نظم التشغيل الفعالة و المُحدثة تعد الوقاية الأمثل ضد هجمات الفدية الحالية

تشير مؤسسة الأبحاث الأمنية التابعة لسيسكو “تالوس” في تحليلاتها الأولية لهجمات برمجيات الفدية العالمية التي ضربت عدداً كبيراً من المؤسسات حول العالم إلى أن الهجمة

بدأت في أوكرانيا، ويحتمل أن تكون قد انطلقت من أنظمة لتحديث البرمجيات في باقة أوكرانية للمحاسبة الضريبية تحمل اسم MeDoc. ويبدو أن تلك الإشارات قد تأكدت من جانب MeDoc بنفسها، وهي شركة للبرمجيات الضريبية المستخدمة على نطاق واسع لدى عدة مؤسسات وشركات تعمل في أوكرانيا أو تتعامل مع مؤسساتها. وفي الوقت ذاته أكدت تقارير أخرى ظهور تلك الهجمة في فرنسا والدنمارك وإسبانيا والمملكة المتحدة والولايات المتحدة الأمريكية وروسيا.

وبمجرد دخول برمجيات طلب الفدية إلى نظامك، فإنها تستخدم ثلاث وسائل للانتشار التلقائي في الشبكة، منها نقطة الضعف أو الثغرة المعروفة «إتيرنال بلو» Eternal Blue، مشابهة بذلك بدء وانتشار هجمة «واناكراي» WannaCry شهر مايو الماضي، والذي ضرب مؤسسات كثيرة حول العالم، منها مستشفيات مؤسسة الصحة البريطانية العامة، ما أدى إلى شللها.

وما يتضح من هذه الهجمة، وما سبقها مؤخراً من هجمات خبيثة، أن على جميع المؤسسات إعطاء الأولوية لترقيع وتحديث أنظمة التشغيل والمنصات القديمة من أجل تقليل إمكانية تعرضها للمخاطر، حيث يتوجب علينا ترقيع الثغرات بأسرع وقت ممكن للحد من احتمالية اختراقها واستغلالها، وإعداد نسخ احتياطية من البيانات الهامة كتدبير احترازي أساسي لأي برنامج أمني.

و إليكم مقابلة مع سكوت مانسون، مدير الأمن الإلكتروني في الشرق الأوسط وتركيا لدى سيسكو  :

ماذا يمكنك أن تخبرنا عن الهجمة؟

شهدنا خلال الأيام الماضية ثاني هجمات برمجيات الفدية على الإطلاق، والتي جاءت في أعقاب هجمة «واناكراي» WannaCry الشهر الماضي. إن أثر هذا الانتشار لبرمجيات الفدية على عدد من المؤسسات في دول مختلفة، وتعمل “تالوس”، مؤسسة الأبحاث الأمنية التابعة لسيسكو، على إجراء التحقيق في هذه النسخة الجديدة من البرمجيات الخبيثة. وتشير “تالوس” في تحليلاتها الأولية إلى أن الهجمة بدأت في أوكرانيا، ويحتمل أن تكون قد انطلقت من أنظمة لتحديث البرمجيات في باقة أوكرانية للمحاسبة الضريبية تحمل اسم MeDoc. ويبدو أن تلك الإشارات قد تأكدت من جانب MeDoc بنفسها، وهي شركة للبرمجيات الضريبية المستخدمة على نطاق واسع لدى عدة مؤسسات وشركات تعمل في أوكرانيا أو تتعامل مع مؤسساتها. وفي الوقت ذاته أكدت تقارير أخرى ظهور تلك الهجمة في فرنسا والدنمارك وإسبانيا والمملكة المتحدة والولايات المتحدة الأمريكية وروسيا.  وبمجرد دخول برمجيات طلب الفدية إلى نظامك، فإنها تستخدم ثلاث وسائل للانتشار التلقائي في شبكتك، منها نقطة الضعف المعروفة «إتيرنال بلو» Eternal Blue، مشابهة بذلك بدء وانتشار هجمة «واناكراي» WannaCry الشهر الماضي.

ما هي برمجيات الفدية؟ وما هي عملات البتكوين؟

ببساطة  يمكن تعريفها بأنها أحد أنواع البرمجيات الضارة التي تعمل على قفل الحاسوب / النظام، وتتولى السيطرة عليه أو تقوم بتشفير البيانات لتطلب فدية مقابل تحريرها.

أما البتكوين فهي عبارة عن نوع من العملات المشفّرة المستخدمة عبر الإنترنت التي لا تخضع لسيطرة أية دولة او حكومة و تُعد و مثالية للمهاجمين، نظراً لكونها تسمح بإخفاء هوية حاملها أو مستخدمها.

هل يمكن تحديد المؤسسات المتأثرة بالهجوم؟

من بين ضحايا الهجوم حتى الآن مؤسسات هامة للبنية التحتية الأوكرانية كشركات الكهرباء والمطارات والنقل العام والبنك المركزي، بالإضافة إلى شركة الشحن الدنماركية ميرسك وشركة ميرك للصناعات الدوائية وشركة النفط الروسية العملاقة روزنوفت، إلى جانب مؤسسات في الهند وإسبانيا وفرنسا والمملكة المتحدة وغيرها.

وكيف بدأ الهجوم؟ و كيف توسع نطاقة بعد ذلك؟

تشير مؤسسة الأبحاث الأمنية التابعة لسيسكو “تالوس” في تحليلاتها الأولية لهجمات برمجيات الفدية العالمية التي ضربت عدداً كبيراً من المؤسسات حول العالم إلى أن الهجمة بدأت في أوكرانيا، ويحتمل أن تكون قد انطلقت من أنظمة لتحديث البرمجيات في باقة أوكرانية للمحاسبة الضريبية تحمل اسم MeDoc. ويبدو أن تلك الإشارات قد تأكدت من جانب MeDoc بنفسها، وهي شركة للبرمجيات الضريبية المستخدمة على نطاق واسع لدى عدة مؤسسات وشركات تعمل في أوكرانيا أو تتعامل مع مؤسساتها.

وبمجرد دخول برمجيات طلب الفدية إلى نظامك، فإنها تستخدم ثلاث وسائل للانتشار التلقائي في شبكتك، منها نقطة الضعف المعروفة «إتيرنال بلو» Eternal Blue، مشابهة بذلك بدء وانتشار هجمة «واناكراي» WannaCry الشهر الماضي.

ما هو وجه اختلاف هذه الهجمة عن «واناكراي» WannaCry؟ وهل توجد نقطة ضعف تسمح بالقضاء على هذه الهجمة؟

لا يبدو أن برمجيات الفدية هذه تحتوي على الأخطاء التي أعاقت انتشار «واناكراي» WannaCry، وبالأخص، لا يبدو أنها تحتوي أصلا على خاصية القضاء عليها kill switch. كما أن الكشف عنها أصعب نظراً لحركتها داخل الشبكة، فهي لا تقوم بمسح الإنترنت كما فعلت «واناكراي» WannaCry.

هل من وسيلة لتحديد الجهة المسؤولة عن هذه الهجمة؟

يصعب تحديد الجهة المسؤولة في هذا النوع من الهجمات. إنه أمر صعب حاليا.

ما هي توصيات سيسكو للعملاء لحمايتهم من هذه الهجمة؟

احرص على أن تعمل مؤسستك بنظام تشغيل يحظى بدعم فعال يتلقى التحديثات الأمنية اللازمة. أيضا وجود إدارة فعالة لترقيع وتحديث أنظمة التشغيل والتي تقوم بتحديث أمني للنقاط النهائية والأجزاء الحرجة الأخرى من البنية التحتية في الوقت المناسب.  العمل على تشغيل برمجيات مكافحة البرمجيات الضارة على نظامك والتأكد من الحصول على التحديثات الدورية الخاصة بالبرمجيات الضارة. كذلك تنفيذ خطة فعالة للتعافي من الكوارث تشمل إعداد النسخ الاحتياطية من البيانات واستعادتها من الأجهزة التي تبقى غير متصلة بالإنترنت. فكثيراً ما يستهدف المهاجمون آليات النسخ الاحتياطية لتقليل الإمكانات المتاحة للمستخدم لاستعادة ملفاته دون دفع الفدية.  و في حال عدم ترقيع نقاط الضعف بالشكل المناسب، ستبقى المؤسسة عرضةً لهجمات هذه البرمجيات لطلب الفدية.