لم يكن العام 2021 استثناءاً. كان فقط استمراراً لقصة هجمات الـفدية Ransomware، هذه الهجمات لم تنتهي و لكن تصاعدت. إن هناك الكثير من الاحصائيات التي تدعم هذا الرأي، لكن لكل منا تجربته الخاصة التي تجعله يصدق أن الـ Ransomware ليس مزحة ، كما أنه لا يحتاج لاحصائيات لتوضيح خطورته.
نعلم أن الجهات التي تقف خلف هجمات الـفدية Ransomware يستغلون أي ثغرة كبيرة كانت أم صغيرة لإنجاح هجماتهم. و لكن هناك بعض الأساليب التي يبدو أن لها جاذبية خاصة لدى المهاجمين.
أساليب المهاجمين-Ransomware
من أهم هذه الأساليب، التسلل عبر بروتوكول الـ RDP الخاص بشركة مايكروسوفت. لقد زادت أهمية هذا البروتوكول مع التحولات التي طرأت على طرق العمل كجزء من التحول نحو العمل عن بعد اللاحق لجائحة كورونا. يسمح هذا البروتوكول ، لحاسبين بالاتصال عن بعد بسلاسة عبر الشبكة من خلال منفذ TCP و UDP ذو الرقم 3389. و إذا أردنا أن نبحث عن الأسلوب الأكثر تفضيلاً للمهاجمين بعد الـ RDP فسنجد أنه البريد الإلكتروني. يمثل فضول المستخدمين عاملاً خطيراً في هذا الاتجاه. هناك دائماً خطر مرتبط بأن يقوم مستلم رسالة البريد الإلكتروني بالضغط على رابط خبيث أو بفتح مرفق أو يفعل macro، فتحدث الكارثة. أو لنبتعد عن التهويل بهذا الخصوص و نسميها الأزمة، إنها كل هجمة فيروس فدية هي أزمة تحتاج لإدارة.
كما حدث في قصة حصان طروادة، فإن الحصان في قصتنا هو نقاط ضعف البرمجيات. حيث ستؤدي الثغرات المتضمنة في هذه البرمجيات لتوفير طريق آمن لفيروس الفدية إلى الشبكة الضحية.
عشوائية أم تخطيط الهجمات
للأمانة، هناك مساحة ضيقة للحظ في الأمن السيبراني. غالباً، كل شي مخطط مسبقاً و لا مكان للمفاجأت. لن تقوم بإغلاق الثغرات، فسيتم مهاجمتك. أما إذا أغلقتها، فسيتم مهاجمتك أيضاً، و لكن الهجوم سيفشل و سيسمى ما حدث “محاولة هجوم”. سترى هذه المحاولة في سجلات أحداث الشبكة و لن تتحول لكابوس لا تفارقك رؤيته.
غالباً، لا شيء شخصي، لست مستهدفاً بشخصك، لكن أحياناً قد تكون كذلك حقاً. غالباً، يقوم القراصنة بمسح الانترنت على مدار الساعة بحثاً عن أي ثغرات. قد يقوموا بمهاجمة هذه الثغرات، أو يتاجروا به في الـ dark web. هناك من يرغب بشراء معلومة جاهزة يستخدمها لبناء هجوم يأخذ منه فدية من الضحية.
إن خطأ في مصفوفة المسؤوليات أو إدارة التغييرات سمح ببقاء الـ RDP فعالاً و متاحاً للعامة بعد انتهاء الحاجة إليه، قد يحول مؤسسة مستقرة إلى ضحية لفيروس الفدية فيما لو تم استغلال هذا الخطأ.
مخطط الهجوم- Ransomware
لنعد لفكرة استغلال أوجه الضعف في البرمجيات، و لنقم بمراكمة هذه النقطة مع مجموعة مشابهة من نقاط الضعف لنحاكي هجوم Ransomware . يتلقى المستخدم رسالة الكترونية phishing و لكن لا يوجد بها فيروس. و إنما رابط يحول المستخدم لموقع يبدو بريئاً و لكنه في الحقيقة مصمم من قبل القراصنة لتقييم متصفح الإنترنت الخاص بالحاسب المضيف، ونظام التشغيل ، و/أو غيرها من البرمجيات من أجل نقاط الضعف. وإذا كشفت عن نقطة ضعف ، تنشط أداة أخرى لاستغلال هذه النقاط و بناء هجوم على هذا الحاسب و تطويره لاحقاً ليستهدف الشبكة إذا أتيح ذلك.
إن هذا النوع من الرسائل الإلكترونية يصعب التنبه إليه عبر الـ anti-spam .
أفكار للحماية من هجمات الـفدية
لا يمكننا منع الهجمات السيبرانية و لكن يمكن تقليل مخاطرها عبر بعض الخطوات البسيطة. يمكن مثلاً، إغلاق المنفذ RDP 3389 إن لم يكن هناك حاجة لاستخدامه ، على سبيل المثال. إذا كانت بعض أنظمة المؤسسة بحاجة إلى استمرار عمل بروتوكول الـ RDP ، فإنه يمكن وضع هذه الأنظمة وراء جدار الحماية مع استمرار مراقبة أي مؤشرات على استغلال هذا البروتوكول.
أما ما يتعلق بتحميل الأدوات من مواقع زائفة، فإنه يمكن معالجة هذا الخطر جزئياً بتطوير البنية التقنية و بتوعية المستخدمين لتعزيز حصانة المؤسسة تجاه هذه الهجمات.
لكن تبقى أفضل استراتيجية للمؤسسات هي الحيلولة دون نجاح هجوم الفدية في المقام الأول. ولتحقيق ذلك ، يتعين عليهم أن يستثمروا في التدريب و في بناء حل متعدد الطبقات لمنع هجوم الفدية في المراحل الأولى ، قبل خروج البيانات الحساسة و التعرض للابتزاز . درهم وقاية خير من دفع فدية أو تعطل العمل.
