«تنظيم الاتصالات»: الإمارات خالية من فيروس الفدية

«بيتيا» يشّل حركة عشرات الشركات في العالم

صورة
ت + ت - الحجم الطبيعي

نصحت الهيئة العامة لتنظيم قطاع الاتصالات، أمس بضرورة أخذ الحذر من النسخة المطورة من فيروس الفدية الإلكتروني بيتيا "Petya"، الذي أصاب أول من أمس عشرات الشركات في أوروبا والعالم بالشلل، فيما أفاد مركز الاستجابة لطوارئ الحاسب الآلي (aeCERT)، التابع للهيئة العامة لتنظيم قطاع الاتصالات، أنه لم ترد أي حالات بتعرض أي حاسوب في الإمارات لهذا الفيروس.

وتوقع خبراء أن يرتفع المبلغ الذي يطلبه المجرمون حالياً مقابل فك تشفير الملفات المصابة، شراء مفتاح للولوج بمبلغ 300 دولار، في مؤشر على أن الفيروس الجديد الذي بدأت سلسلة هجماته بضرب أجهزة في شركات كبرى في 80 شركة في روسيا وأوكرانيا، انتقلت سريعاً إلى غربي أوروبا، ومنها عبر المحيط الأطلسي إلى الولايات المتحدة، يشبه هجمات «وانا كراي»، التي حدثت مؤخراً، واستهدفت أجهزة الكمبيوتر في أكثر من 150 دولة حول العالم.

وأدى الفيروس إلى خرق وتعطيل وتشفير وقفل أجهزة الكمبيوتر في الشركات المستهدفة، بحيث لم يتمكن المستخدمون من الوصول إلى الأجهزة الخاصة بهم، دون دفع مبلغ من المال بعملة البيتكوين.

وتفصيلاً، قامت مجموعة من المخترقين بتطوير نسخة جديدة من فيروس الفدية «بيتيا»، مستغلين نفس الثغرة التي كانت موجودة في أنظمة تشغيل «ويندوز»، وهي «إيتيرنال بلو» الموجودة في بروتوكول SMBv1، حيث يقوم هذا الفيروس بإعادة تشغيل جهاز الضحية، وتشفير جدول الملف الرئيس (Master File Table)، ثم استبدال سجل التمهيد الرئيس (Master Boot Record)، بمجموعة من التعليمات البرمجية الخبيثة، التي تجعل الجهاز غير قابل للتشغيل.

وأشارت الهيئة إلى أنه، وبحسب طبيعة هذا الفيروس، فإنه يقوم بتغيير العلامة المميزة له باستمرار، لافتة إلى ضرورة متابعة وسائل التواصل الاجتماعي الخاصة بالهيئة (فيسبوك TheUAETRA، انستغرام TheUAETRA، توتير @TheUAETRA)، للحصول على آخر التحديثات الخاصة بالفيروس.

سلالة

وذكر بيان لشركة «كاسبرسكي لاب»، أن النتائج الأولية لتحليل الشركة، تشير إلى أن الهجمات الأخيرة، هي هجمة من نوع جديد، لم تظهر من قبل. وفي حين أن لهذه البرمجية عدة سلالات شبيهة بهجمات الفدية «بيتيا»، فهي تمتلك خصائص مختلفة كلياً.

وأضاف البيان أن الفيروس الذي أطلقت عليه الشركة اسم «ExPetr»، استهدف حتى الآن حوالي ألفي مستخدم، معظمهم في شركات مقراتها في روسيا وأوكرانيا، كما سجلت هناك هجمات كذلك في بولندا وإيطاليا والمملكة المتحدة وألمانيا وفرنسا والولايات المتحدة، والعديد من البلدان الأخرى.

ووصفت الشركة الروسية، الهجمات الأخيرة بأنها «فائقة التطور والتعقيد»، وتوظف عناصر اختراق متعددة، مع استخدام المجرمين للإصدارات المعدلة من ثغرات «إيترنال بلو» و«إيترنال رومانس»، للانتشار بسرعة داخل شبكات الشركات.

تذكير

واعتبر سعيد آغا مدير وحدة أعمال الحماية في «آي بي إم» في تصريحات خاصة للبيان الاقتصادي، أن ظهور فيروس الفدية من جديد، هو بمثابة تذكير عنيف اللهجة للشركات والمؤسسات في المنطقة بأساسيات الحماية.

إذ لطالما شدد خبراء أمن المعلومات على أهمية تدابير الحماية الأساسية، مثل إصلاح عيوب البرامج، وإجراء عمليات النسخ الاحتياطي، ومع ذلك، يتم غالباً التغاضي عن هذه التوجيهات، في ضوء النظر إلى تدابير الحماية على أنها مصدر إزعاج للأعمال.

وعزا آغا السبب في نجاح «بيتيا» و«وانا كراي» وغيرهما من الهجمات الكبرى المماثلة، إلى نفس المشاكل الراسخة منذ أمد طويل، وهي أن المخاطر لم تتم إدارتها على النحو المطلوب، وتركت نقاط الضعف عالقة».

مصدر

من جانبه، قال تاج الخياط مدير شركة «إف فايف» F5 نتووركس في المنطقة، إن هجمات «بيتيا» الجديدة، تهدف لضرب الخدمات التي تؤثر في حياة الناس اليومية، مثل خدمات الرعاية الصحية وخدمات البريد والنقل والمواصلات.

وفي حين تطلب الجهة التي تقف خلف الهجمات الجديدة، مبلغ 300 دولار لفك تشفير الملفات المصابة، إلا أن هذا المبلغ سيزداد بسرعة كبيرة، والجانب الأبرز في ذلك، هو مدى تأثير هذه الهجمات على البنية التحتية للبلدان، وعندما تنقشع السحابة التي أحدثتها هذه الهجمات، ينبغي تحديد مصدرها ومعالجتها».

وأضاف تاج: «سيزداد معدل الهجمات الرقمية مع التوجه نحو العالم الرقمي الجديد، المرتبط بتقنية إنترنت الأشياء والأجهزة المتصلة بالإنترنت، والذي يتم التركيز فيه على التطبيقات، وذلك بسبب الفرص الجديدة التي يوفرها العالم الجديد للمهاجمين للتسلل إلى البيانات واختراقها».

وقاية

وقال إيهاب معوض نائب رئيس منطقة المتوسط والشرق الأوسط وأفريقيا في شركة «تريند مايكرو»، في تصريحات للبيان الاقتصادي «إن أن الفيروس تمكن من التسلل في أنظمة البيانات الإلكترونية بشكل خفي، عبر ملف يحمل اسم (RANSOM_PETYA.SMA)، حيث يقوم هذا الملف باستغلال ثغرتي «إيترنال بلو» و«PsExec»، كأدوات لنشر الفيروس، وتوسيع نطاق وتأثير الهجمات».

وأضاف: «يستغل برنامج الفدية الخبيث «بيتيا» بدهاء أداة نظام «ويندوز» للوصول المشروع عبر ثغرة (PsExec)، وسطر أوامر إدارة المعلومات في «ويندوز»، وهي عبارة عن واجهة تفاعلية لتسهيل استخدام «أدوات إدارة ويندوز» (WMI).

قد وجدنا أن الأنماط المختلفة لبرنامج «بيتيا» الخبيث، تستعين بوسيلة متطورة لاستخراج المعلومات من الأنظمة المصابة، حيث يستخدم أداة الحماية الأمنية المشروعة (Mimikatz)، لاستخراج أسماء المستخدمين وكلمات السر.

وبعدها، يتم تشفير الملفات التنفيذية في أنظمة التشغيل «32 بت» و«64 بت» وتخزينها في قسم الموارد المحمية لبرنامج الفدية. ويتم تفعيل نمط الاستخراج، عندما يقوم البرنامج الخبيث بفتح قناة خاصة تستخدمها أداة (Mimikatz) لتسجيل نتائج عملياتها. وتتم قراءة هذه النتائج من قبل العمليات الرئيسة للبرنامج الخبيث. ويمتلك برنامج الفدية الخبيث «بيتيا»، القدرة على الانتشار إلى أنظمة أخرى ضمن الشبكات المحلية، باستخدام هذه المعلومات المستخرجة».

ونصح معوض، مديري حماية المعلومات، بضرورة تفعيل برنامج الحماية والأمان MS17-010، وتعطيل المنفذ (TCP 445)، بالإضافة إلى تقييد الحسابات، مع استخدام خاصيّة الوصول لمجموعة المشرفين.

Email