الدفاع ضد المراحل الخمس لهجوم برامج الفدية

إن التطور المتزايد لهجوم برامج الفدية يكلف الشركات أكثر من أي وقت مضى. تؤكد الاحصائيات أن 73٪ من المؤسسات عانت على الأقل من هجوم فدية واحد في عام 2022 ، مقارنة بـ 55٪ فقط في دراسة 2021.

و كذلك اتضح أن أن 80٪ من المؤسسات التي دفعت الفدية قد تعرضت لبرامج الفدية للمرة الثانية. يضاف لذلك أنه في 68٪ من الحالات تبين أن الهجوم الثاني جاء في أقل من شهر من الهجوم الأول. وطالب منظمو الهجمات الضحايا بدفع فدية أعلى.

و كذلك أشار تقرير مشترك صادر عن الولايات المتحدة والمملكة المتحدة وأستراليا في فبراير ونشرته وكالة الأمن السيبراني وأمن البنية التحتية (CISA) إلى أن “سوق برامج الفدية أصبح” احترافياً “بشكل متزايد في عام 2021”. وذكر كذلك أن التطور في سلالات برامج الفدية التي شوهدت العام الماضي “يوضح التطور التكنولوجي المتزايد للجهات الفاعلة في التهديد.”

لقد ولت أيام استهداف الأفراد عبر رسائل البريد الإلكتروني العشوائية الملوثة التي تؤدي إلى طلبات فدية بمئات الدولارات إلى حد كبير. لقد حلت محلها عمليات برامج الفدية المعقدة RansomOps. تسعى هذه الهجمات إلى البقاء تحت الرادار لأطول فترة ممكنة حيث تتسلل إلى أكبر قدر ممكن من الشبكة المستهدفة قبل طلب فدية.

وفقاً لـ Anthony M. Freed فإنه للدفاع ضد أحدث التهديدات ، من الضروري فهم نطاق هجوم برامج الفدية. وذلك حتى يمكن اعتماد استراتيجيات استباقية لمكافحتها لحماية المؤسسات بشكل أفضل من التعرض للاختراق.

محتويات المقال

خمس مراحل لهجوم برامج الفدية

يحدث هجوم RansomOps على مراحل متعددة ، والتي تلخصها Gartner على النحو التالي: الدخول ، والتسوية ، والاختراق / الأنفاق ، والقيادة والتحكم ، والتشفير. سنتعمق في هذه المراحل الخمس هنا ، وما الذي يمكن فعله لمنعها:

الدخول الأولي

يبدأ الهجوم بالدخول ، إنه النقطة الأولى للهجوم. في كثير من الأحيان ، سيبدو هذا مثل موقع ويب تم اختراقه تم تسليمه للضحايا عبر هجوم تصيد احتيالي. أو نقطة نهاية API مخترقة ، أو عبر تسلل إلى الشبكة عبر حساب مسروق. يساعد اختبار الاختراق على اكتشاف نقاط الضعف هذه وتحديد ممارسات تكنولوجيا المعلومات غير الآمنة. ويجب أن يأخذ اختبارات الاختراق إرشادات OWASP بعين الاعتبار.

الاختراق

يحدث هذا عند وصول الفيروس إلى أحد الحواسب لتبدأ معه مرحلة الإصابة بالهجوم. لمنع ذلك ، يمكن لأدوات اكتشاف نقطة النهاية والاستجابة (EDR) اكتشاف النشاط الضار ومنع انتشاره.

EDR هو مجموعة من أدوات أمان نقطة النهاية الحديثة والمتكاملة التي تكشف عن تهديدات الأمن السيبراني و تقوم باحتواءها والقضاء عليها. تعد NGAV أيضًا جزءاً من استراتيجية استباقية لمنع البرامج الضارة من العمل على الحواسب المصابة. بالإضافة إلى المراجعة المستمرة لنقاط النهاية وبناء صورة كلية عن للتهديدات على مستوى المؤسسة بدل التركيز على التنبيهات فقط.

التسلل

قد يحدث دخول المهاجمين عبر الحوسبة السحابية أو من خلال أحد الموارد المحلية للمؤسسة. بعدها سيتحركون عبر الشبكة للوصول إلى أكبر قدر ممكن من الضحايا. قبل تفعيل برنامج الفدية . يمكن الحد من هذا الانتشار من خلال استخدام عناصر التحكم في نقطة النهاية. من هذه العناصر، جدران الحماية وتجزئة الشبكة والجمع بين ما سبق و نهج إدارة الثغرات الأمنية والتصحيحات القوية.

التحكم و السيطرة Command and Control

يستخدم إجراء التثبيت قنوات القيادة والتحكم (C2) لتنزيل أدوات هجوم إضافية وعلى رأسها برامج الفدية الضارة. يمكن اكتشاف هذا النشاط وحظره من خلال حلول (XDR).

توظف XDR الذكاء الاصطناعي والتعلم الآلي لاكتشاف سلاسل السلوك التي يحتمل أن تكون ضارة . والتي يمكن أن تؤدي إلى هجوم RansomOps في مراحله الأولى. في حالات معينة ، يكون سلوك المهاجمين فريداً . يجب أن يعرف المدافعون كيفية التمييز بين الاستخدام الحميد وإساءة استخدام الأدوات المشروعة للأنشطة الضارة.

التشفير

سيقوم المهاجمون بعد ذلك بتفعيل برنامج الفدية وتشفير الأصول الموجودة على الشبكة والاحتفاظ بها للفدية حتى تدفع الضحية. للمساعدة في ضمان الدفع ، قام منظمو هجمات RansomOps بتنفيذ خطط ابتزاز مزدوجة. الابتزاز المزدوج هو تكتيك تستخدمه بعض عصابات برامج الفدية. يبدأ هذا التكتيك عند سرقة معلومات حساسة من الهدف لأول مرة قبل بدء إجراءات التشفير. ثم يطالب المهاجمون بعد ذلك بمبالغ إضافية يدفعها الضحايا من أجل منع المهاجمين من نشر بياناتهم عبر الإنترنت.

منع برامج الفدية

أصاب WannaCry ما يقارب 7000 كمبيوتر في الساعة الأولى ، وأكثر من مائة مليون عنوان IP في أول يومين. نحن نعلم أن البرامج الضارة المعدية قد تم إيقافها في نهاية المطاف. ولكن مع اعتبارها واحدة من أكبر هجمات برامج الفدية في التاريخ ، إلا أنها كانت على مستوى هواة وكان من الممكن منعها. هناك طريقتان أساسيتان للتعامل مع فيروسات الفدية ؛ يمكنك الرد عليه أو منعه.

في إطار الاستعداد للدفاع ضد هجوم برامج الفدية ، تلجأ العديد من المؤسسات إلى النسخ الاحتياطية للبيانات من أجل الإصلاح بعد الهجوم. ولكن كما ناقشنا أعلاه ، فإن خيار النسخ الاحتياطي والبيانات يبدو خياراً ذكياً لكنه مع ذلك لا يحل مشكلة الابتزاز المزدوج.

تتضمن خطة منع برامج الفدية الفعالة إجراءات مثل:

اتباع أفضل الممارسات الأمنية: يتضمن ذلك إدارة التصحيح في الوقت المناسب. وكذلك التأكد من تحديث أنظمة التشغيل والبرامج الأخرى بانتظام. وتنفيذ برنامج توعية أمني للموظفين ، ونشر حلول الأمان الأفضل في فئتها على الشبكة.

تنفيذ قدرات الوقاية متعددة الطبقات: يجب أن تكون حلول الوقاية مثل NGAV معتمدة في جميع end point عبر الشبكة لإحباط هجمات برامج الفدية التي تستفيد من الثغرات المعروفة وكذلك البرامج الضارة المخصصة.

استخدام EDR و XDR: توفر هذه الحلول فرصة لاكتشاف النشاط الضار مثل هجوم RansomOps. وذلك عبر بناء الرؤية المطلوبة لإنهاء هجمات برامج الفدية قبل قيام المهاجمين بتشفير البيانات.

سرعة الوصول إلى المدافعين: يجب أن يكون المستجيبون متاحين في أي وقت من اليوم حيث يمكن أن تتأخر جهود الاستجابة خلال فترات عطلة نهاية الأسبوع / العطلات. يعد وجود استجابة فعالة عند الطلب للحوادث الأمنية خارج ساعات العمل أمراً بالغ الأهمية.

إجراء تمارين دورية على الطاولة: يجب أن تشمل هذه التدريبات متعددة الوظائف صانعي القرار الرئيسيين. من تكنولوجيا المعلومات والشؤون القانونية ، والموارد البشرية ، ، والإدارات الأخرى حتى الإدارة التنفيذية و ذلك لتأمين استجابة سلسة للحوادث.

ضمان ممارسات العزل Isolation: يمكن أن يؤدي ذلك إلى الحد من الدخول إلى الشبكة و منع انتشار برامج الفدية الضارة إلى الأجهزة أو الأنظمة الأخرى. يجب أن تكون فرق الاستجابة بارعة في عزل مضيف host ، وإغلاق حساب مخترق ، وحظر نطاق ضار ، وما إلى ذلك.

يوصى باختبار هذه الإجراءات باستخدام تدريبات مجدولة أو غير مجدولة مرة واحدة على الأقل كل ربع سنة لضمان أداء جميع الأفراد والإجراءات كما هو متوقع.

تقييم خيارات موفري خدمات الأمان : إذا كان لدى مؤسستك الأمنية نقص في الموظفين أو في المهارات ، فقم بوضع إجراءات استجابة متفق عليها مسبقًا مع مقدمي خدمات الأمان حتى يتمكنوا من اتخاذ إجراءات فورية باتباع خطة متفق عليها.

المهاجمون باستخدام برامج الفدية لا يأخذون عطلات

من المهم تأمين الحسابات المهمة لفترات عطلة نهاية الأسبوع والعطلات. يتمثل المسار المعتاد للمهاجمين في نشر برامج الفدية عبر الشبكة في تصعيد الامتيازات إلى مستوى مدير النظام admin domain-level ثم نشر برنامج الفدية.

يجب على مدراء النظام و مسؤولي الأمن إنشاء حسابات عالية الأمان وحسابات للطوارئ يتم استخدامها فقط عندما يتم تعطيل الحسابات التشغيلية الأخرى مؤقتًا كإجراء وقائي. أو حين تعذر الوصول إليها أثناء هجوم برنامج الفدية. أيضاً ، اتخذ احتياطات مماثلة للحد من الوصول إلى VPN خلال فترات عطلة نهاية الأسبوع والعطلات اعتماداً على احتياجات العمل.

في النهاية ، يجب أن يسمح النهج الدفاعي متعدد الطبقات بتحليل جميع البيانات في الوقت الفعلي (وليس فقط بيانات end point). وذلك لحمايتك من الابتزاز المزدوج ، ومنع الملفات التنفيذية الغريبة من العمل حتى تتمكن المؤسسة من الحصول على استراتيجية استباقية لمكافحة برامج الفدية قدر الإمكان.

هجوم برامج الفدية – الدفاع متعدد الطبقات

خمس مراحل لهجوم برامج الفدية

الدخول الأولي

الاختراق

التسلل

التحكم و السيطرة Command and Control

التشفير

منع برامج الفدية

تتضمن خطة منع برامج الفدية الفعالة إجراءات مثل:

المهاجمون باستخدام برامج الفدية لا يأخذون عطلات

اترك تعليقاً إلغاء الرد

الأكثر قراءة

عناصر أمن المعلومات-مثلث السرية والسلامة والتوافر

شهادة CISSP – ماذا تعرف عنها؟ وهل تناسبك؟

الفريق الأزرق – حماية الحصن من مجرمي الانترنت

الهاكر الأخلاقي المُعتَمد CEH – بطل من هذا الزمان “الرقمي”

اختبار اختراق الفريق الأحمر – هل أنت مستعد لهذه التجربة؟

هجمات الهندسة الاجتماعية – التلاعب بالبشر و استغلال المعلومات

مصطلحات الأمن السيبراني – الجزء الأول

إخفاء المعلومات الحساسة – رحلة إلى عالم سري

مقالات مشابهه

المصادقة متعددة العوامل في بيئة مايكروسوفت

أمن انترنت الأشياء IOT الاسباب والحلول

المصادقة متعددة العوامل MFA – ضعف في مواجهة مجرمي الانترنت

الألعاب عبر الانترنت – أهمية الأمن السيبراني في صناعة الألعاب