية.
أيضا ، يضمن الاحتفاظ بنسخ احتياطية منتظمة للبيانات إمكانية استعادة الملفات المهمة دون دفع فدية في حالة حدوث هجوم. يعمل تجزئة الشبكة كإجراء دفاعي مهم آخر ، لأنه يحد من انتشار برامج الفدية ، ويحصرها في أجزاء معينة من النظام ويحمي المناطق غير المتأثرة.
مقالات ذات صلة
كيفية تخزين ETH?
ما هو سولانا?