كانت وما زالت برامج انتزاع الفدية تُشكل تهديدًا بارزًا للحكومات والشركات وحتى الأفراد على حد سواء، منذ منتصف العقد الأول من القرن الحادي والعشرين إلى يومنا هذا.
في عام 2017، تلقى مركز شكاوي جرائم الإنترنت (IC3) التابع لمكتب التحقيقات الفيدرالي FBI ما يصل إلى 1،783 شكوى من هجمات انتزاع الفدية التي كلفت الضحايا أكثر من 2.3 مليون دولار، مع ذلك لا تمثل هذه الشكاوي سوى الهجمات التي أبلغت بها IC3، إذ أن العدد الفعلي لهجمات برامج الفدية والخسائر أعلى بكثير.
في الواقع، كان هناك ما يقدر بنحو 184 مليون هجوم انتزاع فدية في العام الماضي وحده، وكانت برامج انتزاع الفدية تهدف في الأصل إلى استهداف الأفراد، الذين لا يزالون يستخدمون الإنترنت بشكل عشوائي ويملكون أسبابًا لدفع أموال طائلة بسبب الملفات المهمة التي لديهم.
في هذا المقال، سندرس ونشرح تاريخ برامج انتزاع الفدية منذ أول هجوم موثق لها في عام 1989 إلى يومنا هذا، نناقش بالتفصيل بعضًا من أهم هجمات برامج انتزاع الفدية وأخطرها على الإطلاق. وأخيرًا، نلقي نظرة على المنحى الخطير الذي تتجه إليه برامج انتزاع الفدية في عام 2020 وما بعده.
ما هي برامج انتزاع الفدية؟
برنامج انتزاع الفدية هو نوع من البرامج الضارة التي تخول الوصول إلى الملفات أو الأنظمة المهمة، وتمنع وصول المستخدم إلى تلك الملفات أو الأنظمة. بعد ذلك، يتم احتجاز جميع الملفات أو حتى الأجهزة بأكملها كرهائن باستخدام تشفير محكم حتى يدفع الضحية فدية مالية مقابل فك تشفير ملفاته، من خلال تقديم مفتاح للمستخدم يضعه في البرنامج ليتمكن من الوصول إلى الملفات المشفرة.
أصبح استخدام طرق التشفير غير المتصلة بالإنترنت شائعًا حيث تستفيد برامج انتزاع الفدية من ميزات النظام الشرعية مثل CryptoAPI من مايكروسوفت، مما يلغي الحاجة إلى اتصالات القيادة والتحكم (C2).
مع ثبات برنامج انتزاع الفدية كأحد أهم التهديدات التي تواجه الشركات والأفراد اليوم، فليس من المستغرب أن تصبح الهجمات أكثر تعقيدًا وأكثر صعوبة في منعها وأكثر إلحاقًا بضحاياها.
كيف تصيبك برمجيات انتزاع الفدية؟
الآن وبعد أن أصبح لدينا تعريف عام لبرامج انتزاع الفدية، فلنراجع أشياء أكثر تفصيلًا حول كيفية وصول هذه البرامج الضارة إلى ملفات وأنظمة الشركة.
يصف مصطلح “برامج انتزاع الفدية” وظيفة هذه البرمجيات الخبيثة بمعنى الكلمة، وهي ابتزاز المستخدمين أو الشركات لتحقيق مكاسب مالية، ومع ذلك يجب على البرنامج الوصول إلى الملفات أو النظام الذي سيحصل على فدية من خلال تخريبه.
تشترك البرامج الضارة والفيروسات في أوجه التشابه مع الأمراض البيولوجية، أوجه التشابه هذه غالبًا ما تسمى بنقاط الدخول “النواقل”، تمامًا كما يستخدم عالم علم الأوبئة المصطلح الذي يشير إلى ناقلات مسببات الأمراض الضارة، مثل العالم البيولوجي.
هناك عدد من الطرق التي يمكن من خلالها إفساد الأنظمة وبالتالي الحصول على فدية معينة، من الناحية التقنية الهجوم أو ناقل العدوى هو الوسيلة التي يحصل بها المخترق على فديته.
تتمثل أساليب برامج انتزاع الفدية المعروفة في:
رسائل البريد المزيفة
من الطرق الشائعة للخداع والمستخدمة بشكل كبير في وقتنا الحالي، توزيع برامج انتزاع الفدية عن طريق إرسال سبب مقنع للشركات لفتح برامج ضارة متخفية كمرفق ببريد إلكتروني عاجل، إذا وصلت هذه الرسائل إلى صاحب عمل لشركة ما، فمن المحتمل أن يتم فتحها كونها رسالة مهمة، هذا التكتيك ينخرط في الخداع للوصول إلى الملفات أو الأنظمة المهمة.
الرسائل الملغمة
من الوسائل الأخرى التي يستخدمها مهاجمو برامج انتزاع الفدية هي إرسال رسائل إلى الضحايا على وسائل التواصل الاجتماعي، من أبرز المواقع المستخدمة في هذا النهج Facebook Messenger، حيث يتم إنشاء الحسابات التي تحاكي “الأصدقاء” الحاليين للمستخدم وتعمل على إرسال رسائل مرفقة بملفات خطيرة، فبمجرد فتحها يُمكن لبرامج انتزاع الفدية الوصول إلى الشبكات المتصلة بالجهاز المصاب وإغلاقها فورًا.
النوافذ المنبثقة
يُعتبر قديمًا نوعًا ما ولكنه خطير للغاية وتتمثل برامجه في “النوافذ المنبثقة” عبر الإنترنت، تم إنشاء هذه النوافذ المنبثقة لتقليد البرامج المستخدمة حاليًا (المطورة)، بحيث يشعر المستخدمون براحة أكبر عند اتباع المطالبات والتي تم تصميمها في النهاية لإيذاء المستخدم في المرتبة الأولى.
أول هجوم انتزاع الفدية في التاريخ
بينما بدأت تظهر برامج انتزاع الفدية كأحد أكبر التهديدات الرقمية التي تواجه العالم منذ عام 2005، حدثت هجماتها الأولى قبل ذلك بكثير فوفقًا لـ Becker’s Hospital Review، ظهر أول هجوم معروف لبرامج إنتزاع الفدية وفعلي عام 1989 واستهدف قطاع الرعاية الصحية التي لا زالت وبعد 28 عامًا الهدف الرئيس لأي هجوم انتزاع الفدية.
كان هذا الهجوم المفاجئ من قبل جوزيف بوب -دكتور وباحث في الإيدز– الذي نفذ الهجوم من خلال توزيع 20 ألف قرص مرن على باحثي مرض الإيدز في أكثر من 90 دولة، مدعيًا أن الأقراص تحتوي على برنامج يُحلل مخاطر إصابة الفرد بالإيدز من خلال استخدام استبيان.
غير أن هذه الأقراص احتوت على برنامج خفي وخبيث، ظل في البداية خامدًا في أجهزة الكمبيوتر ولم يتم تنشيطه إلا بعد تشغيل الكمبيوتر 90 مرة، بعد الوصول إلى هذه المرحلة المتقدمة عرض البرنامج الضار رسالة تطالب بدفع مبلغ 189 دولارًا و378 دولارًا أخرى لاستئجار البرنامج، أصبح هجوم برامج انتزاع الفدية هذا يُعرف باسم AIDS Trojan أو PC Cyborg، ومن هنا بدأت قصة أخطر فيروس للحواسيب على الإطلاق.
أخطر هجمات انتزاع الفدية
نظرًا لتطور حملات برامج انتزاع الفدية وهجماتها، فليس من المستغرب أن تكون أكبر هجمات برامج انتزاع الفدية قد حدثت في السنوات الأخيرة. كما أن طلبات الفدية أخذت ارتفاعًا ساحقًا وخطيرًا جدًا في الارتفاع أضر الكثير من الشركات وأدى بها الى الخسارة.
تشير التقارير إلى أن متوسط طلبات انتزاع الفدية كان يحوم حول 300 دولار في منتصف العقد الأول من القرن الحالي، لكنه يبلغ اليوم وسطيًا حوالي 500 دولار للجهاز الواحد. عادة ما يتم تحديد الموعد النهائي للدفع، وفي حالة مرور هذا الموعد تتضاعف طلبات الفدية أو يتم إتلاف الملفات أو قفلها نهائيًا.
كان CryptoLocker أحد أكثر سلالات برامج انتزاع الفدية ربحًا في عصره، بين سبتمبر وديسمبر 2013 أصاب CryptoLocker أكثر من 250 ألف جهاز، لقد كسب المخترقون أكثر من 3 ملايين دولار حتى تم إيقاف Gameover ZeuS botnet والذي تم استخدامه لتنفيذ هذه الهجمات عام 2014.
لسوء الحظ، أدى زوال CryptoLocker إلى ظهور العديد من برامج انتزاع الفدية المقلدة، بما في ذلك المستنسخات المعروفة CryptoWall و TorrentLocker. لم تستسلم Gameover ZeuS أبدًا بل أعادت بناء نفسها مجددًا وظهرت عام 2014 “في شكل حملة متطورة ترسل رسائل بريد عشوائي ضارة”.
من أبريل 2014 حتى أوائل 2016، كان CryptoWall من بين أكثر أنواع برامج إنتزاع الفدية استخدامًا مع أشكال مختلفة من البرامج الأخرى التي تستهدف مئات الآلاف من الأفراد والشركات. بحلول منتصف عام 2015، كان CryptoWall قد ابتز أكثر من 18 مليون دولار من الضحايا مما دفع مكتب التحقيقات الفيدرالي إلى إصدار تحذير بشأن هذا التهديد الكبير.
في عام 2015، ضربت مجموعة متنوعة من برامج انتزاع الفدية المعروفة باسم TeslaCrypt أو Alpha Crypt ما يقارب 163 ضحية، وحققت 76،522 دولارًا للمهاجمين الذين يقفون وراءها. يطلب TeslaCrypt عادةً فدية من Bitcoin أو بطاقات PayPal و My Cash في بعض الحالات، وبفضل كل هذا تراوحت مبالغ الفدية من 150 دولارًا إلى 1000 دولار.
في مارس 2016، أصيب مستشفى أوتاوا بفيروسات برامج إنتزاع الفدية التي أثرت على أكثر من 9800 جهاز، لكن المستشفى رد بمسح جميع محركات الأقراص وهذا بفضل عمليات النسخ الاحتياطي والتعافي الدؤوبة، وبالتالي تمكن المستشفى من التغلب على المهاجمين في لعبتهم وتجنب دفع الفدية.
في نفس الشهر، أصيب أيضًا مستشفى كنتاكي ميثوديست، ومركز تشينو فالي الطبي، ومستشفى ديزرت فالي في كاليفورنيا ببرامج انتزاع الفدية “أُطلق عليها اسم Locky، وهو برنامج جديد يقوم بتشفير الملفات والوثائق والصور ويعيد تسميتها بامتداد locky”. وفقًا لتقارير BBC فإن كل المستشفيات المتأثرة لم تدفع أي فدية، حيث تم استعادة معظم الأنظمة بحلول 24 مارس ومع ذلك، تسبب الهجوم أيضًا في حدوث اضطرابات في العديد من المستشفيات الأخرى بسبب قطع اتصال الأنظمة المشتركة بين المستشفيات.
شهد مارس 2016 أيضًا ظهور متغير خطير Petya ransomware وهو عبارة عن برنامج إنتزاع فدية متقدم يقوم بتشفير جدول الملفات الرئيسية للكمبيوتر وإستبدالها بسجل رئيسي آخر مرفق بمذكرة فدية، مما يجعل الكمبيوتر غير قابل للإستخدام ما لم يتم دفع الفدية المطلوبة ولهذا صنفت ضمن عملية ransomware-as-a-service.
في مقال لموقع ZDNet لأبحاث كاسبرسكي نُشر في مايو 2016 ذُكر أنه “وفقًا لدراسات باحثي كاسبرسكي لاب، فإن أكبر ثلاث أنواع لبرامج انتزاع الفدية المستخدمة بشكل كبير خلال الربع الأول من العام هي:
- Teslacrypt بنسبة 58.4 بالمئة.
- CTB-Locker بنسبة 23.5 بالمئة.
- Cryptowall بنسبة 3.4 بالمئة
أُصيبت كل الضحايا تقريبًا لعام 2016 من خلال هذه الأنواع الثلاثة بشكل أساسي، من خلال رسائل البريد الإلكتروني العشوائية التي تحتوي على مرفقات ضارة أو روابط لصفحات ويب ملغمة.
بحلول منتصف عام 2016، عزز Locky مكانته كواحد من أكثر أنواع برامج انتزاع الفدية استخدامًا، حيث أفادت أبحاث PhishMe أن استخدام Locky قد تجاوز CryptoWall في وقت مبكر من فبراير 2016.
كان عام 2016 عامًا محوريًا بالنسبة لهجمات برامج انتزاع الفدية ونقطة تطورها بشكل مفاجئ ومخيف للغاية، تُشير تقارير CSO الصادرة في أوائل عام 2017 إلى أن برامج الفدية ألحقت خسائر للشركات والأفراد بإجمالي مليار دولار.
عندما نتحدث عن عام 2017، فمن الضروري ذكر أبرز فيروس عانت منه البشرية كثيرًا وألحق بها خسائر لا تُحصى ولا تُعد، ألا وهو برنامج انتزاع الفدية Wanacry، هذه البرمجية الخبيثة استهدفت أكثر من 100 ألف جهاز حاسوب حول العالم في يومين فقط، وأصابت العديد من المصالح الحكومية حول العالم مثل دائرة الصحة الوطنية فى المملكة المتحدة وشركة الاتصالات الاسبانية تليفونيكا و FedEx فى الولايات المتحدة الأمريكية من بين عشرات الالاف من الضحايا الآخرين، لا يقوم هذا البرنامج بتدمير الملفات بل يُشفرها ويطلب فدية من صاحب الجهاز تتراوح بين 300-600$، ومن بعض المصادر أن هجمات Wanacry حصدت حوالي 8 مليار دولار لصالح مطوريها في أكثر من 100 دولة حول العالم، حقًا فإن اسمه على مُسمى لقد أبكى الملايين من الضحايا.
في أواخر يوليو الماضي لعام 2020، كانت شركة جارمن حديث الكثير من المواقع الإلكترونية لما سببته هذه الحادثة من ضجة ضخمة على وسائل التواصل الاجتماعي وهذا عن مدى خطورة هذا الهجوم الخبيث، حيث تعطّلت عدّة خدمات ووظائف تقدمها شركة جارمن، بما في ذلك مزامنة الأجهزة مع السحابة وأدوات البرامج التجريبية، بسبب هجوم إنتزاع الفدية شفَّر الشبكة الداخلية لشركة صناعة الساعات الذكية وبعض أنظمة الإنتاج.
وتُشير المعلومات المتاحة أن البرنامج المستخدم في هذا الهجوم هو برنامج WastedLocker الذي كان مبرمج ومُعدّل للهجوم على شركة Garmin المشهورة، بعد تفاوض طويل تعدى مدة الأسبوع دفعت الشركة مبلغ الفدية ولم تحدد قيمتها رسميًا، ولكن حسب الشائعات فإن الفدية كانت بما يقارب 10 ملايين دولار.
لم تتوقف برامج انتزاع الفدية من الانتشار، ففي يومنا هذا ما زالت تصيب الكثيرين وتُرغمهم على خسائر غير محسوبة لها أبدًا. قبل 24 ساعة من الآن أُصيب أحد أكبر مزودي الرعاية الصحية في الولايات المتحدة وعلى ما يبدو أنه هجوم انتزاع فدية منسق له للغاية، خلال عطلة نهاية الأسبوع بدأت المستشفيات في الولايات المتحدة التي تديرها Universal Health Services بملاحظة مشاكل في أنظمة تكنولوجيا المعلومات الخاصة بها، وأبلغ بعض الموظفين عن عدم تمكنهم من الوصول إلى أجهزة الكمبيوتر الخاصة بهم.
في البداية كان يظهر على أنه مشكل تقني فقط، ولكن بعد البحث والتحقيق المستمر ظهر على أنه بروز جديد لبرنامج انتزاع الفدية يشق طريقه لإكتساب ثروة مخططة لها من قبل، لم يستسلم المستشفى إلى الآن بل إنه يعزز من البروتوكولات الأمنية المكثفة ويعمل بجد لإصلاح المشاكل في أسرع وقت ممكن.
مستقبل برامج انتزاع الفدية
تؤدي هذه الحوادث الخطرة إلى دفع برامج انتزاع الفدية نحو عصر جديد، أين يُمكن لمجرمي الإنترنت بسهولة تكرار الهجمات الصغيرة وتنفيذها ضد الشركات الأكبر بكثير، والمطالبة بمبالغ فدية أكبر. في حين أن بعض الضحايا قادرون على تخفيف الهجمات واستعادة ملفاتهم أو أنظمتهم دون دفع فدية، ولكن هذا يتطلب خبرة واسعة في مجال الأمن المعلوماتي وتتبع دقيق لسارق الملفات وفي أغلب الأحيان لا يترك لك المخترق أي أمل في استرجاع ملفاتك.
حتى دفع الفدية لا يضمن حصولك على ملفاتك وهذا ما قام به CryptoLocker “ابتزاز 3 ملايين دولار من المستخدمين، لكنه لم يفك تشفير أي ملفات رغم دفع المبلغ المطلوب”. فوفقًا لتقارير CNET “وجدت دراسة استقصائية من Datto أن المهاجمين لم يكشفوا عن بيانات الضحايا في حالة واحدة من كل أربع حالات تم فيها دفع الفدية”.
في الأخير، يُمكن القول أن برامج انتزاع الفدية تركت وخلفت فجوة كبيرة وواسعة في الإنترنت، إذ أنها جعلت حرية الاستعمال عند المستخدمين تنعدم شيئًا فشيئًا، وأصبحت خطرًا مقلقًا يُحسب له ألف حساب. ما عسانا نقول، يجب على كل شخص أن يأخذ حذره من كل رسالة مشبوهة تأتيه أو أي ترغيبات ملغمة على البريد الإلكتروني، أيضًا يجب على كل شخص يملك ملفات مهمة وضع نسخ احتياطية منها لاستردادها في أي وقت كان وكذلك التحديث المستمر والمنتظم للنظام.
بعض التطبيقات المضادة لبرامج انتزاع الفدية:
إن تعرضت لهجوم بإحدى برامج انتزاع الفدية، لا تقلق فإن هناك احتمال لاستعادة ملفاتك بدون الحاجة لدفع الفدية المالية، هناك مجموعة من الأدوات والبرامج والطرق التي تساعد في ذلك مثل:
- AVG anti-ransomware tool: يتميز بتوفيره عدة إضافات، وكل واحدة منها متخصصة في نوع محدد من برامج انتزاع الفدية، مفيد جدًا ومجاني كاملًا، يُمكنكم تحميله من هنا:
هذه هي الإرشادات التي نأمل أن تُجنبنا من أي خطر أو تهديد من برامج انتزاع الفدية، أو كما تُسمى بالشيطان اللاحق الذي لطالما استمر بملاحقتنا في أي زمان أو مكان كنا!
