لم يكن WannaCry هجوماً معقداً أو مبتكراً لبرامج الفدية. لكن ما جعلها فريدة من نوعها هو انتشارها السريع. باستغلال EternalBlue . يمكن أن تنتقل البرامج الضارة بسرعة من جهاز إلى جهاز عبر خلل في بروتوكول Microsoft Windows Server Message Block (SMB). ونتيجة لذلك ، عندما ضربت “دودة الفدية” WannaCry الشبكات في عام 2017 ، انتشرت و هددت أنظمة بالغة الحساسية حول العالم. كيف يمكننا استخلاص الدروس مما حدث؟
أدى اكتشاف kill switch إلى إضعاف انتشار الهجوم و استطاعت التصحيحات الأمنية المطورة حديثاً احتواء ضعف SMB ، مهد WannaCry الطريق لتطوير جهود الدفاع الجماعي التي ركزت على مشاركة المعلومات للمساعدة في الحد من تأثير الهجوم.
يعرض معكم روبودين هذا المقال مراجعة Doug Bonderud لنقاط الضعف التي كشفها ذلك الهجوم في أطر الأمان ، و لفهم كيف غيّر مسار الأمن السيبراني؟ بعد خمس سنوات من ذلك الحدث، من المهم إلقاء نظرة أكثر عمقاً على WannaCry لاستخلاص بعض الدروس.
استخلاص الدروس – فيروس الفدية
كانت المكونات الأساسية لـ WannaCry بسيطة ومألوفة. باستخدام برامج ضارة قائمة بذاتها ، اخترق WannaCry الأجهزة الضحية : استخدم مفاتيح تشفير فانتج ملفات غير مقروءة إلا بمفاتيح تشفير و اعتمد على نسخة من The Onion Router (Tor) لتوفير اتصال آمن.
ومع ذلك ، فإن ما يميز WannaCry هو استخدامه لثغرة SMB لتكرار نفسه عبر العديد من الأجهزة المتصلة بالشبكة. أدى هذا الاستغلال – المعروف باسم EternalBlue – إلى تحويل WannaCry من هجوم مزعج إلى مشكلة كبيرة.
تم تطوير EternalBlue في البداية من قبل وكالة الأمن القومي (NSA) ، وقد سُرقت لاحقًا من قِبل مجموعة قراصنة تُعرف باسم Shadow Brokers ، والذين قاموا بدورهم بإصدارها غلناً في 8 نيسان 017. وبعد أكثر من شهر بقليل ، بدأ WannaCry يشق طريقه من خلال أنظمة الملفات الشخصية في جميع أنحاء العالم ، بما في ذلك خدمة الصحة الوطنية في بريطانيا (NHS).
دأت الأجهزة عبر NHS في عرض نفس الرسالة: “عفوًا ، تم تشفير ملفاتك!” أخيرًا ، أصاب WannaCry NHS وأغلق ثلث المستشفيات تمامًا. في حين أن طلبات الفدية جاءت بحوالي 300 دولار ، وهي منخفضة بشكل مثير للضحك مقارنة بجهود الاستغلال الحالية ، فإن نطاق الهجوم وحجمه جعل المتخصصين في مجال الأمن في جميع أنحاء العالم على أهبة الاستعداد.دأت الأجهزة عبر NHS في عرض نفس الرسالة: “عفوًا ، تم تشفير ملفاتك!” ، أصاب WannaCry ما يقارب 70000 جهاز NHS مما أغلق ثلث المستشفيات تماماً.
كعب أخيل – احتواء الهجوم
في عام 2017 ، كان متخصصو الأمن السيبراني يتوقعون هجوماً واسع النطاق. لم يكن لديهم التفاصيل. لكنهم كانوا يعلمون أن التطور السريع لشبكات المؤسسات توفر الأطر المثالية للمتسللين لاستغلال المؤسسات. لكن بينما كانوا يتوقعون رياحاً أمنية قوية، فقد فاجأهم إعصار سيبراني هو WannaCry.
لحسن الحظ ، اكتشف الباحث الأمني Marcus Hutchins “مفتاح القفل kill switch” في كود WannaCry. قبل تشفير أي بيانات ، حاولت البرامج الضارة الاتصال بعنوان URL محدد لم يكن موجوداً . إذا فشل WannaCry في الاتصال ، فسيواصل التشفير. إذا كان الاتصال ناجحاً، فسيتوقف . من الناحية النظرية ، وُجد عنوان URL ذي الترميز الثابت لمنع الباحثين الأمنيين من وضع البرامج الضارة في وضع الحماية ومشاهدتها وهي متصلة بعناوين URL الشائعة. في الممارسة العملية ، استخدم Hutchins هذه الوظيفة للحد من انتشار WannaCry عن طريق تسجيل عنوان URL المزيف وتنشيطه. ساعد مفتاح القفل هذا في وقف انتشار دودة الفدية. لكن عندما يتعلق الأمر بـ WannaCry ، فإن القصة لم تنته بعد.
استخلاص الدروس من WannaCry
بينما حدث الجزء الأكبر من الضرر الذي لحق بـ WannaCry في الأسابيع التي تلت هجوم أيار2017 ، لم يتحرك مجرمو الانترنت ببساطة. بدلاً من ذلك ، استغرقوا وقتهم في تطوير إصدارات جديدة بدون مكونات مفتاح إيقاف تلقائي يسهل العثور عليها ، ثم استفادوا من هذه الهجمات ضد الأنظمة التي لا تزال تحتوي على عيب SMB.
من كانون الثاني إلى آذار 2021 ، زادت هجمات WannaCry بنسبة 53٪. على الرغم من المخاطر المستمرة ، إلا أن العديد من خبراء الأمن يتفقون على أن العيوب في الهجوم نفسه أدت إلى سقوطه. يقولون أيضاً أن الشركات والوكالات الحكومية لم تفعل ما يكفي لمنع عودة ظهور هجمات مماثلة. بالنتائج، يمكننا استخلاص الدروس التالية من WannaCry :
جميعنا مستهدفون
كما هو مذكور أعلاه ، لم تكن البرامج الضارة WannaCry نفسها مبنية بطريقة مبتكرة. حتى عنوان URL الذي تم تصميمه لمنع فرق الأمان من البحث في التفاصيل تسبب في ضرر للمخترقين أكثر من نفعهم لأنهم على ما يبدو لم يفكروا في أن شخصاً ما قد يسجل ببساطة عنوان URL المزيف الخاص بهم ويؤدي إلى إحباط جهودهم.
ومع ذلك ، كان تأثير WannaCry في إدراك أن الشركات لم تكن جزراً معزولة عندما يتعلق الأمر بالتهديدات الأمنية. وفر التمدد السريع للشبكات السحابية المترامية الأطراف والأجهزة المتصلة المسار المثالي لتكرار دودة الفدية ، مما مهد الطريق بدوره لاستجابة دفاعية أكثر جماعية أعطت الأولوية لمشاركة أكثر شفافية للتهديدات.
صعوبة التغيير -استخلاص الدروس
ترك هجوم WannaCry أيضًا بصماته على الأمن السيبراني من خلال تسليط الضوء على أنه بغض النظر عن مدى اتساع الهجوم – أو مدى قابلية الكود الخاص به للتكيف مع مرور الوقت – من الصعب تنفيذ تغييرات كبرى ثقافة المؤسسات تجاه الأمن السيبراني.
لننظر لموضوع تطبيق التصحيح التلقائي. طورت Microsoft تصحيحاً لثغرة SMB الخاصة بها في أسرع وقت ممكن بعد أن بدأ WannaCry بالانتشار. ولكن بعد مرور خمس سنوات ، لا تزال هناك شركات لم تقم بتحديث برامجها لمنع هذه الثغرة الأمنية.
الأداء و ليس الشكل
أظهر تحليل WannaCry أنه كان سيئ البناء وغير مبتكر بشكل خاص. لقد كان سيئاً من الناحية البرمجية، ولكن كل ما تطلبه الأمر هو اختراق بعض أنظمة الشبكة لتحقيق نتائج مدمرة. كانت النتيجة اعترافاً واضحاً بأن الأمر لا يتعلق بحودة الكود المستخدم لكتابة البرامج الضارة و إنما بطريقة استخدامك لها.
بعبارة أخرى ، لا يهم ما هي ضوابط الأمان الموجودة إذا كان بإمكان المهاجمين تجاوز الأنظمة الرئيسية. حتى التعليمات البرمجية التي تم إنشاؤها بشكل سيئ يمكن أن تنتشر عبر الشبكات وبين الشركات ، مما يتسبب في فشل آلاف الأجهزة. ببساطة ، الأداء و ليس الشكل هي ما جعلت دودة الفدية مثيرة للقلق للغاية.
مازال التهديد مستمراً
غيرت WannaCry مسار الأمن السيبراني من خلال إظهار الضعف المتأصل في الأنظمة المترابطة. وعلى الرغم من أنها سلطت الضوء على الحاجة إلى تحسين الاتصال ومشاركة البيانات عبر الصناعات والعمليات ، إلا أن ردة الفعل العاطفية تلك لم تدم طويلاً لكنها بطريقة ما تركت بعض الشركات في ثقة مفرطة بشأن قدرتها على التعامل مع التهديدات الناشئة. في النهاية ، يظل WannaCry نشطاً، وهو تذكير بأنه حتى التهديدات الأمنية “القديمة” لا تموت أبداً- فهي ببساطة أقل انتشاراً.
shttps://securityintelligence.com/articles/how-wannacry-shapes-cybersecurity/