القائمة الرئيسية

الصفحات

ما هو برنامج الفدية WannaCry؟

ما هو برنامج الفدية WannaCry؟

القصة الكاملة لواحد من أسوأ حالات تفشي برامج الفدية في التاريخ

ما هو برنامج الفدية WannaCry؟

"WannaCry" هو مصطلح لديه القدرة على تخويف أقسام تكنولوجيا المعلومات على الصعيد الوطني ، حتى بعد سنوات من التأثير المدمر لهذا التهديد السيبراني الشرير. على الرغم من مرور ما يقرب من أربع سنوات منذ أن ضربت برامج الفدية الشركات في هذا البلد ، ما زلنا ننظر إلى WannaCry كمثال ملموس لأسوأ سيناريو.

تم اكتشاف هذا النوع من برامج الفدية لأول مرة في مايو 2017 عندما انتشر إلى الأجهزة حول العالم. سيطر على الخادم والملفات ، وطالب بدفع Bitcoin مقابل الإرجاع.

تستغل برامج الفدية المشفرة هذه الثغرات الأمنية في نظام التشغيل Windows باستخدام أداة تسمى EternalBlue ، والتي يُعتقد أنها طورتها وكالة الأمن القومي الأمريكية (NSA). على الرغم من أن Microsoft قد أصدرت التحديث قبل شهرين ، إلا أن العديد من المؤسسات التي تعمل بإصدارات أقدم من Windows ، بما في ذلك Windows XP و Windows 7 ، لا تزال عرضة للخطر.

ربما تكون أكبر ضحية لـ WannaCry هي National Health Service (NHS) ، حيث يتسبب أحد أنواع برامج الفدية في تعطيل العمليات بحوالي ثلث الثقة. أسفر الهجوم عن إلغاء حوالي 19000 لعبة ومبلغ قيمته حوالي 92 مليون جنيه إسترليني.

على الرغم من أن اندلاع WannaCry كان مدمرًا ، إلا أنه لم يدم طويلًا وانتهى بعد أيام فقط من اكتشاف أن نظام الكمبيوتر كان معطلاً. ومع ذلك ، يعد WannaCry اختبارًا ناجحًا للبقاء على قيد الحياة لبرامج الفدية كوسيلة فعالة للهجمات الإلكترونية من قبل عدد من العصابات الإلكترونية.

من يتأثر بـ WannaCry؟

تصدرت WannaCry عناوين الصحف بعد أن تصدرت عناوين الصحف في العديد من مؤسسات NHS في جميع أنحاء البلاد في مايو 2017. وقد تعطلت أنظمة 16 موقعًا من مواقع NHS ، بما في ذلك ثلث صناديق المستشفيات و 5 ٪ من الممارسين العامين ، بسبب العجز المفاجئ عن الوصول إلى الوظائف الأساسية ، في تأخير كبير وإلغاء حوالي 19000 جلسة.

على الرغم من التقارير الأولية ، لم تكن الإصابة بفيروس الفدية جزءًا من هجوم منسق أكبر على NHS كما كان يُخشى. في الواقع ، يُعتقد أن NHS تعرضت مؤخرًا للهجوم من قبل البرامج الضارة الخبيثة التي تستهدف الأنظمة القديمة.

تم الإبلاغ عن إصابات WannaCry في 11 دولة على الأقل في غضون ساعات من الاكتشاف الأولي. بعد كل شيء ، أصابت البرامج الضارة أكثر من 200000 نظام في 150 دولة في غضون 24 ساعة. أشهر الضحايا هم Telefonica و FedEx و Deutsche Bahn.

NHS هي واحدة من أكبر ضحايا الهجوم

يُقدر أن WannaCry قد تسبب في خسائر تقدر بنحو 4 مليارات دولار ، بما في ذلك 92 مليون جنيه إسترليني لهيئة الخدمات الصحية الوطنية.

في ذلك الوقت ، كان يُفترض أن المنظمات الأكثر تضررًا هي المؤسسات التي تعتمد على إصدار أقدم من نظام التشغيل Windows ، Windows XP. ومع ذلك ، أظهر تحليل بعد أحداث Kaspersky أن غالبية الإصابات (98٪) تم اكتشافها على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 7 ، وهو نظام التشغيل الذي تلقى في ذلك الوقت دعمًا أمنيًا محسنًا من Microsoft ، أي ، إصابة Windows XP٪ .

تم إخبار الضحايا بعدم دفع الفدية المطلوبة ، وعلى الرغم من توقف WannaCry عن التوزيع ، تم دفع 327 دفعة فقط إلى عناوين مشفرة في محافظ Bitcoin المرتبطة بالبرامج الضارة. بلغ إجمالي المبلغ المدفوع حوالي 140 ألف دولار أمريكي عندما تم شطبها من المحفظة في أغسطس 2017.

يُعتقد أن WannaCry لديه القدرة على إحداث أضرار كارثية إذا استهدفت البنية التحتية الحيوية مثل المرافق أو شبكة الكهرباء الوطنية.

ما هي الثغرات الأمنية التي يستخدمها WannaCry؟

مثل جميع مقدمي الفدية ، يصل WannaCry إلى الكمبيوتر الهدف ، ويقوم بتشفير محتويات القرص الصلب ، ثم يبتز الأموال من الضحية مقابل مفتاح فك التشفير. ما يجعل WannaCry فريدًا هو طريقة توزيعه.

تتكون حزمة WannaCry من جزأين: قسم التبادل ، والذي يقوم بتشفير الكمبيوتر الهدف ويزيل تعليمات الاسترداد ، ومكون يسمح له بالانتشار بسرعة عبر الشبكة. هذا العنصر الأخير هو ما يجعلها مدمرة للغاية.

استنادًا إلى خطأ في بروتوكول Server Message Block (SMB) لإصدارات مختلفة من Windows ، فإنه يبحث في الشبكة المحلية التي يتصل بها الكمبيوتر ويعثر على أجهزة أخرى (بما في ذلك الطابعات والأجهزة الأخرى ، وكذلك أجهزة الكمبيوتر) مع SMB مفتوح منفذ الشبكة. ثم يتم استخدام حزمة معدة خصيصًا لبدء النقل والتفريغ على الكمبيوتر الجديد. ثم تبدأ العملية مرة أخرى.

وتستند هذه العملية على استغلال يسمى "EternalBlue" أصدرته مجموعة قرصنة Shadow Brokers. أطلق فريق القرصنة الغامض هذا عددًا من عمليات الاستغلال الخبيثة لنقاط الضعف في الأنظمة الحرجة (التي يُعتقد إلى حد كبير أنها أنشأتها وكالة الأمن القومي) على الشبكات العامة بحيث يمكن لمؤلفي WannaCry توصيلها ببرامج الفدية الخاصة بهم لإيقافها. يستخدم WannaCry أيضًا DOUBLEPULSAR ، أداة الحقن الخلفية الموجودة أيضًا في تسريب Shadow Brokers ، للمساعدة في انتشار.

تم تصحيح استغلال EternalBlue ، الذي سهّل نشر WannaCry ، من قبل Microsoft قبل أشهر ، لكن الإخفاق على نطاق واسع في تطبيق التصحيحات في الوقت المناسب يعرض الضحايا للخطر. بعد فترة وجيزة من تفشي المرض ، اتخذت Microsoft أيضًا قرارًا غير عادي لإصدار إصلاحات طارئة لنظام التشغيل المتأثر الذي كان على وشك الانتهاء من عمره.

من يقف وراء WannaCry؟

ثبت أن WannaCry يقودها مجموعة Lazarus الكورية الشمالية

لطالما كان من الصعب عزو الهجمات الإلكترونية إلى أفراد أو مجموعات أو دول قومية محددة. هذا العلم غير دقيق ويجعل المهمة أكثر صعوبة حيث يلقي مؤلفو البرامج الضارة بأعلام كاذبة لدرء المحققين. ومع ذلك ، هناك إجماع عام داخل مجتمع الأمن والاستخبارات على أن المتسللين في كوريا الشمالية هم على الأرجح وراء WannaCry ويعملون على الأرجح نيابة عن الحكومة.

يؤكد هذا التقييم أن البيانات الوصفية في ملف ransomware تشير إلى أن جهاز الكمبيوتر الخاص بالمؤلف مضبوط على المنطقة الزمنية الكورية ، بينما وجد Symantec و Kaspersky أن الرمز مشابه جدًا لتلك المستخدمة من قبل مجموعة Lazarus للحصول على الرمز. قامت المجموعة بتدبير عملية اختراق Sony Pictures في عام 2014 وهي تابعة أيضًا للدولة الكورية الشمالية.

وتلقي الحكومة الأمريكية باللوم رسميًا على كوريا الشمالية في هجمات سبتمبر 2018 ، وهي لائحة اتهام شنها العديد من حلفاء مجموعة العشرين ، بما في ذلك بريطانيا ، منذ ذلك الحين. ونفت سلطات كوريا الشمالية باستمرار هذه الادعاءات.

كيف تم إيقاف WannaCry؟

تم إيقاف نشر WannaCry بنجاح بعد أقل من أسبوع من ظهوره لأول مرة ، وذلك بفضل الجهود المشتركة للباحثين الأمنيين حول العالم. ومع ذلك ، فإن أكبر ضربة للبرامج الضارة تكون عرضية تقريبًا.

وجد باحث أمني يعمل في MalwareTech (المعروف لاحقًا باسم المواطن البريطاني Marcus Hutchins) عنوان URL مشفرًا في البرامج الضارة التي ستطلقها البرامج الضارة قبل إطلاق حمولتها وتشفير الكمبيوتر المستهدف.

بعد تسجيل النطاق ، اكتشف أن عنوان URL هذا كان بمثابة مفتاح قاتل. إذا طلبت البرامج الضارة مجالًا ولم تعثر على شيء ، فسيتم إزالة الحمولة. ومع ذلك ، إذا حصل على استجابة ، فلن يتم تشغيله. اقترح البعض في البداية أن هذا تم تضمينه كمفتاح متعمد من شأنه أن يسمح لمكتبي البرامج الضارة بتنزيل المكونات الإضافية عند الطلب ، لكن Hutchins لا يوافق.

العديد من صناديق الحماية التي يستخدمها الباحثون للبحث عن البرامج الضارة دون المخاطرة بإصابة أجهزة الكمبيوتر الخاصة بهم تحاكي الاستجابة الصحيحة لكل بحث عن عنوان URL. يعتقد Hutchins أن تضمين التحقق من عنوان URL هو محاولة لمنعه من التشغيل في بيئة آلية الحماية ، مما يجعل من الصعب على المحللين المقاومة. ومع ذلك ، فإن التأثير هو نفسه: بمجرد تسجيل النطاق ، لن تؤدي الإصابات الجديدة باستخدام WannaCry إلى تشغيل تشفير الضحية ، وبالتالي تدمير قدرتها على الانتشار أكثر.

حاول المتسللون الذين يقفون وراء WannaCry إصدار متغير جديد بنطاق مشفر مختلف ، لكن سرعان ما تم اكتشافهم وتسجيلهم. لقد حاولوا أيضًا تحطيم المجال الرئيسي لـ Cutchins باستخدام هجوم DDoS المدعوم من Mirai ، ولكن دون جدوى. تتم إدارة المجال حاليًا بواسطة شركة Kryptos Logic ، وهي شركة تابعة لشركة Hutchins.
reaction:

تعليقات