فيروس الفدية يضرب مجددا.. والجهات الحكومية تستنفر
الأربعاء - 28 يونيو 2017
Wed - 28 Jun 2017
بعد 45 يوما من وقوع هجمات الكترونية طالت عددا من دول العالم، عاد فيروس الفدية ليضرب مجددا أمس، ولكن ببرمجية تختلف عن سابقتها، وهو ما دعا مركز الأمن الالكتروني التابع لوزارة الداخلية في السعودية لإطلاق تحذيرات مبكرة للجهات الحكومية والمصالح الحيوية للتنبه من تسلل الفيروس الجديد لأنظمتها وأجهزتها.
وعلى الرغم من تمتع الجهات الحكومية بإجازة رسمية، إلا أنها استنفرت لسد كامل الثغرات التي يمكن أن يستغلها المهاجمون في الولوج إلى أنظمتها وتشفير المعلومات.
وأبلغ «مكة» المدير التنفيذي للتخطيط الاستراتيجي والتواصل في مركز الأمن الالكتروني الدكتور عباد العباد أن المركز عمل منذ اللحظة الأولى لاكتشاف الهجمات على التأكد من حماية المنشآت الوطنية وبنيتها التحتية، والنأي بها عن التعرض للهجمات، لافتا إلى أنه حتى عصر أمس لم يثبت تسجيل أي إصابات داخل السعودية.
تشفير متشابه
ومع أن البرمجية الخبيثة للهجمات الجديدة المسماة Petya تعتمد على أسلوب تشفير المعلومات نفسه لدفع الفدية، إلا أنها تختلف عن هجمات WannaCry التي تعرض لها عدد من دول العالم، ومنها السعودية، منتصف مايو الماضي، إذ أوضح العباد أن البرمجية الجديدة تحاول الاستحواذ على صلاحيات المشرفين بحيث تتمكن من التحكم بالأنظمة عن طريق الملفات، موضحا أن هذا التطور دفع بمركز الأمن الالكتروني إلى مشاركة التحذيرات مع مسؤولي أمن المعلومات في الجهات الحكومية والحيوية لسد الثغرات التي يمكن أن يلج منها المهاجمون.
وأفاد العباد بأن المهاجمين يعمدون في العادة إلى تنفيذ هجماتهم في أوقات الإجازات كما حدث في استهداف المؤسسات الصحية البريطانية، وذلك بهدف الاستحواذ على أكبر قدر ممكن من الملفات دون أن يتنبه إليهم المسؤولون عن أمن المعلومات.
ألفا جهاز
ضربت البرمجية الخبيثة الجديدة عددا من دول العالم حتى أمس، منها روسيا وأوكرانيا وفرنسا وألمانيا وبريطانيا، وغيرها، فيما فاق عدد الأجهزة التي تعرضت للهجمات حاجز الـ2000 جهاز، طبقا للعباد، مما يشير إلى أن التوزيع الجغرافي للدول المتضررة ينفي سيناريو أن يكون الهدف من الهجمات تجسسيا أو تدميريا أو عدائيا.
وتبقى احتمالية وصول هجمات الفدية للسعودية سيناريو محتملا، بحسب المدير التنفيذي للتخطيط الاستراتيجي والتواصل في مركز الأمن الالكتروني الذي ذكر أن جميع الإجراءات التي اتخذت حتى اللحظة تعد وقائية، مشددا على أنه في حال تعرض الجهات الحكومية للهجوم، فإن المركز على أهبة الاستعداد للاستجابة لأي طارئ.
45 يوما بين هجومين
تعرض عدد من دول العالم إلى هجومين خبيثين في فترة لا تتجاوز الـ45 يوما، وكل منهما يعتمد أسلوب حجز وتشفير الملفات لطلب الفدية.
كيف تعمل البرمجية الخبيثة الجديدة؟
أوضح مركز الأمن الالكتروني عبر تغريدات له في حسابه الرسمي على «تويتر» طريقة عمل البرمجية الجديدة التي ضربت عددا من دول العالم.
1 تنتشر عن طريق استخدام البريد التصيدي Phishing Email، واستغلال الثغرة MS17-010.
2 تمتلك خاصية الانتشار عن طريق برامج التحكم عن بعد مثل PSEXEC وWMIC.
3 تستطيع البرمجية الجديدة الكتابة على MBR وتشفيره.
ما هي التوصيات الواجب اتباعها؟
1 حجب برنامج PsExec
2 عمل تحديثات مايكروسوفت MS17-010
3 وجود نسخ احتياطية معزولة عن الشبكة
4 تحديث الأجهزة وبرامج المكافحة
5 مراجعة جميع المنافذ المفتوحة على الشبكة، والتي يمكن الوصول إليها عن طريق الانترنت
6 إقفال منافذ 139 و135 و445
وعلى الرغم من تمتع الجهات الحكومية بإجازة رسمية، إلا أنها استنفرت لسد كامل الثغرات التي يمكن أن يستغلها المهاجمون في الولوج إلى أنظمتها وتشفير المعلومات.
وأبلغ «مكة» المدير التنفيذي للتخطيط الاستراتيجي والتواصل في مركز الأمن الالكتروني الدكتور عباد العباد أن المركز عمل منذ اللحظة الأولى لاكتشاف الهجمات على التأكد من حماية المنشآت الوطنية وبنيتها التحتية، والنأي بها عن التعرض للهجمات، لافتا إلى أنه حتى عصر أمس لم يثبت تسجيل أي إصابات داخل السعودية.
تشفير متشابه
ومع أن البرمجية الخبيثة للهجمات الجديدة المسماة Petya تعتمد على أسلوب تشفير المعلومات نفسه لدفع الفدية، إلا أنها تختلف عن هجمات WannaCry التي تعرض لها عدد من دول العالم، ومنها السعودية، منتصف مايو الماضي، إذ أوضح العباد أن البرمجية الجديدة تحاول الاستحواذ على صلاحيات المشرفين بحيث تتمكن من التحكم بالأنظمة عن طريق الملفات، موضحا أن هذا التطور دفع بمركز الأمن الالكتروني إلى مشاركة التحذيرات مع مسؤولي أمن المعلومات في الجهات الحكومية والحيوية لسد الثغرات التي يمكن أن يلج منها المهاجمون.
وأفاد العباد بأن المهاجمين يعمدون في العادة إلى تنفيذ هجماتهم في أوقات الإجازات كما حدث في استهداف المؤسسات الصحية البريطانية، وذلك بهدف الاستحواذ على أكبر قدر ممكن من الملفات دون أن يتنبه إليهم المسؤولون عن أمن المعلومات.
ألفا جهاز
ضربت البرمجية الخبيثة الجديدة عددا من دول العالم حتى أمس، منها روسيا وأوكرانيا وفرنسا وألمانيا وبريطانيا، وغيرها، فيما فاق عدد الأجهزة التي تعرضت للهجمات حاجز الـ2000 جهاز، طبقا للعباد، مما يشير إلى أن التوزيع الجغرافي للدول المتضررة ينفي سيناريو أن يكون الهدف من الهجمات تجسسيا أو تدميريا أو عدائيا.
وتبقى احتمالية وصول هجمات الفدية للسعودية سيناريو محتملا، بحسب المدير التنفيذي للتخطيط الاستراتيجي والتواصل في مركز الأمن الالكتروني الذي ذكر أن جميع الإجراءات التي اتخذت حتى اللحظة تعد وقائية، مشددا على أنه في حال تعرض الجهات الحكومية للهجوم، فإن المركز على أهبة الاستعداد للاستجابة لأي طارئ.
45 يوما بين هجومين
تعرض عدد من دول العالم إلى هجومين خبيثين في فترة لا تتجاوز الـ45 يوما، وكل منهما يعتمد أسلوب حجز وتشفير الملفات لطلب الفدية.
- الفيروس السابق: WannaCry
- الفيروس الحالي: Petya
كيف تعمل البرمجية الخبيثة الجديدة؟
أوضح مركز الأمن الالكتروني عبر تغريدات له في حسابه الرسمي على «تويتر» طريقة عمل البرمجية الجديدة التي ضربت عددا من دول العالم.
1 تنتشر عن طريق استخدام البريد التصيدي Phishing Email، واستغلال الثغرة MS17-010.
2 تمتلك خاصية الانتشار عن طريق برامج التحكم عن بعد مثل PSEXEC وWMIC.
3 تستطيع البرمجية الجديدة الكتابة على MBR وتشفيره.
ما هي التوصيات الواجب اتباعها؟
1 حجب برنامج PsExec
2 عمل تحديثات مايكروسوفت MS17-010
3 وجود نسخ احتياطية معزولة عن الشبكة
4 تحديث الأجهزة وبرامج المكافحة
5 مراجعة جميع المنافذ المفتوحة على الشبكة، والتي يمكن الوصول إليها عن طريق الانترنت
6 إقفال منافذ 139 و135 و445
