كيف يؤدي هجوم رانسوم وير إلى تعطيل الأعمال والصناعات؟

نشرت: 2019-03-25

في يوم الثلاثاء ، 19 مارس ، تكافح شركة Norsk Hydro ، إحدى أكبر منتجي الألمنيوم في العالم ، هجوم رانسومواري .

نورسك هيدرو
Img src: رويترز

بسبب مصانع الشركة في الولايات المتحدة ومصانع سحب المعادن وغيرها من مصانع المنتجات المدرفلة التي غيرت سبائك الألمنيوم إلى تروس وآلات للبناة وصناع السيارات وغيرها من الصناعات. الوضع الآن تحت السيطرة ، حيث كان لدى الشركة خطط احتياطية جيدة. علاوة على ذلك ، حولت الشركة عمليات المصاهر الكبيرة في النرويج إلى التشغيل اليدوي.

وفي بيان نُشر على موقع فيسبوك قالت شركة Hydro: "تعمل Hydro على احتواء الهجوم وتحييده ، لكنها لا تعرف بعد المدى الكامل للوضع".

<blockquote class = ”twitter-tweet” data-lang = ”en”> <p lang = ”en” dir = ”ltr”> لقد أبلغوا سوق الأسهم بأنهم ذهبوا إلى العمليات اليدوية. أي شخص يعرف ما هي الصفقة؟ </ p> & [مدش]؛ كيفن بومونت ؟؟ ‍️ (GossiTheDog) <a href=”https://twitter.com/GossiTheDog/status/1107928639612555265؟ref_src=twsrc٪5Etfw”> March 19، 2019 </a> </blockquote>

<script async src = ”https://platform.twitter.com/widgets.js” charset = ”utf-8 ″> </script>

مع هذا الهجوم ، فإن السؤال الملح مثل كيفية دخول برامج الفدية إلى نظام الشركة ، وكيف يعمل ، وماذا يطلق عليه ، وماذا تفعل للبقاء آمنًا .

الإجابة التي ليس من الصعب العثور عليها.

أثناء قراءة المزيد ، ستحصل على معلومات حول برنامج الفدية وكيفية استغلاله للنظام والمزيد.

أول شيء ، وفقًا لهيئة الأمن القومي النرويجي (NNSA) ، استخدم المهاجمون برامج الفدية التي تسمى LockerGoga.

لتسليم برامج الفدية إلى نقاط النهاية ، تم استخدام خدمة Active Directory الخاصة بالشركة ضدها.

هذه ليست المرة الأولى التي يظهر فيها برنامج الفدية هذا. تم استخدام LockerGoga لمهاجمة وابتزاز الأموال من شركة الهندسة الفرنسية Altran Technologies في يناير.

"يستخدم LockerGoga فقط في هجمات محددة الهدف. لا تحتوي على "مفرشة" ، فهي ليست مثل WannaCry أو NotPetya. قال بومونت عبر تويتر: "يجب أن يتم نشره من قبل مهاجم لديه بالفعل وصول إداري".

كيف تمكن المهاجمون من الوصول إلى مواقع الإدارة؟

في هذه الأيام ، لا يعد الوصول إلى مواقع الإدارة مشكلة كبيرة. يستخدم المتسللون النهج الأكثر شيوعًا ، أي أنهم يحصلون على بيانات اعتماد بروتوكول سطح المكتب البعيد القسري من أسواق الجرائم الإلكترونية. بمساعدة بيانات الاعتماد هذه ، يدخلون بسهولة إلى شبكة المؤسسة ، ويدرسونها ويقتحمون النظام بحثًا عن البيانات الحساسة ، حتى قبل استخدام برامج الفدية لتحقيق الدخل.

ما هو LockerGoga وكيف يعمل؟

LockerGoga هو نوع جديد من برامج الفدية التي تقوم بتشفير ملفات الكمبيوتر وتطلب فدية لفك تشفيرها. يقوم برنامج الفدية هذا بتشفير ملفات DLL ويتم تثبيته يدويًا. يستخدم المهاجمون الذين يقفون وراءه في الغالب Active Directory لنشر فيروسات الفدية.

تحارب Norsk Hydro هجوم برامج الفدية
img src: blog.talosintelligence

في حالة Norsk Hydro ، يشتبه في أنه تم استخدام حملات التصيد لنشر LockerGoga. بالإضافة إلى ذلك ، في وقت كتابة هذا التقرير ، لم تكن هناك أداة فك تشفير متاحة لـ LockerGoga. أفضل دفاع ضد برامج الفدية هو الحذر والمراقبة ضد هجمات التصيد الاحتيالي وتشغيل برامج مكافحة الفيروسات المحدثة وأنظمة الحماية الأخرى لنقاط النهاية.

كيف يعمل LockerGoga؟

يستخدم المهاجمون وراء LockerGoga نهجًا كلاسيكيًا ، مثل تشفير البرامج الضارة للملفات بامتداد مستهدف ثم ترك ملاحظة فدية كما في حالة Ryuk و SamSam و برامج الفدية الأخرى. لا يمكن لـ LockerGoga الانتشار إلى أهداف أخرى ، ولكنها تستخدم تقنية أخرى لتقليل الاكتشاف ، أي أن مؤلف البرامج الضارة يستخدم شهادات صالحة كملفات قابلة للتنفيذ. ومع ذلك ، تم إبطال هذه الشهادات الآن.

بمجرد تثبيته ، يغير حسابات المستخدمين عن طريق تغيير كلمات المرور الخاصة بهم ويحاول تسجيل خروج المستخدمين الذين قاموا بتسجيل الدخول لإعادة تحديد موقعهم في مجلد temp وإعادة تسمية نفسه عبر سطر الأوامر. بالإضافة إلى ذلك ، يقوم LockerGoga أيضًا بتشفير محتويات دليل سلة المحذوفات الخاصة بالضحية. سمة أخرى مثيرة للاهتمام لهذا البرنامج الضار هي أنه يشفر كل ملف على حدة ويتم تشفير كل ملف بعد تعديل مفتاح التسجيل: ( HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ RestartManager \ Session00 {01-20}.

عادةً لا تقوم برامج الفدية بهذا الإجراء حيث يتم إنشاء النفقات العامة وهي طريقة غير كفؤة.

بالإضافة إلى ذلك ، لا تتم إضافة C&C وإشارات DNS وما إلى ذلك إلى رمز البرامج الضارة ، وبالتالي فإن الافتراضات هي أن نوايا LockerGoga هي الاضطراب وليس التجسس.

بعد تشفير الملفات ، يترك LockerGoga بعد ملاحظة فدية في ملف .txt.

هجوم رانسوم وير
Img src: Trendmicro LockerGoga Ransom note

أحدث هجوم لفايروس الفدية
Img src: قائمة بالملحقات التي تستهدفها برامج الفدية

إلى جانب هذا ، هناك شيء آخر مثير للاهتمام حول LockerGoga هو أن مذكرة الفدية لا تتضمن عنوان محفظة Bitcoin أو Monero wallet. إنه يتضمن ببساطة عنواني بريد إلكتروني للاتصال بموزع البرامج الضارة. بالإضافة إلى ذلك ، لزيادة احتمالية تلقي مهاجمي الفدية ، يعرضون فك تشفير عدد صغير من الملفات المشفرة مجانًا.

كيف تعرف ما إذا كنت مصابًا بـ LockerGoga؟

نظرًا لأن الملفات المستهدفة يتم تشفيرها و "تأمينها" ، يتم إضافة امتداد الملف في نهاية اسم الملف ، يمكنك تحديد أنك مصاب.

LockerGoga
Img src: registerfuture.com

ماذا نتعلم من هذه الأنواع من الهجمات؟

أولاً وقبل كل شيء ، لا تستهدف هذه الهجمات المثيرة للمشاكل أي شريحة محددة. الأفراد والشركات و الحكومات كلها في هدفها. والضرر الذي سببته هذه الهجمات شديد. لذلك ، نحن بحاجة إلى توخي الحذر ويجب أن نتحقق من أنشطتنا عبر الإنترنت. بالإضافة إلى ذلك ، يمكن أن يؤدي الهجوم على أي شركة إلى زيادة أسعار السلع.

أيضًا ، دفع الفدية ليس حلاً ، لأن المكافأة ستساعد المهاجم فقط على تصميم برامج ضارة أكثر تقدمًا. أيضًا ، مع العلم أنه سيتم دفع أجورهم ، سيتم تشجيع المجرم على الهجوم.

أمثلة على هجمات برامج الفدية المدمرة:

واناكري برامج الفدية التي شلت البنوك والشركات المضيفة وغيرها على مستوى العالم.
نتج عن هجوم NotPetya خسائر بقيمة 10 مليارات دولار لشركات سلسلة التوريد worldwid .

كيف تحافظ على سلامتك ضد LockerGoga

باتباع هذه الممارسات المعينة ، يمكنك البقاء في مأمن من برامج الفدية مثل LockerGoga:

  1. خذ نسخًا احتياطيًا منتظمًا للملفات وتأكد من أنها تعمل بنسخ احتياطية
  2. احرص دائمًا على تحديث تطبيقات النظام والأمان والبرامج الأخرى. بالإضافة إلى تصحيح الأنظمة غير المصححة
  3. تنفيذ تصنيف البيانات وتجزئة الشبكة لتقليل التعرض للبيانات الحساسة.
  4. قم بتعطيل مكونات الطرف الثالث حيث يمكن استخدامها كنقاط دخول.
  5. تجنب التغييرات غير المرغوب فيها في النظام ، وقم بتنفيذ طبقة إضافية من الأمان مثل مراقبة السلوك والتحكم في التطبيق
  6. توعية الموظفين لتطبيق الأمن في مكان العمل. بالإضافة إلى ذلك ، اجعلهم على دراية بطرق تحديد رسائل البريد الإلكتروني المخادعة والاحتيالية

يتم إحتوائه:

البيانات هي مصدر ثمين للأفراد والمنظمات والمهاجمين. سواء كانت صورة أو وثيقة شركة ، فكلها ذات قيمة. لذلك ، نحن بحاجة إلى حمايتها. يراقبه مجرمو الإنترنت لسرقته وكسب المال. خطأ واحد سخيف من طرفنا يمكن أن يؤدي إلى أضرار جسيمة.

لقد زاد تواتر هجمات برامج الفدية خلال السنوات القليلة الماضية ، ولا يتم استخدامه فقط لتحقيق الربح ، بل يتم استخدامه أيضًا لتعطيل عمليات الشبكة وإخفاء المسارات. قد يكون LockerGoga سلالة جديدة يفتقر إلى التطور ، ولكنه مثال آخر على كيف يمكن لبرامج الفدية أن تسبب الضرر عند الاستدانة ضد مؤسسة أو فرد. لذلك ، كن حذرا وابقى آمنا. للدفاع عن نفسك من هجمات برامج الفدية ، احتفظ دائمًا بنسخة احتياطية من البيانات المهمة وأبق النظام محدثًا.

نأمل أن تعجبك المقالة ونريد منك أن تتابعنا آخر أخبار الأمن. سيساعدك الاشتراك في TweakLibrary عن طريق الضغط على أيقونة الجرس في تلقي الإشعارات والبقاء على اطلاع معنا. لا تترك لنا التعليق في القسم أدناه.