ووفقًا للتقارير ، فإن شركة السفر التجاري ومقرها مينيسوتا CWT هي أحدث ضحية لأحدث اتجاه في برامج الفدية.
في الواقع ، نحن على الأرجح في النقطة التي نحتاج فيها إلى التوقف عن تسميتها مجرد هجمات “برامج الفدية” ، لأنه من الشائع بشكل متزايد أن هناك الكثير لهذه الهجمات من مجرد قفلك من ملفاتك ، وهي الطريقة التي نفكر بها عادةً من برامج الفدية.
عندما أصبحت برامج الفدية أول أخبار كبيرة بفضل البرامج الضارة مثل CryptoLocker ، في أوائل عام 2010 ، اختار المحتالون وراء الجريمة عمدا استخدام التشفير في مكانه لربط جهاز الكمبيوتر الخاص بك.
لم يكونوا بحاجة للقيام بذلك بهذه الطريقة – كان بإمكانهم سرقة جميع ملفاتك أولاً وحذف النسخ من جهاز الكمبيوتر الخاص بك ، ثم قاموا ببيع ملفاتك مرة أخرى.
كان بإمكانهم إثبات أن لديهم الملفات من خلال دعوتك لتسمية زوجين ثم إعادتهم مجانًا – نظرًا لأنهم لن يعرفوا الأسماء التي تختارها ، فمن المحتمل أن يقنعك هذا بأن لديهم جميع الأسماء الأخرى أيضًا .
لكن هذا النهج كان سيكون بطيئًا ومثيرًا للقلق ، خاصة عندما كان المحتالون يستهدفون أكبر عدد ممكن من الضحايا ويهدفون إلى جعل 300 دولار في الوقت المناسب من بين مئات الآلاف من الناس.
في ذلك الوقت ، لم يكن لدى المستخدم المنزلي العادي أو الأعمال التجارية الصغيرة على اتصال ADSL ما يكفي من النطاق الترددي للتحميل لجعل هذا النوع من الهجوم قابلاً للتطبيق – وإعادة الملفات إلى الضحايا الذين دفعوا سيكون غير موثوق به أيضًا ، وهو ما ثني الناس عن الدفع لأسباب فنية وأخلاقية.
لذا قام المحتالون بتشفير الملفات في مكانها ، وكل ما احتاجوا لبيعه لك هو مفتاح فك التشفير ، أو برنامج فك تشفير صغير مع إدخال مفتاحك فيه.
حدثت عملية التشفير بسرعة القرص ، وليس سرعة الشبكة ، لذلك كان من الصعب اكتشافها وحدث الضرر بسرعة.
أيضًا ، خرج مهاجمو برامج الفدية الأوائل عن طريقهم لتوفير مفاتيح فك التشفير لأولئك الذين دفعوا بأسرع ما يمكن – من المفارقة بناء سمعة لعصابات برامج الفدية بأنها “المحتالين الذين يمكن الوثوق بهم”.
حسنًا ، لا تزال مخادع برامج الفدية تتدافع في ملفاتك في مكانها ، لأن ذلك لا يعطل عمليات عملك فحسب ، بل يفرك أيضًا الهجوم في وجه الجميع.
جميع ملفاتك موجودة – يمكنك رؤيتها ، مع وجود الأسماء الصحيحة في الدلائل الصحيحة – وفي بعض هجمات برامج الفدية ، لا يقوم المحتالون بتشفير أول بضعة آلاف بايت من كل ملف ، وبالتالي يمكنك الوصول إلى محتويات إذا أردت – أو هكذا يبدو.
قريب جدا ، ولكن حتى الآن!
الخبر السار هو أنه ، حتى الآن ، تكيفت العديد من الشركات مع تهديد برامج الفدية بطريقتين:
- المنظمات أقل ميلاً إلى الدفع إذا كان بإمكانها مساعدتها، لأنه يشعر بأن كل شيء خاطئ ، وكان خبراء إنفاذ القانون في جميع أنحاء العالم صريحين في حث الضحايا على عدم الدفع لأن هذا فقط يبيض المجرمين.
- أصبحت المؤسسات أفضل في النسخ الاحتياطي واستعادة القدرة على العمل بعد الكوارث، لذلك من المرجح بشكل متزايد أن يتمكنوا من التعافي من تلقاء أنفسهم.
يشير استطلاع حديث أجرته Sophos إلى أن الاسترداد الذاتي بعد هجوم الفدية يكلف عادة أقل بكثير من دفع المحتالين ، لسبب بسيط هو أنه حتى بعد أن يرسل لك المحتالون برنامج فك التشفير ، لا تزال بحاجة إلى تشغيله عبر جميع أنظمتك ، الأمر الذي يتطلب الكثير من الوقت والجهد لاستعادة النسخ الاحتياطية. برامج فك تشفير Ransomware ليست رصاصات سحرية تستعيد بياناتك فورًا بمجرد وصولها إلى صندوق بريدك الإلكتروني.
الأخبار السيئة هي أن المحتالين قد تكيفوا أيضًا.
بعض عصابات برامج الفدية لا تخلط ملفاتك فحسب ، ولكن أيضًا سرقة النسخ غير المشفرة أولاً.
بالنظر إلى أن عصابات برامج الفدية تستهدف الآن بشكل أساسي الشركات ، حيث يكون عرض النطاق الترددي للشبكة الصادرة أفضل بكثير من الشبكات المنزلية ، يمكن للمحتالين تحميل شرائح كبيرة من البيانات قبل تشفير الملفات في مكانها.
وبالنظر إلى التكلفة المنخفضة وسهولة التخزين السحابي ، فلا داعي للقلق بشأن تشغيل مساحة القرص.
في الواقع ، ليسوا بحاجة للسرقة الكل ملفاتك – فقط كمية كافية من الملفات المثيرة التي يمكن استخدامها لإثبات وجهة نظرهم.
لا يمكنك التأكد من مدى سرقتها ، ولكن إذا استطاعوا التلويح ببعض العينات التي قد تكون ضارة في وجهك ، فعليك أن تفترض أنهم سرقوا كل ما يهم.
وبالتالي فإن مطالبهم ببرامج الفدية لم تعد مجرد نوع من الابتزاز ، على الإطلاق هم الابتزاز: “ادفع المال أو سننقل بيانات الكأس لعملائك ، إلى منظمي حماية البيانات ، إلى SEC ، إلى منافسيك ، هيك ، إلى أي شخص يريد رؤيتها ؛ ولن يوفر لك أي قدر من النسخ الاحتياطي من تداعيات ذلك. “
لذا فإن طلب الفدية لديه الآن لدغة مزدوجة – ليس لديك حق الوصول إلى بياناتك ، ولكن الجميع في العالم قريبًا!
في حالة CWT ، تشير التقارير إلى أن المجرمين يدعون أنهم قاموا بخلط الملفات على 30،000 جهاز كمبيوتر وتحميل 2 تيرابايت من بيانات الشركة.
على الرغم من أن هذه الأرقام العالية تبدو مشكوك فيها ، كان الضغط المزدوج كافياً لوضع CWT بين صخرة ومكان صعب.
على ما يبدو ، استقرت الشركة أخيرًا مع المحتالين (لسنا متأكدين من أن كلمة “تسوية” هي الكلمة الصحيحة ، ولكن هذه هي الطريقة التي يتعامل بها المجرمون مع هذه الأمور ، كما لو كانوا رجال أعمال شرعيين) على دفع 4،500،000 دولار – في Bitcoin ، بالطبع – بدلاً من الـ 10 ملايين دولار التي أرادها المحتالون في البداية.
في المقابل ، حصلوا على مادة التشفير لفك تشفير الملفات الممزوجة ، و “وعد” من المجرمين بأن البيانات المسروقة ذهبت الآن إلى الأبد.
(بافتراض ، بالطبع ، أن المحتالين يقولون الحقيقة ، وأن المحتالين أنفسهم لم يتم اختراقهم وسرقة البيانات منهم مؤقتًا عبر أي نظام سحابي كانوا يحتجزونه فيه.)
ماذا أفعل؟
- استخدم أدوات مكافحة الفدية لحظر برامج تشفير الملفات في أقرب وقت ممكن. حتى إذا لم تتم سرقة أي بيانات وكان لديك نسخ احتياطية شاملة ، فإن استرداد الملفات المخبأة يكلف الوقت والمال.
- حماية بوابات تسجيل الدخول الخاصة بك لمنع الغرباء من الوصول في المقام الأول. غالبًا ما تبدأ هجمات برامج الفدية من خلال أنظمة منسية أو غير آمنة أو غير مُرَقَّحة ، لا سيما خوادم RDP (بروتوكول سطح المكتب البعيد) الموجودة للسماح لموظفي تكنولوجيا المعلومات لديك بالدخول.
- شاهد سجلاتك. تسبق معظم هجمات برامج الفدية علامات منبهة ، إذا كنت تعرف ما الذي تبحث عنه وتستغرق وقتًا في البحث. يمكن للبرامج الضارة الحالية إنشاء أبواب خلفية لمحتالين برامج الفدية ؛ عادة ما يشير إنشاء حسابات جديدة ولكن غير مبررة إلى المحتالين الذين ينشرون أجنحتهم ؛ ووجود أدوات sysdmin حيث لا تتوقعها هي علامة على المحتالين يستعدون للانقضاض.
- لا تستسلم أبدًا لوعي المستخدم. استخدم أدوات مثل Sophos Phish Threat لتدريب المستخدمين على التعرف على رسائل البريد الإلكتروني المخادعة – كلمات المرور المخادعة هي أيضًا طريقة شائعة لمجرمي برامج الفدية للدخول وتشكيل رؤوسهم. قم بإعداد بريد إلكتروني داخلي أو خط إبلاغ هاتفي حيث يمكن للمستخدمين الإبلاغ عن الهجمات الوليدة وجعل الشركة بأكملها تكون عيون وآذان لفريق الأمن.
