برمجيات الفدية: كيف طور القراصنة مهاراتهم للسيطرة على الكومبيوترات؟

نظرة على تاريخها عبر السنين

أعلنت وكالة الأمن الأوروبية (يوروبول) الأسبوع الماضي عن شروعها في التعاون مع شركات أمن الإنترنت، في مبادرة تهدف إلى الحد من الارتفاع «المتسارع» في برامج «الفدية» الخبيثة. وتتركز خطة العمل على تطوير وتنشيط موقع إلكتروني يربط بين الضحايا والشرطة، ويعطي نصائح تساعد على استعادة البيانات المفقودة.
وبرامج الفدية عبارة عن برمجيات خبيثة، تطلب من الضحية دفع أموال مقابل حل رموز البيانات المهمة على جهاز الكومبيوتر المخترق. وقال أحد الشركاء في المشروع، إن موقع «كفى برامج فدية خبيثة» No More Ransom site سيتم تحديثه للتعامل مع عصابات الفدية. وتنسق وكالة الأمن الأوروبية (يوروبول) المبادرة، التي تتضمن أيضا الشرطة الهولندية وشركتي «إنتل سيكيورتي» و«كاسبرسكاي لابس». وقد ارتفع عدد المستخدمين الذين تعرضوا للتهديد ببرامج الفدية من 131 ألفًا عام 2014 إلى 718 ألفًا عام 2015، وفقا لشركة «كاسبرسكي لاب». وسوف يؤمن الموقع الجديد أدوات للمستخدمين تتيح لهم إزالة ربما غالبية برامج الفدية.

برامج الفدية
أصبحت «برمجيات الفدية» ransomware من أكثر تهديدات الإنترنت انتشارا منذ عام 2005. ووفقا للمعلومات المتاحة المتوفرة حاليا، كانت الإصابة بتلك البرمجيات قد فاقت محاولات اختراق البيانات بواقع 7694 إلى 6013 على مدى الـ11 عاما الماضية.
وعلى مر السنين، كان هناك نوعان مميزان من برمجيات الفدية لا يزالان موجودين حتى الآن وهما: برمجيات «الفدية المشفرة» Crypto ransomware، وبرمجيات «الفدية المانعة» locker based ransomware. والنوع الأول هو أشكال متنوعة من برمجيات الفدية التي تعمل بطريق تشفير الملفات والمجلدات والأقراص الصلبة وخلافه، بينما برمجيات الفدية المانعة تعمل بطريق منع المستخدمين من استخدام الكومبيوترات الخاصة بهم، وهي في غالب الأمر من نوع برمجيات الفدية الخاصة بنظام التشغيل «آندرويد».
وتعتمد برمجيات الفدية الجديدة على مزيج من جهود التوزيع المتطورة مثل البنية التحتية المدمجة والمستخدمة بكل سهولة وعلى نطاق واسع لتوزيع السلالات الجديدة من البرمجيات، إلى جانب الأساليب التقنية المتقدمة مثل استخدام المشفرات، لضمان تنفيذ عمليات الهندسة العكسية شديدة الصعوبة. بالإضافة إلى ذلك، فإن استخدام أساليب التشفير خارج الإنترنت أصبحت أكثر شيوعا، ولذا فإن برمجيات الفدية تستغل خصائص النظم المشروعة مثل نظام «CryptoAPI» الخاص بمايكروسوفت، وعدم الحاجة إلى إجراء اتصالات القيادة والسيطرة.

تطور برامج الفدية
وقد درس تيرانس دي جيسوس، من فريق الهندسة والأبحاث الأمنية لدى شركة «Solutionary» في تاريخ برمجيات الفدية، وسلط الضوء على تطورها عبر السنين، وعرض تفاصيلها في مجلة «بي سي وورلد».
* «حصان طروادة (الإيدز) AIDS Trojan»، أول فيروس معروف من فيروسات برمجيات الفدية، وهو من تطوير جوزيف إل بوب، المهندس المدرب في جامعة هارفارد في عام 1989. ولقد وزع 20 ألفا من الأقراص المصابة بالفيروس إلى الحضور في المؤتمر الدولي لمكافحة مرض الإيدز من تنظيم منظمة الصحة العالمية.
* «آرتشيفوس Archievus»، ظهر بعد نحو 17 عاما، من أول توزيع لبرمجيات الفدية الخبيثة، حيث تم الإعلان عن سلالة أخرى من الفيروس. وللأسف الشديد، فإن هذه السلالة كانت أكثر صعوبة على العلاج. وكان هذا الفيروس يعمل بطريق تشفير كل شيء في مجلد «مستنداتي» على النظام، وكان يطلب من المستخدمين إجراء عمليات شراء من مواقع معينة على الإنترنت، للحصول على كلمة مرور معينة، بهدف فك شفرة الملفات خاصتك.
* «حصان طروادة من دون اسم لعام 2011»، جاء بعد مرور خمس سنوات من الفيروس السابق عليه، وقد سهلت خدمات الدفع المجهولة شائعة الاستخدام على القراصنة استخدام برمجيات الفدية لجمع الأموال من الضحايا من دون الكشف عن هوياتهم الحقيقية. وتعمل برمجيات الفدية المخترقة للكومبيوتر بطريق محاكاة إشعار تنشيط منتجات ويندوز ويخبر المستخدمين بأنه يتعين إعادة تنشيط نظام ويندوز الخاص بهم بسبب الاحتيال.
* «حصان طروادة ريفيتون Reveton»، وهو من كبار برمجيات الفدية الشهيرة، وبدأ في الانتشار في جميع أنحاء أوروبا. وهو يعتمد على برمجيات «Citadel Trojan» الخبيثة، حيث يزعم جزء من برمجيات الفدية المدمجة بأن الكومبيوتر الذي تعرض للهجوم قد استخدم في أنشطة غير مشروعة، وأنه من أجل فك تشفير النظام يتعين على المستخدم دفع غرامة باستخدام قسيمة من إحدى خدمات الدفع النقدي المجهولة.

أنواع حديثة
* «كريبتولوكر Cryptolocker»، يعد شهر سبتمبر (أيلول) 2013 من اللحظات الحاسمة في تاريخ برمجيات الفدية، إذ شهد ميلاد «Cryptolocker». كان هذا الفيروس هو أول فيروس يعمل بالتشفير ينتشر عن طريق التحميل من المواقع المشبوهة، أو يجري إرساله إلى الموظفين أو أصحاب الأعمال في صورة رسالة بالبريد الإلكتروني أو مرفقاتها التي تبدو كأنها مماثلة لشكوى مرسلة من أحد العملاء. وقد انتشرت الإصابة بهذه البرمجيات الخبيثة على نطاق كبير.
* «كريبتوديفينس Cryptodefense»، في عام 2014، ظهرت برمجيات الفدية التي تحمل هذا الاسم والتي استخدمت برمجيات «تور TOR»، و«بيتكوين bitcoin» للتخفي. ولقد استخدمت تشفير «CryptoAPI» المدمج في نظام ويندوز، وكان المفتاح الخاص بها يُخزن في ملف نصي عادي على الكومبيوتر المصاب، وهو العيب الذي لم يُكتشف على الفور وقتها بكل أسف.
وقام المطورون لبرمجيات «Cryptodefense» الخبيثة بعد فترة من الوقت بإنزال نسخة محسنة من الفيروس تحت اسم «CryptoWall»، التي ذاع انتشارها، حيث استخدمت حملة عدوانية للبريد الإلكتروني المتطفل التي استهدفت بالأساس الولايات المتحدة الأميركية.

اختراق نظم «آندرويد»
* «سايبنغ Sypeng»، يمكن اعتبار «Sypeng» أول برنامج من برمجيات الفدية الذي يعمل على نظام «آندرويد»، الذي يقوم بغلق شاشة أجهزة الضحايا برسالة تحذير مزيفة من وكالة التحقيقات الفيدرالية الأميركية. ويصل ذلك الفيروس إلى الضحايا عبر تحديثات وهمية لبرنامج «Adobe Flash» في رسالة نصية قصيرة. ويضطر المستخدم إلى سداد مبلغ مائتي دولار عبر خدمة «MonkeyPaks» لاستعادة نظام التشغيل خاصته.
* «كولير Koler»، يشبه إلى حد كبير برمجيات «Sypeng» الخبيثة من حيث استخدامه لإرسال بيانات كاذبة عن عقوبات الشرطة الوهمية، ويطالب الضحية بسداد الفدية عبر خدمة «MonkeyPaks»، ويكمن اعتباره أول برمجيات الفدية المانعة التي ظهرت.
* «CTB - Locker»، و«SimplLocker»، تم اكتشافهما أيضا في عام 2014، وكانا يعتبران من أول أنواع برمجيات الفدية الخاص بالهواتف الجوالة العاملة بنظام «آندرويد»، حيث يعملان بطريق تشفير الملفات والمجلدات وإغلاق الهاتف تماما في وجه المستخدم.
* «لوكيربن LockerPin»، من برمجيات الفدية العدائية العامل على نظام «آندرويد»، الذي بدأ في الانتشار في الولايات المتحدة في سبتمبر (أيلول) من العام الماضي، وهو قادر على إعادة ضبط كلمة المرور الخاصة بالهاتف الجوال، بهدف الإغلاق النهائي للجهاز الخاص بك.
* «تيسلاكريبت TeslaCrypt»، ظهر هذا الفيروس في عام 2015 كذلك، وأصبح من التهديدات المستمرة، حيث عمل المطورون على إنتاج أربع نسخ جديدة من الفيروس. وكان أول توزيع له عبر مجموعات «Angler» الاستغلالية، وعمل آخرون على توسيع نطاق الانتشار.
* «لوليفل 04 LowLevel04»، و«كيميرا Chimera»، اكتشف النوع الأول في عام 2015، وكان يستهدف أجهزة سطح المكتب البعيدة وخدمات المحطات الطرفية. وعلى العكس من حملات برمجيات الفدية الأخرى، كانت الهجمات تتم يدويا بواسطة المهاجمين أنفسهم.

برمجيات العام
* «رانسوم 32 Ransom32»، و«7ev3n»، اكتشف النوع الأول واعتبر من برمجيات الفدية الأولى من نوعها المكتوبة بأسلوب «JavaScript». أما النوع الثاني فقد تم اكتشافه خلال الأشهر القليلة الماضية. ووفقا لـ13 عملة «بيتكوين» الافتراضية، فإن الفيروس يطالب بأعلى فدية ممكنة حتى الآن. كما أنه يهدد نظم «ويندوز» بصورة مباشرة.
* «LOcky»، اكتشفت هذه البرمجيات الخبيثة في عام 2016، وبدأ في الانتشار السريع عبر حملات التصيد العدوانية. كما تصدر هذا الفيروس عناوين الأخبار، بسبب الإصابات التي يسببها لكثير من المستشفيات الموجودة في ولايات كنتاكي، وكاليفورنيا، وكانساس، وغير ذلك من المناطق الأجنبية.
* «سامسام SamSam - SamSam» أو «SAMAS»، اكتشف توزيعه وانتشاره خصيصا لمهاجمة خوادم «JBoss» الضعيفة.
* «كي رينجار KeRanger»، أول برمجيات الفدية تعمل ضد برنامج «ماك أو إس إكس» ذلك الذي تم اكتشافه في عام 2016. وكانت برمجيات الفدية قد تم التوقيع عليها بواسطة شهادة التطوير الخاصة بنظام «ماك»، مما يسمح له بالمرور عبر برنامج «GateKeeper» الأمني لشركة «آبل».
* «بيتيا Petya»، ذاع صيته في عام 2016، حيث كان يتم توزيعه وانتشاره عبر تطبيق «Drop - Box»، وكان يمحو سجل «Master Boot Record» في الأجهزة المصابة، ثم يعمل على تشفير القرص الصلب نفسه. كما كان يستخدم أمر «CHKDISK» الوهمي أثناء تشفير القرص الصلب، مطالبا بسداد مبلغ 431 دولارا كفدية.
* «مكتوب Maktub»، اكتشف في عام 2016، وكان أول نوع من الفيروسات الذي يستخدم برنامج التشفير الذاتي الذي يعمل بطريق إخفاء المصدر الرئيسي لكود البرنامج الخبيث.
* «جيغسو Jigsaw»، أصبح الأول من نوعه الذي تكون رسالة المطالبة بالفدية مدمجة في شخصيات البازل لسلسلة أفلام «SAW» الشهيرة.
* «كريبت إكس إكس إكس CryptXXX»، يعتبر أحدث برنامج من برمجيات الفدية اعتبارا من نهاية مايو (أيار) 2016، وهو آخر أنواع برمجيات الفدية الأكثر انتشارا. ويشير الباحثون إلى أنه متصل بنوع «Reveton» من برمجيات الفدية، نظرا للخصائص المتماثلة لكلا النوعين خلال فترة الإصابة.
* «زد كريبتور ZCryptor»، نشرت شركة «مايكروسوفت» مقالة تفصل فيها معلومات لديها حول نوع جديد من برمجيات الفدية تحمل هذا الاسم. ويمكن اعتباره أحد أول أنواع «ديدان التشفير الإلكترونية» التي يتم نشرها عبر رسائل البريد الإلكتروني غير المرغوب فيها.
ما مستقبل برمجيات الفدية؟ يتوقع الخبراء أننا سوف نشهد ظهور أنواع وسلالات جديدة منها خلال عام 2016، ومن ضمن هذه السلالات، من الأرجح أنه يكون لعدد قليل منها تأثير كبير اعتمادا على الجهود المبذولة من جانب مطوري تلك البرمجيات وعصابات القرصنة الإلكترونية المشاركين.