أنشطة "طلب الفدية" تهدّد الشركات: نظرة فاحصة على اختطاف "غارمن"

وقعت شركة "غارمن" Garmin، الشهيرة في تقنيات اللياقة البدنية ونظم تحديد المواقع GPS، في 23 يوليو الماضي، ضحية لهجوم رقمي لطلب الفدية عطّل خدماتها الإلكترونية واسعة الاستخدام لمدة ثلاثة أيام واحتجز شبكتها الداخلية وأنظمة الإنتاج في وضع تشفير مقابل فدية بقيمة 10 ملايين دولار . ويُعدّ هذا الحادث الكبير الأحدث في سلسلة متنامية من هجمات برمجيات الفدية الموجهة ضد الشركات الكبيرة.

وتعرّضت "غارمن" لهجوم بإصدار خاص من التروجان WastedLocker، أحد برمجيات الفدية التي تنشط بصورة ملحوظة منذ النصف الأول من هذا العام، والذي جرى تصميمه لاستهداف هذه الشركة على وجه التحديد، بعد أن زُوّد بالعديد من الجوانب التقنية غير العادية، جاء في مقدمتها تقنية خاصة لتجاوز تقنية "التحكم في وصول المستخدم" UAC. ويتحقق التروجان، بمجرد إطلاقه في الجهاز المخترق، مما إذا كان الجهاز يتمتع بما يكفي من امتيازات عالية، فإذا لم يكن الأمر كذلك يحاول رفع امتيازاته بهدوء من خلال خداع نظام العدّ الثنائي الرسمي للجهاز وجعله يطلق جسم التروجان المخفي في نظام ملفات NTFS بديل.

كذلك وجد الخبراء بعد تحليل عينة WastedLocker المستخلصة من هجوم "غارمن"، أنها استخدمت أحد مفاتيح RSA العامة في تشفير الملفات، وهو أسلوب تشفير ضعيف إلى حد ما لو جرى توزيع البرمجية الخبيثة على نطاق واسع، إذ يكفي أن تحتوي أداة فك التشفير البرمجية على مفتاح RSA خاص منفرد مناسب لفك تشفير جميع الملفات. أما لو كانت الحملة موجّهة، مثلما الحال مع "غارمن"، فيُعتبر مفتاح RSA المنفرد أسلوبًا فعالًا في اختطاف النظام وتشفيره.

وقال فيدور سينيتسين الخبير الأمني لدى كاسبرسكي، إن هذا الحادث يسلط الضوء على وجود "توجّه متزايد" نحو شنّ هجمات تشفير وطلب فدية موجّهة ضد الشركات الكبيرة، وفق نهج يخالف حملات الفدية الأكثر انتشارًا والتي كانت سائدة في السابق، مثل WannaCry وNotPetya، وأضاف: "عادة ما تكون الهجمات الموجّهة أكثر تعقيدًا وتدميرًا، بالرغم من استهدافها عددًا أقل من الضحايا، ولا وجود لما يشير إلى أنها ستنخفض في المستقبل القريب. لذلك من المهم أن تظل الشركات في حالة تأهب وحذر، وتتخذ الخطوات الضرورية المناسبة لحماية أنفسها".

يمكن الاطلاع على المزيد عن هجوم WastedLocker على شركة "غارمن" على Securelist.

ويوصي خبراء كاسبرسكي بضرورة اتباع التدابير التالية للحدّ من خطر التعرّض لهجوم WastedLocker وهجمات برمجيات الفدية الأخرى:

1. الحرص على تحديث نظام التشغيل والتطبيقات باستمرار بأحدث الإصدارات.
2. استخدام الشبكة الخاصة الافتراضية VPN لتأمين الوصول عن بعد إلى موارد الشركة.
3. استخدام حلّ أمني متطور عند النقاط الطرفية، مثل Kaspersky Endpoint Security for Business مع ميزة الكشف عن السلوك التخريبي ومحرك الإصلاح الذي يسمح بالتراجع التلقائي للملفات، بجانب عدد من التقنيات الأخرى للحماية من برمجيات الفدية.
4. تدريب الموظفين على مبادئ الأمن الرقمي، وتقدم بوابة Kaspersky Security Awareness في هذا المجال منتجات تدريب متطورة عبر الحاسوب تجمع بين الخبرة في مجال الأمن الرقمي وأفضل الممارسات في أساليب التعليم وتقنياته.
5. استخدام طريقة أو حلّ موثوق به للنسخ الاحتياطي للبيانات.