تعد برامج الفدية أحد أشكال البرمجيات الخبيثة المصممة لتشفير الملفات على جهاز ما، مما يجعلها والأنظمة التي تعتمد عليها غير صالحة للاستخدام. يشارك معكم روبودين في هذا المقال مجموعة من أفضل الممارسات من CISA لمساعدة المؤسسات على تحسين وضع الأمن السيبراني لديها ومكافحة تهديدات برامج الفدية بفعالية.
الابتزاز المزدوج
كانت الجهات الخبيثة وراء هذه البرامج تطلب فدية مقابل فك التشفير. وبمرور الوقت، طورت الجهات الخبيثة تكتيكات برامج الفدية الخاصة بها لتصبح أكثر تدميراً وتأثيراً، لقد سرقت بيانات الضحايا وبالتوازي مع ذلك ضغطت عليهم لدفع المال من خلال التهديد بنشر البيانات المسروقة. يُعرف تطبيق كلا التكتيكين سوية باسم “الابتزاز المزدوج”. في بعض الحالات، قد تسرق الجهات الخبيثة البيانات وتهدد بنشرها كنوع من الابتزاز دون استخدام برامج الفدية. كيف ينتشر برنامج الفدية؟ تتضمن العوامل الشائعة التي تنتشر بها برامج الفدية ما يلي:
- النقر على الروابط الضارة أو المرفقات الخبيثة في رسائل البريد الإلكتروني
- تسرب المعلومات الشخصية من خلال رسائل البريد الإلكتروني
- كلمات مرور ضعيفة
- اختراق وإساءة استخدام حسابات المستخدمين
- البرامج أو الأنظمة غير المصصحة
- التطبيقات الضارة من المتاجر الغير شرعية
- الوصول عن بعد من خلال التجهيزات غير الآمنة
منع هجمات برامج الفدية
أمن البريد الإلكتروني
- تنفيذ أنظمة حماية قوية للبريد الضار
- تدريب الموظفين على التعرف على محاولات التصيد والإبلاغ عنها
- استخدام بروتوكولات مصادقة البريد الإلكتروني
التحكم في الوصول
- فرض سياسات قوية لكلمات المرور
- تنفيذ مصادقة متعددة العوامل
- إدارة صلاحيات وصول المستخدم وفقاً لمبدأ الامتيازات الأقل (least privilege)
- حماية الوصول عن بُعد عبر تحديث شبكات VPN وأجهزة البنية الأساسية للشبكة والأجهزة المستخدمة للدخول عن بُعد إلى بيئات العمل باستخدام أحدث تصحيحات البرامج وتكوينات الأمان.
- تنفيذ المصادقة المتعددة (MFA) على جميع اتصالات VPN لزيادة الأمان. إذا لم يتم تنفيذ MFA، فيجب للعاملين عن بعد استخدام كلمات مرور تتكون من 15 محرفاً أو أكثر.
- تعطيل بروتوكول (SMB1) والترقية إلى الإصدار 3 (SMBv3)
إدارة الثغرات الأمنية
إجراء فحص منتظم للثغرات الأمنية لتحديد ومعالجة نقاط الضعف، وخاصة تلك الموجودة على الأجهزة التي تواجه الانترنت ، للحد من سطح الهجوم. وكذلك:
- تحديث كافة البرامج والأنظمة
- تطوير خطة مستدامة لإدارة الثغرات الأمنية
أمن الشبكة – برامج الفدية
- استخدام جدران الحماية وتقسيم الشبكة
- مراقبة الوصول غير المصرح به أو النشاط غير المعتاد
- تقييد وصول الـ IP حيثما أمكن ذلك
حماية نقاط النهاية
- تثبيت وإدارة برامج مكافحة الفيروسات والبرامج الضارة
- تطبيق حلول اكتشاف نقاط النهاية والاستجابة لها (EDR)
تدريب الموظفين
- إجراء تدريب منتظم للتوعية بالأمن السيبراني
- تنفيذ حملات محاكاة تصيد لاختبار جاهزية الموظفين
النسخ الاحتياطي والاسترداد
من المهم أن يتم الاحتفاظ بالنسخ الاحتياطية دون اتصال بالانترنت، حيث يحاول معظم مرتكبي برامج الفدية العثور على النسخ الاحتياطية التي يمكن الوصول إليها وحذفها أو تشفيرها لاحقاً لجعل استرداد البيانات مستحيلة ما لم يتم دفع الفدية. غالباً ما يبحث مرتكبو برامج الفدية عن بيانات الاعتماد المخزنة في البيئة المستهدفة ويجمعونها ويستخدمون تلك البيانات لمحاولة الوصول إلى النسخ الاحتياطية. كما يستخدمون الثغرات الأمنية المتاحة للجمهور لاستهداف حلول النسخ الاحتياطي التي لم يتم تصحيحها وتحديثها. وبالنالي:
- احتفظ بأجهزة النسخ الاحتياطي لإعادة بناء الأنظمة.
- ضع في اعتبارك استبدال الأجهزة القديمة التي لا يمكن استرداد المعلومات من خلالها بأجهزة حديثة
- الاحتفاظ بنسخ احتياطية دورية ومحمية لجميع البيانات المهمة
- تخزين النسخ الاحتياطية دون اتصال بالانترنت أو في مكان آمن معزول
- اختبار عملية الاستعادة بانتظام
التخطيط للحوادث
- وضع خطة شاملة للاستجابة للحوادث
- تحديد الموظفين الرئيسيين وأدوارهم في الاستجابة للهجوم
- إنشاء قنوات وبروتوكلات التواصل لأصحاب المصلحة الداخليين والخارجيين
الاستجابة لهجوم برامج الفدية
إذا كنت تشك في وجود هجوم برامج الفدية:
- أعزل الأنظمة المتضررة لمنع انتشار العدوى.
- إبلاغ الجهات الرقابية المعنية بالحادث.
- لا تتردد بتفعيل خطة الاستجابة للحوادث.
- استعد الأنظمة والبيانات من النسخ الاحتياطية الآمنة.
- مراجعة ما بعد الحادث لتحسين الاستعداد في المستقبل.
أفضل الممارسات الأساسية للنظافة السيبرانية
بالإضافة إلى التدابير المحددة الموضحة أعلاه، يجب على المؤسسات تنفيذ أفضل ممارسات النظافة السيبرانية الأساسية التالية:
- حماية الوصول عن بعد باستخدام جدار الحماية
- فرض كلمات مرور معقدة
- استخدام المصادقة متعددة العوامل
- تقييد الـ IP الغير آمنة قدر الإمكان
- الحفاظ على سجلات الأحداث
- تطبيق عملية تصحيح متسقة لجميع الأصول
- النسخ الاحتياطي للبيانات بشكل متسق واختبار عمليات الاستعادة
- تثبيت اكتشاف نقطة النهاية والاستجابة لها (EDR) وحماية الفيروسات
- إجراء تدريب سنوي على الأمن السيبراني للمستخدمين وحملات محاكاة التصيد الاحتيالي
- إجراء عمليات فحص شهرية للثغرات الأمنية
التهديدات السيبرانية للمصادقة الثنائية
استخدم مرتكبو التهديدات الإلكترونية طرقًا متعددة للوصول إلى بيانات اعتماد المصادقة الثنائية:
- التصيد الاحتيالي. هو شكل من أشكال الهندسة الاجتماعية حيث يستخدم مرتكبو التهديدات السيبرانية البريد الإلكتروني أو مواقع الويب الضارة لطلب المعلومات. على سبيل المثال، في إحدى تقنيات التصيد الاحتيالي المستخدمة على نطاق واسع، يرسل مرتكب التهديد رسالة بريد إلكتروني إلى الضحية ليقنعه بزيارة موقع ويب يتحكم فيه مرتكب التهديد والذي يحاكي بوابة تسجيل الدخول الشرعية للشركة. يقدم المستخدم اسم المستخدم وكلمة المرور بالإضافة إلى الرمز المكون من 6 أرقام من تطبيق المصادقة على الهاتف المحمول.
- إغراق التنبيهات (Push bombing) ويتم عبر إرسال مرتكبو التهديدات عدداً كبيراً من الإشعارات الفورية للمستخدم حتى يضغط على زر “قبول”، وبالتالي يمنح مرتكب التهديد حق الوصول إلى الشبكة.
- استغلال ثغرات بروتوكول SS7 في البنية التحتية للاتصالات للحصول على أكواد MFA المرسلة عبر رسالة نصية قصيرة (SMS) أو صوت إلى هاتف الضحية.
- تبديل بطاقة SIM بشكل احتيالي، عبر إقناع مرتكبو التهديدات السيبرانية شركات الاتصالات الخلوية بنقل السيطرة على رقم هاتف المستخدم إلى بطاقة SIM خاضعة لسيطرة مرتكب التهديد، مما يسمح لمرتكب التهديد بالسيطرة على هاتف المستخدم
الممارسات السيئة لمواجهة برامج الفدية
- وجود برامج غير مدعومة (أو منتهية الصلاحية) في المؤسسات يعتبر أمراً مرفوضاً لأنه يزيد بشكل كبير من المخاطر السيبرانية وخاصة الأصول المعلوماتية التي يمكن الوصول لها من الانترنت.
- استخدام كلمات مرور وبيانات اعتماد معروفة/لا يتم تغييرها و/أو بقيت على حالتها الافتراضية
- عدم تطبيق المصادقة متعددة العوامل وإنما استخدام المصادقة الأحادية فقط للوصول عن بعد أو للمستخدمين ذوي الصلاحيات المميزة (Admins).
كلمة أخيرة – مخاطر برامج الفدية
يمكن أن تكون عواقب هجوم برامج الفدية شديدة، ولا يوجد ما يضمن استعادة المستخدم لبياناته، حتى لو اختار دفع أموال الفدية. على المستوى الشخصي، يمكن أن تؤدي الإصابة إلى أضرار مالية أو الكشف عن معلومات حساسة. على مستوى المؤسسات، يمكن أن تتسبب برامج الفدية في تعطيل العمليات التجارية، والأضرار المالية وضرر السمعة مما يسبب خسارة العملاء الحاليين أو المحتملين.
بالإضافة إلى ذلك، لا يكون هدف برامج الفدية دائماً الحصول على المال ولكن من المحتمل أن تكون بمثابة تمويه لأغراض خبيثة أخرى. يمكن أن يكون هدف هذا التمويه هو الخداع لإخفاء هجوم تقليدي ضد الشبكة، أو تغطية آثار هجوم سابق، أو توفير غطاء أثناء سرقة البيانات من الشبكة، أو حتى الحد من إنتاجية النظام أو تدميرها بينما يكون فريق تكنولوجيا المعلومات مشغولاً بالتعامل مع حدث الإصابة ببرامج الفدية.
