تاريخ هجمات فيروسات الفدية: الماضي والحاضر والمستقبل

سوف نلقي نظرة على تاريخ هجمات فيروس الفدية وكيفية تطور تلك الفيروسات على مر السنين. شارك

تصدر هجوم برمجيات واناكراي الإلكترونية الخبيثة أو ما يسمى بفيروس الفدية العناوين الرئيسية في مايو 2017 في جميع أنحاء العالم وعرف العالم على مصطلح جديد “فايروسات الفدية”.

ظهر مصطلح فايروسات الفدية في عالم الفضاء الإلكتروني ودوائر التكنولوجيا منذ فترة طويلة جدًا. في الواقع، على مدى العقد الماضي، يمكن القول أن فيروسات الفدية أصبحت أكثر انتشارًا وتطورًا كما أصبحت أكثر تهديدًا لأمن الفضاء الإلكتروني. ووفقًا لأرقام الحكومة الأمريكية، فإن هجمات فيروسات الفدية منذ عام 2005 قد فاقت عدد انتهاكات البيانات عبر الإنترنت.

ولعل حقيقة أن هجمات فيروسات الفدية الإلكترونية (رانسوم وير) لم تكن عادة في نطاق يساعد على إبقائها تحت رادار الوعي العام.   غيرت هجوم برمجيات واناكراي الإلكترونية الخبيثة كل ذلك. وقد أثرت على أكثر من 300،000 جهاز كمبيوتر في جميع أنحاء العالم، وتصدرت تلك الهجمات العناوين الرئيسية عقب اسقاطها للكثير من المؤسسات والشركات الرئيسية، بما في ذلك خدمة الصحة الوطنية في المملكة المتحدة.

إذا أصبحت هجمات واناكراي ( فيروس الفدية) كنوع من الهجمات الإلكترونية واسعة النطاق قادرة على جعل العالم في حالة ترقب وانتظار. فإن الدلائل تشير إلى أنه يمكن أن يغير شكل الأمور في المستقبل. بينما أصبحت الديدان المستخدمة لنشر فيروس الفدية أكثر تعقيدًا من أي وقت مضى والأساليب المستخدمة لتوزيعها أكثر كفاءة، كما لوحظ زيادة احتمال وقوع هجمات بشكل أكبر.

في هذه المقالة، سوف نلقي نظرة على تاريخ رانسوم وير ( فيروس الفدية) وتتبع تطورها حتى خروجها من دائرة الظل كواحدة من أخطر تهديدات الأمن الإلكتروني في القرن الحادي والعشرين. سنقوم بتتبع الحوادث الرئيسية، والأساليب المختلفة المستخدمة، والابتكارات الرئيسية التي أدت إلى الموجة الأخيرة من الهجمات العالمية، قبل أن نلقي نظرة على ما يمكن أن نتوقع في المستقبل.

ما هو رانسوم وير ( فيروس الفدية)؟

لنتعرف أولًا على بعض التعريفات الخاصة بفيروس الفدية؛ فايروس الفدية يقع ضمن فئة البرمجيات الخبيثة المصممة خصيصًا لتحقيق مكاسب مالية، ولكن على عكس الفيروسات المستخدمة في هجمات القرصنة، لا يتم تصميم فيروس الفدية للوصول إلى جهاز كمبيوتر أو نظام تكنولوجيا المعلومات من أجل سرقة البيانات منه. كما أنها لا تسعى إلى الحصول على الأموال من الضحايا. كما رأينا مع مختلف برامج مكافحة الفيروسات وفيروسات الاحتيال.

الأمر المؤسف بالنسبة للضحايا هوأن تأثيرات فيروسات الفدية جادة وخطيرة.

تعمل فيروسات الفدية عن طريق تعطيل تشغيل نظام الكمبيوتر، مما يجعله غير صالح للاستخدام، ثم يرسل الجناة رسالة فدية للمالكين يطالبون بالمال ليقوموا بإلغاء ما فعلوه.

وتشمل أمثلة تأثيرات فيروسات الفدية فئتين: بعض من فيروسات الفدية تعمل على منع المستخدم من الوصول إلى جهازه عن طريق تجميد وحدة المعالجة المركزية، والاستيلاء على نظام التحقق من المستخدم، أو أي طريقة مماثلة.  بينما تقوم الأنواع الأخرى من فيروسات الفدية والتي يشار إليها عادة بفيروسات الفدية المشفرة، بتشفير وحدات التخزين ومحتوياتها، مما يجعل من المستحيل فتح المجلدات والملفات أو تشغيل البرامج.

في معظم الحالات، بمجرد ولوج أي من فيروسات الفدية لأي نظام، فإنه يعمل على إرسال رسالة فدية. وتظهر شاشة على جهاز الكمبيوتر على شاشة النظام المغلق، وفي حالة هجوم فيروس الفدية المشفر يكون ذلك من خلال البريد الإلكتروني أو على هيئة رسائل فورية ترسل إلى جهاز الضحية.

ما قبل تاريخ ظهور فيروسات الفدية

فيروسات طروادة (إيدز تروجان)

إن أول حادثة اختراق باستخدام فيروسات الفدية تم الاعتراف بها على نطاق واسع سبقت ظهور التهديد على الانترنت والذي تعرفنا عليه قبل ما يقرب من عقدين من الزمن. وفي عام 1989، حضر أكاديمي من جامعة هارفارد يدعى جوزيف بوب مؤتمًرًا لمنظمة الصحة العالمية بشأن مرض الإيدز. وخلال الاستعداد  للمؤتمر، قام بإعداد 20،000 قرص لإرسالها إلى المندوبين بعنوان “معلومات حول الإيدز- أقراص تعريفية”.

ما لم يدركه المندوبون هو أن الأقراص المرنة كانت تحتوي في الواقع على فيروس كمبيوتر، بعد تشغيل محتويات القرص الأخرى، ظلت مخفية على كمبيوتر الضحية لبعض الوقت. وبعد إعادة تشغيل الكمبيوتر 90 مرة بدأ عمل الفيروس حيث قام بتشفير كافة الملفات وإخفاء الدلائل. تم عرض رسالة وإعلام المستخدم بأن نظامهم سيعاد إلى وضعه الطبيعي بعد إرسال 189 دولار أمريكي إلى صندوق بريد في بنما.

كان الدكتور بوب من المميزين في ذلك الوقت واستغرق الأمر 16 عاما أخرى قبل استطاعة أي شخص الاجتهاد لتنفيذ فكرة فيروسات الفدية الخاصة بدكتور بوب واستخدامها في عز ازدهار عصر الانترنت، تم القبض على بوب نفسه لكنه لم يتم محاكمته بسبب سوء حالته النفسية.

2005: سنة الصفر ( سنة البداية)

بحلول الوقت الذي ظهرت فيه الأمثلة التالية من فيروسات الفدية، ظل الدكتور جوزيف بوب منسيًا طوال هذه الفترة وتحول عالم الحوسبة من خلال عالم الإنترنت. وقد جعلت شبكة الإنترنت على الرغم من جميع مزاياها توزيع جميع أنواع البرمجيات الخبيثة أسهل بكثير لمجرمي الإنترنت، كما سمحت السنوات المتدخلة للمبرمجين بتطوير أساليب تشفير أقوى بكثير من تلك التي استخدمها الدكتور بوب.

فيروس Gpcoder

واحد من الأمثلة الأولى الخاصة بهجمات فيروسات الفدية كان فيروس حصان طروادة جي بي كودر حيث تم التعرف عليه أول مرة في عام 2005، حيث أصاب الفيروس أنظمة الويندوز وملفات بامتدادات مختلفة. وبمجرد اكتشافه تم نسخ الملفات في شكل مشفر  والأصول المحذوفة من النظام. كانت الملفات المشفرة الجديدة غير قابلة للقراءة، كما أن استخدام نظام تشفير RSA-1024 تأكد من أن محاولات فتح الملفات من المستبعد للغاية أن تنجح. تم عرض رسالة على الشاشة الرئيسية للمستخدمين، وتوجيههم إلى ملف بصيغة .txt الذي تم نشره على سطح مكتبهم، والذي يحتوي على تفاصيل حول كيفية دفع الفدية وفتح الملفات المصابة بعد تشفيرها.

فيروس Archievus

في نفس العام حيث تم تحديد فيروس حصان طروادة Gpcoder، تم تحديد أنواع أخرى من فيروسات حصان طروادة والتي تستخدم نظام تشفير 1024-bit RSA. فبدلًا من استهداف بعض الملفات القابلة للتنفيذ و ملحقات الملفات، تم تشفير  كافة المحفوظات ومجلد المستندات الخاص بالضحية. وهذا يعني أن الضحية لا يزال بإمكانه استخدام جهاز الكمبيوتر وأي ملفات أخرى مخزنة في مجلدات أخرى. ولكن نظرا لأن معظم الناس يخزنون الكثير من ملفاتهم الأكثر أهمية، بما في ذلك وثائق العمل، في مجلد المستندات بشكل افتراضي، فإن التأثير لا يزال يضعف.

لتطهير تلك الملفات، تم توجيه الضحايا إلى موقع على شبكة الإنترنت حيث يتم شراء كلمة مرور مكونة من 30 رقما ولن يكون هناك أي فرصة للتخمين.

2009 – 2012: عملية الاستقطاب

استغرق الأمر بعض الوقت لهذه الأشكال المبكرة من فيروسات الفدية الموجودة على الانترنت للحصول على مكاسب في عالم الجريمة السيبرانية أو جرائم الفضاء الإلكتروني، وكانت نتائج هجمات فيروسات حصان طروادة مثل GPCoder و فيروسات Archievus منخفضة نسبيا، وذلك أساسا لأنه تم الكشف عنها بسهولة وإزالتها من قبل البرامج المضادة للفيروسات، وهذا يعني أن العمر الافتراضي لكسب المال كان قصيرًا. بشكل عام تتمسك عصابات الانترنت في الوقت الحالي وتتجه إلى عمليات القرصنة وخداع الناس من خلال برامج مكافحة الفيروسات الوهمية.

بدأت علامات التغيير الأولى في الظهور في عام 2009. حيث ظهر في هذا العام فيروس معروف عبارة عن ” برنامج التخويف” ويسمى تكتيكات فوندو المتحولة وبدأت تعمل بنفس طريقة عمل فيروسات الفدية المذكورة سلفا، في أسابق أصابت فيروسات فوندو أنظمة الكمبيوتر وبدأت الأجهزة في إظهار برامج التنبيه الأمني الخاص بها وتوجيه المستخدمين إلى إصلاح وهمي للكمبيوتر. ومع ذلك، في عام 2009، لاحظ المحللون أن فيروسات فوندو بدأت في تشفير الملفات على أجهزة الكمبيوتر الخاصة بالضحايا، ثم يتم بيع برامج مضادة لتلك الفيروسات لفتح الملفات المشفرة.

وكان هذا أول مؤشر على أن القراصنة بدأوا يشعرون بأن هناك أموال يجب أن تكون ناتجة عن فيروسات الفدية. وبفضل انتشار منصات الدفع المجهولة عبر الإنترنت، أصبح من الأسهل أيضا الحصول على فدية على نطاق واسع. بالإضافة إلى ذلك، بطبيعة الحال، فإن تطور فيروسات الفدية نفسها آخذ في الازدياد.

بحلول عام 2011، ظهر وابل من تلك الهجمات. في الربع الأول من ذلك العام، تم الكشف عن 60،000 هجمات من فيروسات الفدية. وبحلول الربع الأول من عام 2012، ارتفع هذا العدد إلى 000 200 شخص. وبحلول نهاية عام 2012، يقدر باحثو شركة سيمانتك أن السوق السوداء الخاصة بفيروسات الفدية حققت أكثر من 5 ملايين دولار أمريكي.

فيروس حصان طروادة WinLock

في عام 2011، ظهر شكل جديد من فيروسات الفدية، ويعتبر فيروس حصان طروادة WinLock أول مثال ظهر على نطاق واسع لما أصبح يعرف باسم فيروس الفدية ” المغلق” فبدلا من تشفير الملفات على جهاز الضحية، ولكن يقوم الفيروس ببساطة بإحداث توقف تام لجهاز الضحية يجعل من المستحيل تسجيل الدخول إلى الجهاز. بدأ فيروس حصان طروادة WinLock

يصبح اتجاه من اتجاهات فيروسات الفدية حيث يثوم بتقليد منتجات حقيقية متبعا نفس طريقة فيروس التخويف القديم. بمجرد إصابة أنظمة الويندوز الخاصة بالكمبيوتر، يتم نسخ نظام تنشيط منتج الويندوز، مما يضطر المستخدمين لشراء مفتاح تنشيط نسخة الويندوز. مع إضافة بعض الأفعال الوقحة للهجوم نجد أن الرسائل المعروضة على شاشة التنشيط وهمية وبعد الدفع يتم اخبار الضحابا بعد إعادة تنشيط حسابهم أن ذلك كان احتيالا ونصب ، قبل توجيههم لدعوة عدد دولي لحل هذه القضية. ويظهر رقم هاتف مجاني، ولكنه في الواقع ليس كذلك ولكنه بسحب أموال كثيرة من الضحايا تذهب إلى جيوب المجرمين أصحاب تلك البرمجيات الخبيثة.

فيروسات الفدية Reveton وبوليس

وكان الاختلاف في موضوع تقليد منتجات البرمجيات لخداع الضحايا في دفع الاشتراكات وهمية ظهور ما يسمى بفيروسات الفدية باسم ” الشرطة”. وفي هذه الهجمات، تستهدف البرامج الضارة النظم المصابة برسائل تدعي أنها من وكالات إنفاذ القانون وسلطات الدولة، مشيرة إلى أن الأدلة قد تبين أن الجهاز قد استخدم لأنشطة غير مشروعة. سيتم قفل الجهاز على أنه “مصادرة” حتى يتم دفع نوع من الرشوة أو الغرامة. وكثيرا ما توزع هذه الأمثلة عن طريق المواقع الإباحية، وخدمات تبادل الملفات، وأي منصة إلكترونية أخرى يمكن استخدامها لأغراض غير مشروعة. ولا شك في أن الفكرة كانت تخويف الضحايا وتهديدهم لدفع تلك الرشاوي قبل أن تتاح لهم فرصة التفكير بعقلانية فيما إذا كان التهديد بالمحاكمة حقيقيا أم لا.

لجعل الهجمات تبدو أكثر أصالة وتهديدا، غالبا ما يتم تخصيص فيروسات الفدية المسماه بالشرطة وفقا لموقع الضحية، حيث يتم عرض عنوان عنوان بروتوكول الإنترنت، أو في بعض الحالات يتم فتح كاميرا المتصفح الخاصة بهم، لتهديدهم بأنه يتم تصويرهم ومشاهدة الضحايا.

ومن أشهر أمثلة فيروسات الفدية المسماه بالشرطة فيروس يسمى Reveton، انتشر في البداية من خلال أوروبا، وأصبحت سلالات ريفيتون على نطاق واسع بما فيه الكفاية لبدء الظهور في الولايات المتحدة، حيث قيل للضحايا انهم تحت المراقبة من قبل مكتب التحقيقات الفدرالي وأمرت لدفع غرامة تقدر 200 دولار أمريكي حتى لا يتم إغلاق أجهزتهم. تم الدفع عن طريق الخدمات الرمزية الإلكترونية المدفوعة مسبقا مثل مونيباك و أوكاش. تم اتباع هذا التكنيك أو تلك الطريقة من قبل بعض فيروسات الفدية الأخرى مثل أوروسي وكوفتر.

2013 – 2015: الرجوع إلى التشفير

في النصف الثاني من عام 2013، ظهرت صيغة جديدة من فيروسات تشفير الملفات التي رسمت خطا جديدا في صراع الأمن السيبراني. أدت فيروسات كريبتولوكر ” غالق عمليات التشفير” إلى تغيير اللعبة للحصول على فيروسات الفدية من خلال العديد من الطرق. على سبيل المثال، فإنه لم يكلف نفسه عناء مع تكتيكات الاحتيال والخداع الخاصة بفيروسات الفدية المسماه فيروسات التخويف أو فيروسات الشرطة. وكان مبرمجي التشفير مباشرين جدا حول ما كانوا يفعلون حيث قاموا بإرسال رسائل حادة إلى الضحايا مباشرة بأنه قد تم تشفير جميع ملفاتهم وسيتم حذفها إذا لم يتم دفع فدية في غضون ثلاثة أيام.

ثانيا، أثبت فيروس تشفير الملفات أن صلاحيات مجرمي الإنترنت المتخصصين في تشفير الملفات كانت أقوى بكثير من تلك المتاحة عندما ظهرت أول فيروسات تشفير الملفات قبل عقد من الزمن. باستخدام خوادم C2 على شبكة تور الخفية ” الشبكة المجهولية” يعتمد الجيل الثاني من نظام التسيير أونيون، تمكن مبرمجو فيروسات تشفير الملفات على توليد خوارزمية التشفير 2048-bit RSA  وهي مفاتيح تشفير عامة وخاصة تصيب الملفات مع امتدادات أخرى محددة. وكان هذا بمثابة ربط مزدوج – أي شخص يبحث عن المفتاح العمومي كقاعدة للعمل على كيفية فك تشفير الملفات سوف يكافح لأنها كانت مخبأة على شبكة تور، في حين أن المفتاح الخاص الذي عقده المبرمجين قوي للغاية في حد ذاته.

ثالثا، أدت فيروسات تشفير الملفات إلى كسر أرضية جديدة في فهم كيفية توزيع تلك الفيروسات، وكان ذلك في البداية من خلال نشر عدوى الفيروس من خلال فيروس Gameover Zeus وهي شبكة من أجهزة الكمبيوتر المصابة بتلك الفيروسات والتي تستخدم خصيصا لنشر البرمجيات الخبيثة من خلال شبكة الإنترنت. لذلك تم اعتبار فيروسات تشفير الملفات كأول مثال على فيروسات الفدية التي يتم نشرها عبر المواقع المصابة. ومع ذلك تم نشر فيروسات الفدية من خلال عمليات التصيد الاحتيالي والملفات المزيفة ، وتحديدا مرفقات البريد الإلكتروني المرسلة إلى الشركات التي تم إجراؤها لتبدو وكأنها خدمة شكوى العملاء. كل هذه الميزات أصبحت السمات المهيمنة لهجمات فيروسات الفدية منذ أن تأثر بنجاح فيروسات تشفير الملفات. وذلك عن طريق شحن 300 دولار أمريكي لفك تشفير نظم الكمبيوتر المصابة، ويعتقد أن مطوري تلك البرامج جنوا ما يقرب من 3 ملايين دولار أمريكي.

أونيون وعملة bitcoin

تم الحد من أعمال فيروسات تشفير الملفات إلى حد كبير في عام 2014 عندما تم مقاومة فيروس Gameover Zeus ولكن بحلول ذلك الوقت كان هناك الكثير من المقلدين على استعداد لاتخاذ عصا القيادة في عالم القرصنة وتشفير الملفات. وكانت فيروسات تشفير الملفات هي الأكثر أهمية في ذلك الوقت حيث كانت مسئولة عن توليد خوارزمية التشفير RSA  وانتاج المفاتيح الخاصة والعامة على الشبكة المجهولة تور وتوزيعها عن طريق الاحتيال والرسائل المزيفة.

إن نظام إعادة التوجيه أونيون والمعروف باسم تور لعب دورا أكبر في تطوير وتوزيع فيروس تشفير الملفات، وسمى بهذا الإسم نظرا لطريقة المرور من خلال الانترنت من خلال شبكة عالمية معقدة من الخوادم وقيل أنه مرتب مثل طبقات البصل وهو نظام يمكن مستخدميه من الاتصال بدون الكشف عن الهوية على شبكة الإنترنت. كما أنه  عبارة عن شبكة من الأنفاق الافتراضية التي تتيح للناس والجماعات زيادة مستوى الخصوصية والأمن على شبكة الإنترنت. يوفر تور الأساس لمجموعة من التطبيقات التي تسمح للمنظمات والأفراد تبادل المعلومات من خلال شبكات عامة بخصوصية. لسوء الحظ اجتذبت شبكة تور مجرمي الانترنت حيث كانوا حريصين على إبقاء أنشطتهم مخبأة بعيدا عن أعين إنفاذ القانون، وبالتالي فإن دور شركة تور ظهر في تاريخ عمليات القراصنة الخاصة بفيروسات تشفير الملفات.

أكدت فيروسات تشفير الملفات الدور المتنامي للعملة الافتراضية Bitcoin في هجمات فيروسات الفدية. وبحلول عام 2014، كانت عملة التشفير هي طريقة الدفع المفضلة. كانت الاعتمادات الإلكترونية المدفوعة مسبقا مجهولة ولكن من الصعب أن يصرف من دون غسيل، في حين يمكن أن تستخدم العملة الافتراضية Bitcoin على الانترنت مثل عملة عادية للتجارة والتعامل مباشرة. وبحلول عام 2015، استطاعت فيروسات تشفير الملفات CryptoWall من جني 325 مليون دولار أمريكي.

هجمات نظام ” الأندرويد”

تعد تلك الهجمات خطوة رئيسية أخرى في قصة تطوير اصدارات فيروسات الفدية التي تستهدف الأجهزة النقالة. وكانت تستهدف حصرا على أجهزة الأندرويد في البداية، والاستفادة من رمز المصدر المفتوح لنظام التشغيل ” الأندرويد”.

وظهرت الأمثلة الأولى في عام 2014 ونسخت صيغة الشرطة. سيبينغ، التي تصيب الأجهزة عن طريق رسائل تحديث برنامج أدوبي فلاش المزيفة، حيث يتم إغلاق الشاشة باللون الأسود وظهور رسالة مضيئة وهمية من مكتب التحقيقات الفدرالي تطالب بدفع 200 دولار أمريكي، وكان هناك فيروس مماثل يسمى كولر Koler وكان ملحوظا جدا كونه واحد من أمثلة فيروسات الفدية وهو عبارة عن أحد البرمجيات الخبيثة التي تخلق مسارات التوزيع الخاصة بها. حيث يقوم الفيروس بإرسال رسائل تلقائيا إلى الجميع المسجلين في قائمة جهات الاتصال الخاصة بجهاز الضحية مع وصلات التحميل لتلك الفيروسات.

على  الرغم من اسم الفيروس ” فيروس تشفير الملفات البسيط” فهو يعد نوع حديث من فيروسات تشفير الملفات للهواتف النقالة، والذي يأخذ شكل قفل عند إحداث هجماته على أجهزة الهواتف النقالة. وكان أحدث إصدارات وتحديثات تلك الفيروسات ظهور أدوات مساعدة تسمى افعلها بنفسك DIY التي من شأنها أن تمكن مجرمي الإنترنت نت بيع وتسجيل برامجهم الخبيثة  على الأنترنت. واحد من الأمثلة الحديثة على تلك التحديثات هو أدوات تحديث فيروس حصان طروادة بليتور Pletor Trojan والذي تم بيعه مقابل 5000 دولار أمريكي على الانترنت.

2016: تطور التهديد

يعد عام 2016 السنة الرئيسية لانطلاق فيروسات الفدية، حيث تم إضافة وسائل جديدة من التسليم، ومنصات جديدة، وأنواع جديدة من البرامج الضارة التي تمهد الطريق للهجمات العالمية الضخمة.

تطور فيروسات تشفير الملفات CryptoWall

على عكس العديد من الأمثلة من فيروسات الفدية التي ظهرت ظهورا تاما، ثم تم تحييدها بعد ذلك، فإن فيروس تشفير الملفات لم ينتهي بل تطور من خلال أربعة إصدارات متميزة، حيث كانت فيروسات تشفير الملفات رائدة لتقنيات تشفير الملفات وتقنيات فيروسات الفدية الأخرى مثل استخدام إدخالات مفتاح التسجيل المتماثل حتى يتم تحميل البرامج الخبيثة الضارة عن طريق الغلط وذلك مع كل إعادة تشغيل. وكانت تلك التقنية من التقنيات الذكية حيث أن البرامج الضارة لا تنفذ دائما على الفور، ويجب الانتظار حتى يمكن الاتصال بالخادم البعيد الذي يحتوي على مفتاح التشفيرولكن التحميل التلقائي عند إعادة التشغيل يعظم فرص حدوث هذا.

فيروس برنامج الفدية Locky

مع التوزيع العدواني القائم على التصيد، أظهر فيروس برنامج الفدية Locky تقدم على فيروس واناكري WannaCry نظرا لسرعة توزيعه الهائلة وإمكانية إصابته إلى ما يصل إلى 100.000 أنظمة أجهزة كمبيوتر يوميا، ذلك نظرا لاستخدام نظام حقوق الامتياز لأول مرة من قبل مجموعات أدوات نظام تشغيل الأندرويد لتحفيز المزيد والمزيد من المجرمين للانضمام في توزيعها. كما أنها تنبأت بهجوم واناكري من خلال استهداف مقدمي الرعاية الصحية، حيث استقر منشئوها على حقيقة أن الخدمات العامة الأساسية كانت تسرع في دفع فدية من أجل إعادة تشغيل نظمها وتشغيلها مرة أخرى.

منصة متعددة

شهد عام 2016 أيضا وصول البرنامج النصي الأول لفيروسات الفدية حيث أثرت على أنظمة تشغيل الكمبيوتر ماك حيث أظهرت أحد أخطر البرامج وأكثرها خبثاً. هجمات KeRanger المكتشفة حيث تمكنت من تشفير ملفات النسخ الإحتياطي للوقت بالإضافة إلى ملفات نظام التشغيل ماكوالتغلب على القدرة المعتادة على أجهزة ماكينتوش للرجوع إلى الإصدارات السابقة كلما حدثت مشكلة. حيث تُجبر أصحابها على الدفع من أجل التمكن من إستخدامها مجدداً.

بعد فترة وجيزة من ظهور هجمات KeRanger، ظهرت أول برامج حبيثة من فيروسات الفدية، قادرة على إصابة أنظمة تشغيل متعددة. حيث تم برمجتها للعمل على برامج جافا سكريبت و Ransom32 حيث كانت قادرة من الناحية النظرية أن تؤثر على أنظمة تشغيل الأجهزة ويندوز، ماك، أو لينكس.

نقاط الضعف الخاصة بالتهديدات المعروفة

ما يسمى “مجموعات الاستغلال” هي بروتوكولات تسليم البرمجيات الخبيثة التي تستهدف نقاط الضعف المعروفة في أنظمة البرمجيات الشعبية لزرع الفيروسات. هناك مجموعة تسمى بمجموعات الصيد وتعد مثالا على أحد هجمات فيروسات الفدية المعروفة في وقت مبكر من عام 2015. صعدت الأمور في عام 2016، مع عدد من هجمات فيروسات الفدية رفيعة المستوى حيث استهدفت نقاط الضعف المتعددة في برامج أدوبي فلاش ومايكروسوفت سيلفرليت وكانت أحد تلك الفيروسات هي فيروسات تشفير الملفات الإصدار الرابع CryptoWall 4.0.

فيروس دودة تشفير الملفات

بعد ابتكار وتطوير فيروس كولر، أصبحت فيروسات دودة تشفير الملفات جزءا من تيار فيروسات الفدية في عام 2016، ومن الأمثلة على ذلك دودة زكريبتور والتي ذكرت لأول مرة من قبل مايكروسوفت. انتشارها في البداية من خلال هجمات التصيد الاحتيالي، كان فيروس زكريبتور قادر على الانتشار تلقائيا من خلال الأجهزة المتصلة بالشبكة عن طريق التكرار والتنفيذ الذاتي.

2017: مرحلة تحول  فيروسات الفدية

ونظرا للتقدم السريع في تعقيد وحجم هجمات فيروسات الفدية عام 2016، يعتقد العديد من محللي الأمن السيبراني أنه لم يتبقى سوى القليل وأن الأمر برمته ما هو إلا مسألة وقت قبل وقوع حادث عالمي حقا على نطاق واسع مع أكبر هجمات القرصنة وانتهاكات البيانات. أكد فيروس الفدية واناكري تلك المخاوف، حيث تصدر عناوين الصحف في جميع أنحاء العالم، ولكنه هذا الفيروس هو أبعد ما يكون عن فيروسات الفدية التي تهدد مستخدمي أجهزة الكمبيوتر هذا العام.

فيروس واناكري

في 12 مايو 2017، ظهرت فيروس دودة الفدية التي من شأنها أن تصبح معروفة في جميع أنحاء العالم، بدأ فيروس واناكري بإسقاط أول صحاياه في إسبانيا، وفي غضون ساعات، انتشر الفيروس إلى مئات من أجهزة الكمبيوتر في عشرات البلدان وبعد أيام، كان هذا المجموع قد امتد إلى أكثر من ربع مليون، مما يجعل واناكري أكبر هجوم خبيث لفيروسات الفدية في التاريخ و أصبح وباءً يهدد العالم كله حيث جعل العالم بأجمعه في حالة تأهب وترقب لهذا التهديد الخطير.

وانكري WannaCry  إختصار لوناكريبت WannaCrypt ” فيروس تشفير الملفات” مما يؤكد حقيقة أن فيروس واناكراي هو فيروس مسئول عن تشفير الملفات وبشكل أكثر تحديدا هو فيروس من أحد فيروسات الفدية القادرة على تكرار نفسها وانتشارها تلقائيا.

ما جعل واناكري فعالة جدا، وصادمة جدا لعامة الناس، هو إمكانية انتشاره، بوجه عام، يهاجم فيروس “WannaCry” على مرحلتين: المرحلة الأولى يطلق عليها استغلال الثغرات ويهدف فيها إلى التسلل والانتشار، والمرحلة الثانية يطلق عليها التشفير ويحدث ذلك عن طريق برنامج تشفير يتم تنزيله إلى الكمبيوتر بعد إصابته بالفيروس. وهذا هو الفرق الرئيسي بين فيروس “WannaCry” ومعظم برامج التشفير الأخرى. وليتمكن الفيروس من التسلل إلى جهاز كمبيوتر عبر برنامج تشفير مشترك، يجب أن يرتكب المستخدم خطاً مثل النقر على رابط مريب يسمح لبرنامج الوورد” بتشغيل وحدة ماكرو خبيثة، أو تنزيل مرفق مريب من رسالة بريد إلكتروني. ويمكن أن تصاب النظم بفيروس “WannaCry” بدون القيام بأي خطأ فقد استفاد مبتكرو فيروس “WannaCry ” من ثغرة نظام الويندوز واستغلوا نقطة ضعف عالجتها شركة مايكروسوفت في التحديقات الأمنية ومن خلالها استطاعوا نشر الفيروس وتثبيت برنامج التشفير.

وهذه هي الطريقة التي انتشر بها فيروس واناكري بسرعة، وذلك تفسيرا لكيفية انتشاره بهذا الشكل الواسع وقوته في مهاجمة أنظمة المنظمات الكبيرة  بما في ذلك البنوك وسلطات النقل والجامعات وخدمات الصحة العامة، مثل  مثل الخدمة الصحية الوطنية في المملكة المتحدة. وكان هذا أيضا السبب في تصدر خبر هجمات وباء الفيروس للعناوين الرئيسية..

ولكن ما صدم العديد من الناس كان حقيقة أن نقطة ضعف الويندوز والتي من خلالها استطاع الفيروس الانتشار قد تم بالفعل تحديدها من قبل وكالة الأمن القومي الأمريكية منذ سنوات. ولكن بدلا من تحذير العالم حول هذا الموضوع، حافظت وكالة الأمن القومي على الهدوء وتطور استغلالها الخاص لاستخدام الضعف كسلاح إلكتروني. في الواقع، تم بناء واناكري على نظام وضعته وكالة أمن الدولة.

فيروس بيتيا Petya

على أعقاب هجمات فيروس واناكري، ظهر هجوم أخر من فيروسات الفدية عابرا القارات حيث أصاب الآلاف من أجهزة الكمبيوتر في جميع أنحاء العالم الأربع. المعروفة باسم بيتيا، وما كان أكثر بروزا وتحديدا حول هذا الهجوم هو استخدامه نقطة نفس نقطة الضعف وثغرات نظام  الويندوز المستخدمة من قبل واناكري والتي تبين مدى قوة سلاح الأمن السيبراني المخطط من قبل وكالة الأمن القومي الأمريكية، وأظهرت أيضا، على الرغم من إتاحة سد تلك الثغرات على نطاق واسع بعد هجوم واناكري ظهرت مدى صعوبة الحصول على المستخدمين للحفاظ على التحديثات الأمنية.

فيروس تشفير الملفات LeakerLocker

في بادرة تنم عن كيفية تدفق تهديدات برامج فيروسات الفدية هو واحد من أحدث الهجمات التي ظهرت على نطاق واسع والتي أدت إلى ظهور أيام من التخويف والابتزاز، ولكن مع  تطور محدث استهدف أجهزة الأندرويد، حيث أدى انتشار فيروس خبيث Leakerlocker بتهديد المستخدم بإرسال بياناته الشخصية إلى جميع جهات الاتصال المخزنة على هاتفه الذكي، حيث يضطر الضحية إلى المساومة في حالة وجود أي شيء محرج أو أي صور أو بيانات مخزنة على الهاتف الخاص به، ويتم تهديده بالدفع وابتزاز الضحية من خلال أنه سيتم إرسال ما تخفيه إلى كافة أصدقائك وزملائك وأقاربك.

ماذا يحمل المستقبل بخصوص هجمات فيروسات الفدية؟

نظرا للنمو الهائل في إيرادات مجرمي الانترنت المستخدمين ومطوري برامج فيروسات الفدية، فمن الطبيعي أن نسمع الكثير عن ذلك في المستقبل، حيث أن نجاح هجوم فيروس واناكري في الجمع بين تكنولوجيا الإصابة الذاتية المتماثلة مع استهداف ثغرات النظام المعروفة يشكل سابقة لطبيعة معظم الهجمات على المدى القصير. ولكن سيكون من السذاجة أن نفكر أن مطوري فيروسات الفدية لا يفكرون مسبقا في تطوير طرق جديدة للإصابة والإحتيال، وتحقيق الدخل من البرمجيات الخبيثة الخاصة بهم.

ماذا يمكننا أن نتوقع؟

أحد الشواغل والاهتمامات الكبرى هو قابلية برامج فيروسات الفدية لبدء استهداف الأجهزة الرقمية الأخرى من أجهزة الكمبيوتر والهواتف الذكية. فكلما زاد استخدام الانترنت، فهناك المزيد والمزيد من المعدات المتصلة والتي نستخدمها في حياتنا اليومية والتي تكون متصلة بالانترنت مما يخلث سوقا هائلة جديدة لمجرمي الانترنت، الذين قد يصل بهم الأمر لاستخدام برمجيات الفدية الخبيثة لقفل السيارات أو إعادة تعيين أنظمة التدفئة المركزية في المنازل إلى حد التجميد حتي يبتز الضحية، وبالتالي فإن قدرة فيروسات الفدية يمكنها أن تؤثر بشكل مباشر على حياتنا اليومية.

وهناك احتمال اخر خاص بفيروسات الفدية بإمكانية التركيز بعيدا عن الأجهزة الفردية ومستخدميها فبدلا من استهداف ملفات الأجهزة الفردية،، يمكن لفيروسات الفدية أن تستهدف لغة الاستعلامات البنيوية لتشفير قواعد البيانات الموجودة على ملقم الشبكة. وستكون النتائج كارثية – يمكن أن تفسد البنية التحتية لمؤسسة عالمية بأكملها في خطوة واحدة، أو تنخفض خدمات الإنترنت بأكملها، مما يؤثر على مئات الآلاف من المستخدمين.

ومع ذلك، فإن تلك الفيروسات والبرمجيات الخبيثة في تطور يوما بعد يوم، ويجب أن نستعد لتلك الفيروسات والهجمات لأنها قد تشكل تهديدا كبيرة للإنترنت لسنوات قادمة، حيث تتمكن من مشاهدة رسائل البريد الإلكتروني التي تفتح، والمواقع التي تزورها، والحفاظ على التحديثات الأمنية الخاصة بك، فيجب الاستعداد حتى لا تضطر بالجلوس باكيا بجانب ضخايا فيروسات الفدية السابقين.

هل يمكن للشبكات الافتراضية الخاصة VPNمنع هجمات فيروسات الفدية؟

في حين أن استخدام الشبكات الافتراضية الخاصة لا يمكن حمايتك من الهجمات الخبيثة، ولكنه يعمل على تعزيز مستوى الأمن للنظام الخاص بك، مما يجعله أكثر أمنا. فهناك العديد من المزايا للشبكة الافتراضية الخاصة.

  • عند استخدام الشبكات الافتراضية الخاصة، يتم إخفاء عنوان بروتوكول الإنترنت الخاص بك ويمكنك الوصول إلى الويب كمجهول الهوية. وهذا يجعل من الصعب على منشئي البرامج الضارة استهداف جهاز الكمبيوتر. وعادة ما يبحثون عن المزيد من المستخدمين الضعفاء.
  • عند مشاركة أو الوصول إلى البيانات عبر الإنترنت باستخدام الشبكات الافتراضية الخاصة، يتم تشفير هذه البيانات، ويبقى إلى حد كبير بعيدا عن متناول صناع البرمجيات الخبيثة.
  • خدمات الشبكة الافتراضية الخاصة الموثوقة تقوم بحجب عناوين المواقع المشكوك بها.

وبالنظر إلى جميع العوامل، فإن استخدام الشبكة الافتراضية الخاصة يبقيك أكثر أمنا من البرامج الضارة، بما في ذلك برامج فيروسات الفدية الخبيثة. هناك الكثير من خدمات الشبكات الافتراضية الخاصة والتي تمكنك من الإختيار من بينها، تأكد من أن مزود الشبكة الافتراضية الخاصة بك يتمتع بسمعة طيبة ولديه الخبرة اللازمة في مجال الأمان عبر الإنترنت.

إذا كنت تبحث عن شبكة افتراضية ظاهرية خاصة، يمكنك الإطلاع على توصياتنا بشأن أفضل الشبكات الافتراضية VPN الموصى بها من المستخدمين الموثوق بهم.

هل كان ذلك مفيدا ؟ إذا قم بنشره !
قم بنشر هذا على الفيسبوك
0
قم بنشر هذا على تويتر
0
قم بنشر ذلك إذا كنت تعتقد أن جوجل لا يعرف عنك الكثير
0