انطلقت يوم الجمعة الماضي، هجمات إلكترونية تعرف بـ«Ransomware» أو «انتزاع الفدية»، مستهدفة أجهزة الحاسوب في العديد من الشركات والهيئات الحكومية في عشرات الدول، وتعمل هذه الهجمات على تشفير الملفات على الأجهزة المصابة، وإظهار رسالة تطالب بدفع فدية تقدر ب 300 دولار لتحريرها قبل انتهاء مهلة زمنية معينة.

وظهرت هذه الهجمات مستغلة التسريبات التي نشرت عن ثغرات في وكالة الأمن القومي NSA، واستطاعت أن تنقل عدواها إلى 75000 جهاز حاسوب على الأقل، قبل أن يبدأ انتشارها بالتقلص.

وبحسب تقرير نشر عبر موقع مجلة فوربس فقد استطاع باحث بريطاني يعرف نفسه باسم MalwareTech بضربة موفقة أن يحد من انتشار تلك الهجمات.

ويستعرض التقرير ما قام به الباحث لإيقاف تلك الهجمات، فبتتبعه للهجمات التي ضربت 48 من مستشفيات NHS، والتي كانت الأصعب، وجد الباحث البالغ من العمر 22 عامًا أن الموقع الذي كانت تحاول البرمجية الخبيثة الاتصال به لم يتمّ تسجيله، فقام بتسجيل ذلك الموقع واستطاع التحكم به مقابل 10 دولارات، ليبدأ بمراقبة اتصالات الأجهزة المصابة، ومن ثم تتبع انتشار الهجمات.

وبذلك استطاع الباحث أن يوقف عمل الهجمات بدون قصد، فأيًا كان من يقف وراء هجمات «رانسوم وير»، فقد صُممت لتشتمل على خاصية تستطيع اكتشاف أدوات الحماية التي تزيف اتصال الأجهزة المصابة بالإنترنت، عن طريق الرد بعنوان «آي بي» (IP address) واحد على أي اتصال يقوم به الجهاز، وتعرف هذه الخاصية بالـ«sandbox».

عندما قام MalwareTech، بتسجيل موقعه لتتبع شبكة الأجهزة المصابة، تطابق نفس عنوان الآي بي IP address الذي سجله مع الـ IP address الذي كانت الأجهزة المصابة بالبرمجية الخبيثة تحاول الاتصال به، فقام بالرد على جميع الأجهزة المصابة، سواءً كانت تعمل فيها خاصية الـ sandbox أم لا، وبهذا ظنت البرمجية الخبيثة أنها تحت عمل تلك الخاصية وقامت بتدمير نفسها، حيث أنها كانت قد بُرمجت لتقوم بتدمير نفسها إذا ما تلقت ردًا من ذلك العنوان (أي إذا ما تم تسجيله) كما أوضح الباحث عبر مدونته.

«سأعترف بأنني لم أكن على علمٍ بأن تسجيلي للموقع سيوقف هجمات البرمجية الخبيثة، إلا بعدما قمت بذلك، فقد كانت مصادفة في البدء» – MalwareTech في تغريدة له على «تويتر».

كما يشير التقرير إلى أن شركات الحماية بما فيها قسم تالوز في شركة سيسكو أكدت أن هجمات «وانا كراي» wannaCry قد توقفت عن الانتشار، ويعود الفضل في ذلك لعمل الباحث MalwareTech، كما أكدت تالوز على استخدام البرمجية الخبيثة للثغرات المسربة بواسطة عصابة من القراصنة تعرف بـ«شادو بروكرز» (shadow brokers)، والتي يُعتقد على نطاقٍ واسعٍ أنها تمتلك أدوات قرصنة تنتمي لـ«وكالة الأمن الوطني» (NSA). وقالت الشركة في منشور لها، إن فايروس وانا كراي، والذي يعرف أيضًا بوانا كريبت، ربما حاول الانتشار عبر منفذ تم تسريبه بواسطة شادو بروكرز يعرف بـ «DoublePusar»، وعند خُلُوّ الأجهزة المُستهدفة من ذلك المنفذ، يحاول الفايروس إساءة استخدام برتوكول SMB، وهو البروتوكول الخاص بمشاركة الملفات عبر الشبكة في أنظمة تشغيل مايكروسوفت، وهذا هو سبب النشاط الدودي الذي لُوحظ بشكل واسع عبر شبكة الإنترنت.

يظل منفذو الهجمات مجهولين حتى الآن، وبالنظر إلى محافظهم الرقمية، فقد جمعوا حوالي 10.4 عملة رقمية عبر 52 معاملة، ما قد يصل إلى 17500 دولار أو يزيد، وقد نُصح ضحايا الهجمات بعدم دفع الفدية المطلوبة من قبل المهاجمين، والتي تبلغ قيمتها 300 دولار هددوا بتدمير الأجهزة المصابة، إن لم يتم تسديدها قبل انتهاء المهلة المحددة.

أصلحوا أنظمة التشغيل.. فهجمات «وانا كراي» ستعود من جديد

قد تكون جهود MalwareTech متأخرة بعض الشيء بالنسبة للذين أصيبوا بالفعل كالعديد من مستشفيات NHS، فعليهم الاعتماد على خطط لمواجهة الطوارئ، والاستعانة بالنسخ الاحتياطية الموجودة لديهم.

وبينما أكد MalwareTech، أن نشاط الهجمات قد توقف بالفعل، فقد حذر في الوقت نفسه من أن المهاجمين سيقومون بإصلاح الخلل ليشنوا هجومهم من جديد.

«قد تكون هذه العينة من الهجمات قد توقفت، لكنني على ثقة تامة أنهم سيتعلمون من الخطأ ليحاولوا من جديد، يحتاج الناس أن يكونوا مستعدين» – MalwareTech.

يُنصح إذًا بإصلاح جميع الأجهزة التي تستخدم نظام التشغيل ويندوز عن طريق تنزيل التحديثات الأخيرة لمايكروسوفت، التي تمنع تسريب الهجمات، وقد قامت مايكروسوفت وشركات برامج مكافحة الفيروسات، بإضافة تحديث للكشف عن فايروس وانا كراي، لذا على المستخدمين أن يقوموا بتحديث أنظمتهم.

كما أصدرت مايكروسوفت، استشارة لمستخدمين معينين، أكدت فيها على إصدار إصلاح لأنظمة تشغيلهم التي لا تحظى بالدعم، كنظام التشغيل ويندوز «إكس بي»، ونصحت أصحاب الأعمال بتعطيل بروتوكول SMB حتى يتم التأكد من عدم القدرة على الوصول إليه مباشرة عبر الإنترنت كطريقة لمنع انتشار الهجمات المسببة لتلك الخسائر مجددًا.

هذا المقال مترجمٌ عن المصدر الموضَّح أعلاه؛ والعهدة في المعلومات والآراء الواردة فيه على المصدر لا على «ساسة بوست».

عرض التعليقات

(0 تعليق)

أضف تعليقًا

هذا البريد مسجل لدينا بالفعل. يرجى استخدام نموذج تسجيل الدخول أو إدخال واحدة أخرى.

اسم العضو أو كلمة السر غير صحيحة

Sorry that something went wrong, repeat again!