برمجية فدية خبيثة جديدة تستهدف أنظمة ويندوز ولينوكس

حذر خبراء الأمن من سلالة جديدة من برمجية فدية خبيثة تستهدف أنظمة لينكس Linux وويندوز Windows عبر عدد من الصناعات.

و تم اكتشاف هذه السلالة من قبل فريق بلاك بيري للبحث والذكاء BlackBerry Research and Intelligence Team بالاشتراك مع خدمات الاستجابة الرقمية البريطانية التابعة لشركة KPMG ، حيث أطلقوا عليها الاسم تايكون Tycoon

وتعمل هذه البرمجية الخبيثة من خلال هجمات مستهدفة بشكل كبير الشركات الصغيرة والمتوسطة في صناعات البرامج والتعليم.

و تعد هذه البرمجية أكثر خطورة ، لأنها لا تؤثر فقط على عائلة واحدة من الأجهزة ، ولكن تؤثر على كل من نظامي تشغيل ويندوز Windows ولينوكس Linux ، والتي يتم استخدامها على نطاق واسع عبر الصناعات المستهدفة.

و قد لاحظ الفريق أن البرمجية الخبيثة Tycoon يتم نشرها يدوياً على ما يبدو ، حيث يقوم المشغلون باستهداف الأنظمة الفردية وربط خادم RDP.

و بمجرد تحديد الهدف والتسلل إليه باستخدام بيانات اعتماد المسؤول المحلي ، يقوم المهاجم بتعطيل مضاد الفيروسات وتثبيت أداة معالجة القراصنة ProcessHacker كخدمة.

وتأخذ برمجية الفدية هذه شكل Java Runtime Environment (JRE) ، والذي يتهرب من الكشف عن طريق النسخ الخفي عبر تنسيق صورة جافا غامض ، و من ثم يتم تخزين إعدادات خيارات تنفيذ ملف الصورة (IFEO) في سجل Windows ، وذلك يبدو من أجل منح المطورين خيار تصحيح برامجهم عبر إرفاق تطبيق تصحيح أثناء تنفيذ التطبيق مستهدف.

وبمجرد تنفيذ برمجية الفدية على النظام ، ستقوم بتشفير خوادم الملفات ، ومن ثم تطلب فدية من الضحايا ، و أشار الباحثون في بلاك بيري BlackBerry إلى أن بناء JRE الخبيث المستخدم يدعم كلاً من إصدارات ويندوز Windows ولينوكس Linux ، مما يشير إلى أن المهاجمين يريدون استهداف أنظمة وخوادم متعددة .

و قالت بلاك بيري BlackBerry في مدونة كتبتها لشرح النتائج: “يبحث مطوري البرمجيات الخبيثة باستمرار عن طرق جديدة للطيران تحت الرادار”. و أضافت ” إنهم يبتعدون ببطء عن التشويش التقليدي ويتحولون إلى لغات برمجة غير شائعة وتنسيقات بيانات غامضة “

و تتابع في شرح الموجودات حيث قالت : ” لقد رأينا بالفعل زيادة كبيرة في برامج الفدية المكتوبة بلغات مثل جافا Java و Go. لكن هذه هي العينة الأولى التي واجهناها والتي تستغل على وجه التحديد تنسيق Java JIMAGE لإنشاء بنية JRE خبيثة مخصصة. “

و بحسب المدونة نفسها فإن الفريق يعتقد أن البرمجية الخبيثة Tycoon موجودة منذ مدة ستة أشهر على الأقل ، ولكن يبدو أن هناك عدداً محدوداً فقط من الضحايا. وهذا يشير إلى أن هذه البرمجية يمكن أنها تستخدم بشكل موجه جداً ، أو قد تكون أيضاً جزءاً من حملة أوسع باستخدام العديد من مفترحات برمجيات الفدية المختلفة ، اعتماداً على ما يعتبر أكثر نجاحاً في بيئات معينة. “

مقالات قد تعجبك :

اتهامات لجوجل بتتبع تصفح المستخدمين في وضع التصفح المخفي
كيفية نسخ الصور ومقاطع الفيديو من حساب فيسبوك إلى صور حساب جوجل
مراجعة ومواصفات هاتف سامسونج جالاكسي A31
برمجية دفع الفدية WannaCry التي أصابت الأجهزة العاملة بنظام التشغيل ويندوز
كيفية حماية الحاسوب من فيروسات انتزاع الفدية Ransomware
كيفية حماية أجهزة أندرويد من الفيروسات والبرمجيات الخبيثة

مايكروسوفت أنهت شبكة ضخمة لعمليات القرصنة عبر الانترنت

أصابت شبكة الاتصال Necurs أكثر من تسعة ملايين جهاز كمبيوتر وواحدة من أكبر شبكات البوتات في العالم.

حيث كانت Necurs مسؤولة عن عمليات احتيال إجرامية متعددة بما في ذلك سرقة المعلومات الشخصية وإرسال رسائل بريد إلكتروني ضارة مزيفة.

يستخدم مجرمو الإنترنت شبكات إلكترونية للاستيلاء عن بُعد على الأجهزة المتصلة بالإنترنت وتثبيت البرامج الضارة.

يمكن استخدام البرنامج لإرسال رسائل غير مرغوب فيها أو جمع معلومات حول نشاط المستخدم للكمبيوتر أو حذف المعلومات دون إخطار المالك.

قال توم بيرت، نائب رئيس شركة مايكروسوفت Microsoft لأمن العملاء والثقة، في منشور إن إنهاء شبكة Necurs كان نتيجة ثماني سنوات من التخطيط والتنسيق مع شركائنا في 35 دولة.

وكتب أن الخطوات التي تم اتخاذها ستضمن أن المجرمين وراء هذه الشبكة لن يعودوا قادرين على استخدام العناصر الأساسية في بنيتها التحتية لتنفيذ الهجمات إلكترونية جديدة.

ما هو البوتات Botnet؟

Botnets عبارة عن شبكات من الأجهزة المتصلة بالإنترنت التي تقوم بتشغيل مهام الآلية.

يستخدم مجرمو الإنترنت هذه الشبكات لإرسال برامج ضارة، تسمى هذه البرامج الضارة Malwares ، والتي يمكن أن توفر لهم الوصول عن بعد إلى جهاز كمبيوتر.

بمجرد وضع البرامج الضارة في مكانها، يمكن لهؤلاء المجرمين أن يأخذوا معلومات من الكمبيوتر أو يستخدموا الأجهزة المصابة لإرسال المزيد من الهجمات أو البريد العشوائي.

وبمجرد إصابة الجهاز يتم استخدامه لإرسال المزيد من هجمات البريد العشوائي أو البرامج الضارة، يُعرف باسم zombie.

كيف تمت عملية إنهاء الشركة؟

ظهرت Necurs لأول مرة في عام 2012، ويعتقد أن لديها شبكة تضم أكثر من تسعة ملايين جهاز كمبيوتر.

لتنمية هذه الشبكة، استخدمت Necurs خوارزمية توليد المجال التي أنشأت أسماء مجالات عشوائية وتحولت المجموعة إلى مواقع ويب. استخدمت هذه المواقع لإرسال الإرشادات إلى جيشها من أجهزة الكمبيوتر المصابة.

تمكنت مايكروسوفت Microsoft وشركاؤها من كسر خوارزمية Necurs والتنبؤ بأسماء النطاقات التي ستستخدمها في الأشهر المقبلة وحظرها.

هل يتأثر جهازك الكمبيوتر بالبرامج الضارة؟

كانت Necurs واحدة من أكبر شبكات البرمجيات الضارة في العالم، لكنها لم تكن وحدها.

بعض العلامات التي قد تشير إلى وجود برامج ضارة على جهازك:

  • تبدأ البرامج في العمل ببطء أو تستغرق وقتاً أطول لفتحها
  • يتعطل الكمبيوتر بشكل منتظم ويحتاج إلى إعادة التشغيل
  • تمتلئ المساحة على القرص الصلب لجهاز الكمبيوتر دون سابق إنذار
  • يتم إرسال رسائل البريد الإلكتروني العشوائي إلى جهات الاتصال من حسابك

Malwares عبارة عن مصطلح واسع لأي برامج ضارة تهاجم، الأنواع الأكثر شيوعاً هي البرامج التي تقوم بنسخ البيانات أو مراقبة تصرفات المستخدم على جهازهم الكمبيوتر أو حذف المعلومات من جهاز ما لم يتم دفع فدية.

مقالات قد تعجبك:

ما هي ملفات CSV؟ وكيف يمكن فتحها وإنشاؤها؟
كيفية فتح وإنشاء وتحرير ملفات وورد وإكسل وباوربوينت مجاناً
أسرع الطرق للبحث عن الملفات في ويندوز
كيفية تحديد معلومات جهاز أندرويد لتحميل ملفات APK الصحيحة
كيفية استعادة الملفات من كمبيوتر معطّل

عودة فايروس الفدية WannaCry

أفاد تقرير صادر عن صحيفة Seattle Times أن أحد المصانع التابعة لشركة بوينغ Boeing في مدينة Charleston جنوب ولاية  Carolina قد تعرّض يوم الأربعاء لهجمة إلكترونية بواسطة برمجيات الفدية المعروفة باسم WannaCry ransomwear.

وأرسل Mike VanderWel كبير المهندسين في شركة بوينج التجارية لإنتاج الطائرات مذكرة على مستوى الشركة تحذّر من هذا الهجوم.

وجاء في مذكرة التحذير أن هذه البرمجيات تنتشر بسرعة من شمال مدينة Charleston وأن بعض آليات التجميع الاتوماتيكية قد تكون قد تضررت بشكل كامل بسبب تلك الهجمات الإلكترونية.

وتشعر الشركة بالقلق من أن تلك البرمجيات قد تصيب المعدات المستخدمة في اختبارات الطيران الوظيفية، مما قد يؤدي إلى انتقال الأثر الضار إلى برمجيات الطائرات.

فايروس الفدية WannaCry يعتمد بشكل أساسي على ثغرة حرجة في نظام ويندوز، وكانت إدارة الرئيس الأمريكي دونالد ترامب قد اتهمت وحدة الإرهاب الإلكتروني في كوريا الشمالية منذ كانون الأول في العام الماضي.

وذلك بعد انتشار الفايروس بشكل مخيف بدءاً منذ شهر أيار الماضي وتسبّب بحدوث إنذار واسع النطاق على مستوى العالم.

حيث أصيبت المستشفيات في المملكة المتحدة بالشلل في الموجة الأولى من الهجوم، ثم بدأت تظهر أشكال الفايروس في أكثر من 150 دولة بعد مرور بضعة أسابيع فقط.

يعمل هذا الفايروس عن طريق إغلاق الأجهزة أو قفلها، مما يدفع أصحاب النظام إلى دفع فدية عادةً على شكل عملات رقمية لحل المشكلة واستعادة عمل الأجهزة المصابة.

وكانت شركة مايكروسوفت قد أصدرت عدة تحديثات للحد من انتشار الفايروس ولكن على ما يبدو فإن ذلك لم يزيله تماماً.

 

مقالات قد تعجبك:
برمجية دفع الفدية WannaCry التي أصابت الأجهزة العاملة بنظام التشغيل ويندوز
FBI تعتقل الخبير الأمني الذي أوقف انتشار فايروس الفدية WannaCry
فيسبوك يعترف بأن مشكلة رسائل الـSMS سببها ثغرة برمجية
اكتشاف ثغرة جديدة في iOS وآبل وعدت بإصلاحها
مايكروسوف تصدر التحديث الأمني الثاني للتعامل مع ثغرة Spectre

 

ضحايا فايروس Petya لن يمكّنهم دفع الفدية من استعادة ملفاتهم

بعد أن تسبب فايروس Petya  بآلاف الإصابات (لمزيد من المعلومات عن الفايروس اقرأ المقالة من هنا ولكن لا تنسى العودة لقراءة باق الخبر) ، مشكلة جدية تواجه ضحايا فايروس الفدية Petya حيث قام مزود البريد الألماني Posteo بحظر البريد الإلكتروني الذي يستخدمه مصمموا الفايروس من أجل إتمام عملة دفع الفدية .

الخبراء نصحوا الضحايا بعدم دفع أي مبلغ من أجل فك التشفير وذلك لأنه من غير الواضح فيما إذا كان الهاكرز بإمكانهم أن يفكوا تشفير النظام عند هذه النقطة .

المشكلة تكمن في أن Petya تستخدم طريقة فريدة ومغايرة من أجل الحصول على أموال الفدية . حيث أن معظم برامج الفدية تستخدم محفظة مفردة لتلقي الأموال بعملة البيتكوين وذلك من أجل كل إصابة جاعلة من السهل معرفة من هو الضحية المسؤول عن كل عملية دفع .

الفايروس Petya يطلب من الضحايا دفع 300 دولار إلى نفس محفظة البيتكوين ثم يطلب من المستخدمين إرسال بريد إلكتروني إلى الإيميل wowsmith123456@posteo.net يحوي رقم الدفع والمعرف النوعي من أجل تأكيد عملية الدفع واستقبال رمز فك التشفير .

الشركة الألمانية Posteo أعلنت بعيد انتشار الهجمات  أنها حظرت البريد الإلكترني الخاص بالمبتزين مانعة إياهم من استقبال أو قراءة أي رسالة . كما قامت بحظر أي بريد إلكتروني مرسل إلى الإيميل السابق .

” نحن لن نتسامح مع سوء استخدام خدماتنا “ عقبت الشركة الألمانية وأضافت ” الحظر المباشر للحسابات البريدية التي تسيء استخدام الخدمة هو الإجراء الضروري في مثل هكذا حالات “.

الضحايا الآن في وضع صعب . بعض الضحايا نجحوا في في دفع الفدية من أجل فك تشفير ملفاتهم بطريقة أو بأخرى ولكن الانتشار الواسع للفايروس عبر العالم تجعل مثل هكذا دفع مستحيلا دون الاعتماد على البريد الالكتروني .

من غير الواضح إذا ما تم فك تشفير الأنظمة المصابة بعد الدفع وذلك قبل حظر البريد الإلكتروني الخاص بالمخترقين على الرغم أن حوالي 20 ضحية قد دفعوا الفدية .

الشركات مازال بإمكانها أن تدفع الأموال إلى عنوان البيتكوين الذي يظهر في شاشة طلب الفدية للحواسيب المصابة . ولكن مع حظر البريد الإلكتروني فإنه من الصعب لوجيستياً بالنسبة للمهاجمين أن يفوا بوعدهم ويقوموا بفك التشفير .