كيف تعمل فيروسات الفدية ولماذا تتمتع بهذه القوة؟

كيف تعمل فيروسات الفدية ولماذا تتمتع بهذه القوة؟

«إيموتيت» برنامج مموه بارع يتسلل ويكمن إلى حين تنشيطه
الثلاثاء - 9 شهر ربيع الثاني 1442 هـ - 24 نوفمبر 2020 مـ رقم العدد [ 15337]

برز فيروس «إيموتيت» في الأسابيع الأخيرة، كأكثر أنواع فيروسات الفدية انتشاراً. ولدرء خطر هذا الفيروس وغيره، علينا أن نبدأ في فهم طريقة عمله.


فيروسات الفدية

تظهر فيروسات الفدية كتهديد رئيسي للمنظمات والمؤسسات على اختلاف أنواعها وأحجامها. فقد كشف تقرير «حالة فيروسات الفدية 2020» The State of Ransomware 2020 الذي أصدرته شركة الأمن السيبراني «سوفوس»، أن 51 في المائة من المنظمات تعرضت لاعتداءات فيروسات الفدية خلال العام الماضي، وأن الكلفة المتوسطة لعلاج الاعتداء الواحد وآثاره بلغت حوالي 761 ألف دولار على المستوى العالمي.

تنوعت فيروسات الفدية، ولكن أكثرها شيوعاً وخطورة هو «إيموتيت» Emotet الذي يلعب الدور الرئيسي في حملات اعتداءات الفدية، بحسب ما كشفت شركة «مايم كاست» الأمنية في تقرير «تهديد الاستخبارات» الذي أعدته لهذا العام. ووفقاً لموقع «دارك ريدينغ» وجدت شركة «بروف بوينت» أن أكثر الدول استهدافاً بهذه الاعتداءات هي ألمانيا والنمسا وسويسرا والولايات المتحدة والمملكة المتحدة وكندا.


تمويه لاقتناص الفدية

ما هو «إيموتيت»؟ إنه برنامج من نوع حصان طروادة، متوفر عبر نموذج «برنامج خبيث على شكل خدمة»، أي أن القراصنة الإلكترونيين يستطيعون تحميله كحزمة ببضع مئات الدولارات، أو برسم اشتراك شهري لتوجيه الاعتداءات نحو الشركات والأفراد. تطلق حمولة البرنامج الأساسية، والتي يتم توصيلها غالباً عبر رسالة إلكترونية أو مستندات خبيثة أو مواقع إلكترونية، نصاً أو فيروس ماكرو أو رمزاً يعمل كدودة رقمية تضرب تطبيقات وأنظمة برمجية متعددة، كلائحة العناوين في حسابات «آوتلوك» أو المخازن السحابية.

يشير كيث مولارسكي، مدير ممارسات الأمن السيبراني في شركة «إي واي» الاستشارية إلى أن «(إيموتيت) غالباً ما يستقر في المكان المستهدف دون ممارسة أي نشاط لمدة تتراوح بين 30 و45 يوماً، قبل أن يشن اعتداء الفدية».

ويشرح مولارسكي أن «إيموتيت» يتمتع بفعالية عالية؛ لأنه يحمل مكونات برمجية خبيثة على طول طريقه إلى داخل الأنظمة، بينما تعجز الأدوات الأمنية التقليدية - كجدار الحماية - عن صده؛ لأنه يؤسس قنوات مشفرة لا تستطيع دفاعات الشبكة رصدها. بعدها، وفور سيطرة «إيموتيت» على الملفات المستهدفة وتشفيرها، يطلب المحتالون فدية يتم غالباً دفعها عبر عملة إلكترونية غير قابلة للتعقب، كالبيتكوين.

من جهته، يقول جون شير، مستشار أمني بارز في شركة «سوفوس»، إن «المجرمين السيبرانيين يشغلون (إيموتيت) كعمل تجاري يقدم خدمات كتأمين الدعم للزبائن».


مسيرة الاعتداء

كيف يبدو الاعتداء؟ عادة تقع الإصابة بالفيروس الإلكتروني عندما ينقر أحدهم على رابط في رسالة إلكترونية، وغالباً عبر اعتداء بالتصيد. يقود هذا الرابط المستخدم إلى موقع أو خدمة تحمل «الطعم» الأساسي، وبعد استقرار هذا الرمز أو فيروس الماكرو في الكومبيوتر، يبدأ البحث عن كومبيوترات متصلة أخرى، وينشر مزيداً من البرامج الخبيثة. يعتمد هذا النوع من الاعتداءات عادة على «مايكروسوفت آوتلوك» لصناعات الرسائل الإلكترونية.

ويشرح شير بأنه عندما يضرب «إيموتيت» النظام المستهدف، يشن اعتداءات عنيفة على حسابات سعياً لاختراق كلمات المرور والوصول إلى بيانات مؤمنة، ثم يعمل على السيطرة على هذه الملفات وتشفيرها. بعد وصول المجرمين إلى البيانات المشفرة والإقفال على أهدافهم، يطلبون الفدية، ويتراوح سعر فك التشفير وتحرير الملفات «المخطوفة» بين بضعة آلاف وملايين الدولارات. يشير تقرير «سوفوس» إلى أن 94 في المائة من المنظمات تنجح أخيراً في استعادة السيطرة على بياناتها، ولكن بكلفة متوسطة تُقدر بـ732520 دولاراً للاعتداء الواحد.


ضربة فعالة

لماذا يتميز «إيموتيت» بفعالية عالية؟ يتوفر «إيموتيت» بنسخ متعددة ومختلفة، ويتضمن تصميماً نموذجياً، ما يصعِّب عملية تحديده وحجبه. يستخدم هذا الفيروس تقنيات الهندسة الاجتماعية لاختراق الأنظمة، ويبرع في التهرب من عمليات الرصد. علاوة على ذلك، تشهد حملات «إيموتيت» تطوراً مستمراً؛ حيث إن بعض النسخ تستهدف سرقة المعلومات المصرفية أو بيانات عالية الحساسية لشركات، قد يلجأ المحتالون الإلكترونيون إلى التهديد بنشرها علناً؛ لأن هذا الفعل قد يشكل دافعاً إضافياً لتسديد الفدية على حد تعبير شير.

تبدو الرسالة الإلكترونية الأولى التي يدخل عبرها الفيروس وكأنها مرسلة من مصدر موثوق، كمدير أو مسؤول تنفيذي بارز في الشركة، أو قد تقدم رابطاً لما يبدو كأنه موقع أو خدمة قانونية. يعتمد «إيموتيت» غالباً على تقنيات ضغط الملفات كـ«ZIP» (امتداد الملف) لنشر الفيروس في أنواع مختلفة من الملفات كـ«دوك» doc و«دوك إكس» docx و«إكس» exe؛ لأن هذا الأمر يخفي الاسم الحقيقي للملف أثناء تجوله في الشبكة.

قد تتضمن هذه المستندات جملاً كـ«تفاصيل الدفع» أو «لطفاً، حدث معلومات ملف الموارد البشرية» لخداع المتلقي وحثه على فتح المستند المرفق. كما ظهرت في الآونة الأخيرة بعض الرسائل التي تتمحور حول فيروس «كوفيد- 19» والتي تصل غالباً من بريد إلكتروني قانوني من الشركة نفسها، يمكن أن يحتوي على ملفات عادية وأخرى خبيثة.

ويتمتع «إيموتيت» بخاصية متفوقة أخرى، وهي قدرته على رصد المحيط الذي يعمل فيه. على سبيل المثال، يدرك الفيروس متى يجب أن يستقر في آلة افتراضية، ويبقى نائماً لتفادي رصده عبر أدوات مسح البرامج الخبيثة.

يستخدم «إيموتيت» ما يُعرف بخوادم القيادة والسيطرة لتلقي التحديثات خفية، ما يتيح للمعتدين تحديث رمز البرنامج الخبيث وزراعة فيروسات أخرى من نوع حصان طروادة.

وأخيراً، لا تستبعدوا أن يعود هذا الفيروس إلى الظهور حتى بعد تنظيف جهاز الكومبيوتر.


مواجهة الفيروسات

كيف يمكن مواجهة «إيموتيت»؟ يقول الخبراء إنه توجد بعض الطرق التي يمكن من خلالها تقليل خطر الإصابة بهذا الفيروس والحماية من المشكلات التي يسببها.

أولاً، يجب استخدام برنامج أمن يرصد الرسائل الإلكترونية المريبة ويحجبها. كما يجب تأمين جميع الأجهزة المدارة وغير المدارة المتصلة بالشبكة. يمكن أيضاً تطبيق وسائل حماية إضافية، ككلمات المرور القوية، والمصادقة المتعددة العوامل، والتحديث الأمني المنتظم، واستخدام برنامج لرصد التهديد التجسسي. وأخيراً، على الموظفين أن يتعلموا كيف يميزون الرسائل الإلكترونية المثيرة للشك.

وأخيراً، فإنه، لسوء الحظ، لن تختفي برامج الفدية ولا «إيموتيت» في وقت قريب. ففي أسابيع قليلة فقط، برز الأخير كواحد من أشرس فيروسات الفدية، فضلاً عن أن الاعتداءات تزداد تعقيداً، ما يجعلها تهديداً حقيقياً لجميع أنواع الأعمال.


اختيارات المحرر

الوسائط المتعددة