وفقا لتقرير خرق بيانات Verizon لعام 2020 ، فإن برامج الفدية هي 3rd أكثر هجمات البرامج الضارة شيوعا. حدثت الأدلة الأخيرة على ذلك في 4 أكتوبر ، حيث أفادت التقارير أن Universal Health Services (UHS) ، وهي مستشفى Fortune 500 ومزود خدمات الرعاية الصحية ، أغلقت الأنظمة في مرافق الرعاية الصحية المختلفة في جميع أنحاء الولايات المتحدة بعد هجوم إلكتروني ضرب شبكتها الداخلية.
يمكن أن يكون هجوم الرعاية الصحية من أي نوع قاتلا ، خاصة بالنظر إلى الوضع الحالي للوباء. هذا هجوم إلكتروني آخر حديث ينتهي ب IT يتم إغلاق البنية التحتية بسبب هجوم برامج الفدية. في هذه الحالة ، تقوم مستشفى الجامعة بالشارقة بإعادة توجيه بعض المرضى إلى المستشفيات القريبة.
ومع ذلك ، لا يدرك الكثير من الناس أن تنشيط برامج الفدية هو مجرد المرحلة الأخيرة في الهجوم. قبل التنفيذ ، هناك العديد من المراحل والفرص لوقف الهجوم.
حسنا ، ما هو بالضبط برامج الفدية؟
Ransomware هو برنامج ضار مصمم لمنع استخدام ملفات نظام الكمبيوتر مع طلب دفع فدية. تقوم معظم أنواع برامج الفدية بتشفير الملفات الموجودة على الجهاز المتأثر ، مما يجعلها غير متوفرة والمطالبة بدفع فدية لاستعادة الوصول إليها.
غالبا ما تكون شفرة برامج الفدية معقدة ، ولكن لا يجب أن تكون كذلك ، لأنه على عكس الأشكال الأخرى من البرامج الضارة التقليدية ، لا تحتاج عموما إلى البقاء غير مكتشفة لفترة طويلة لتحقيق هدفها. هذه السهولة النسبية في التنفيذ مقابل إمكانات الربح العالية ، تجذب كلا من الجهات الفاعلة المتطورة في الجرائم الإلكترونية والجهات الفاعلة المبتدئة لتشغيل حملات برامج الفدية.
"في 7٪ من خيوط برامج الفدية الموجودة في المنتديات الإجرامية وأماكن السوق ، تم ذكر "الخدمة" ، مما يشير إلى أن المهاجمين لا يحتاجون حتى إلى أن يكونوا قادرين على القيام بالعمل بأنفسهم." - تقرير تحقيقات خرق البيانات لعام 2020 ، ص. 16.
تحظى برامج الفدية بشعبية كبيرة لدرجة أن هناك خدمات يمكنك شراؤها تهتم بالتنفيذ نيابة عن المجرمين الإلكترونيين. مع مثل هذا السوق المزدهر ، من المتوقع أن تزداد خدمات برامج الفدية وبرامج الفدية فقط.
كيف تجد برامج الفدية طريقها إلى الشبكة؟
الطريقة الأكثر شيوعا للمهاجم لتقديم ملفات ضارة هي استغلال الأخطاء البشرية الشائعة مثل هجمات التصيد الاحتيالي ، حيث يرسل المهاجم بريدا إلكترونيا يبدو أنه شرعي ، ولكنه يشجع الشخص على النقر فوق الروابط أو تنزيل مرفق. غالبا ما يقوم المرفق بنقل حمولة تقوم بتسليم البرامج الضارة. يميل المهاجمون إلى استغلال الواجهات المكشوفة مثل RDP أو تطبيقات الويب غير المصححة. يتم تسليم برامج الفدية أيضا على مواقع الويب المخترقة أو الضارة ، عبر هجمات محرك الأقراص عن طريق التنزيل. كما تم إرسال بعض هجمات برامج الفدية باستخدام رسائل من وسائل التواصل الاجتماعي.
عادة ما يتم استخدام برامج الفدية في نهج "البندقية" - حيث يحصل المهاجمون على قوائم البريد الإلكتروني أو مواقع الويب المخترقة وينفجرون برامج الفدية.
الحماية من برامج الفدية الضارة
توجد عدة مراحل لإيقاف البرامج الضارة أثناء دورة حياة الهجوم. المرحلة الأولى هي الوقاية من دخول الشبكة. المرحلة الثانية لإيقاف برامج الفدية (على افتراض أنها ليست مستقلة) ستمنعها من الاتصال بخادم القيادة والتحكم (C2) ؛ المرحلة الثالثة هي إيقافه فور بدء التنفيذ وقبل القيام بحركة جانبية داخل الشبكة.
المرحلة الأولى - منع البرامج الضارة من دخول الشبكة - هي الأكثر أهمية. سيحاول المهاجمون عادة استخدام تقنيات التصيد الاحتيالي أو الاستفادة من اتصالات الوصول عن بعد غير الآمنة مثل اتصالات RDP التي تم تكوينها بشكل خاطئ ومن خلال نقاط النهاية التي لا تتوافق مع سياسة الشركة. يمكن لهذه الأجهزة تمكين برامج الفدية من التراجع عن الاتصال بمؤسسة الشبكة.
المرحلة الثانية - عدم تمكين البرامج الضارة من الاتصال ب C2 - عادة ما تتم عن طريق تنفيذ FireWall ونظام الكشف المستند إلى الشبكة للبحث عن توقيعات الشبكة.
المرحلة الثالثة - إيقاف تنشيط Ransomware والتوسع في الشبكة - هي في هذه المرحلة أكثر تعقيدا واستهلاكا للموارد.
OPSWAT يقدم حلولا وقائية حتى تتمكن من الدفاع عن نفسك من التعرض للهجوم. تساعد حلولنا المؤسسات على منع البرامج الضارة من الدخول إلى الشبكات ، مثل حل أمان بوابة البريد الإلكتروني لوقف التصيد الاحتيالي ، وحل الوصول الآمن للمساعدة في التحقق من الامتثال ، و
أمان تحميل الملفات الذي يقوم بتنفيذ Deep CDR (نزع المحتوى وإعادة بنائه) باستخدام MetaDefender Core. هذه ليست سوى بعض من المنتجات العديدة التي تقدمها OPWAST للمساعدة في الحفاظ على شبكات البنى التحتية الحيوية آمنة من برمجيات الفدية الخبيثة. لمزيد من المعلومات، اتصل بنا اليوم.
مراجع
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
