بعد الهجوم الإلكتروني الكبير بفيروس الفدية WannaCry على آلاف الأجهزة العاملة بنظام التشغيل ويندوز في حوالي مئة دولة حول العالم في مايو الماضي، ظهرت منذ أيام قليلة برمجية انتزاع فدية جديدة تدعى Petya، والتي تعتبر البرمجية الخبيثة الأقوى، بحيث بدأت بالانتشار في المؤسسات الحيوية كالبنوك والمطارات في عدة دول حول العالم، وأكبر المتضررين كان روسيا وأوكرانيا.

وفي حين لايزال العامل الذي يسبب الإصابة بهذه البرمجية الخبيثة غير واضح حتى الآن، فإن من المحتمل أنها تحاول الانتشار إلى الأنظمة الأخرى عبر بروتوكول SMB اعتماداً على الثغرة الموجودة في أنظمة مايكروسوفت ويندوز، وتم إصلاحها في شهر أبريل الماضي من قبل مايكروسوفت، إلا أن بعض المؤسسات لم تثبت هذه التحديثات، مما جعلها عرضة للهجمات التي تستغل هذه الثغرة.

Ad

والمعروف عن فيروسات الفدية المسماة Ransomware أنها نوع من الفيروسات التي تصيب أجهزة الكمبيوتر، وبعدها تمنع المستخدم من الوصول إلى نظام التشغيل، أو تشفر جميع البيانات المخزنة على جهاز الكمبيوتر، وتطلب من المستخدم فدية مقابل فك تشفير الملفات، أو السماح بالوصول مرة أخرى إلى نظام التشغيل.

وصف هذا الهجوم إلكتروني الجديد بأنه الأول من نوعه، ولم يسبق له مثيل بعد ضربه أجهزة الكمبيوتر في أكبر الشركات والمؤسسات الحيوية في أوروبا، وقالت شركة الأمن الإلكتروني Group IB التي تتخذ من موسكو مقراً لها، إن البرمجية تم تطويرها بجهد مشترك من عدة أطراف لاستهداف ضحايا ضمن روسيا وأوكرانيا.

اضطراب عالمي

كما تضررت من الهجمات شركات في دول أخرى مثل إسبانيا والدنمارك، وإضافة إلى إن القراصنة استغلوا الشيفرة التي طورتها وكالة الأمن القومي الأميركية، والتي تم تسريبها على الإنترنت، ثم استخدمت في هجوم الفدية الشهير WannaCry الذي تسبب في اضطراب عالمي في شهر مايو الماضي.

وأطلق باحثون من شركات متعددة اسم Petya على برمجية انتزاع الفدية، هذه البرمجية الخبيثة تجعل أجهزة الحاسب غير صالحة للتشغيل عن طريق تشفير محركات الأقراص الصلبة، وتطالب بفدية مقابل مفتاح رقمي لاستعادة الوصول.

وقالت شركة الأمن الإلكتروني F-Secure إن هذه الهجمات تشبه بشكل كبير WannaCry بل هي أقوى. وأضافت أنه من المحتمل جداً أن يكون الهجوم قد استغل أداة القرصنة التي طورتها وكالة الأمن القومي الأميركية، وتتوقع أن يتم الإبلاغ عن تفشي الفيروس في أميركا قريبا. وأضافت أن لا شيء سيوقف Petya الآن، وهذا قد يصيب الولايات المتحدة على نحو سيئ للغاية.

وقالت شركة إعلامية أوكرانية متضررة من الهجوم الإلكتروني، إن أجهزة الكمبيوتر الخاصة بها قد تم حظرها، وأنها تلقت طلبا بقيمة 300 دولار من العملة المشفرة bitcoin لاستعادة إمكان الوصول إلى ملفاتها. وجاء في رسالة القراصنة: «إذا كنت ترى هذا النص، فإن ملفاتك لم تعد متاحة، لأنها قد شفرت. ربما أنت مشغول الآن في البحث عن وسيلة لاستعادة ملفاتك، ولكن لا تضيع وقتك. لا أحد يستطيع استعادة ملفاتك دون خدمة فك التشفير خاصتنا».

ليس لها مثيل

وشملت قائمة الشركات الأخرى التي قالت إنها تعرضت لهجوم إلكتروني مفترض كلا من شركة الشحن الدنماركيةA.P. Moller-Maersk وشركة صناعة المعادن الروسية Evraz، وشركة مواد الإنشاءات الفرنسية Saint Gobain وأكبر وكالة إعلان عالمية WPP، ومع ذلك ليس من الواضح ما إذا كانت مشكلاتها ناجمة عن الفيروس نفسه. وسارعت شركات الأمن لفهم نطاق تأثير الهجمات، والسعي إلى تأكيد شكوك بأن القراصنة قد استغلوا نفس أداة القرصنة WannaCry لتحديد سبل وقف الهجوم.

وظهرت التقارير الأولى عن الاضطراب من روسيا وأوكرانيا، مع وصف رئيس الوزراء الأوكراني فولوديمير غروسمان الهجمات على بلاده بأنها لم يسبق لها مثيل. وقال مستشار لوزير الداخلية الأوكراني إن الفيروس دخل إلى أنظمة الحاسب عن طريق رسائل كتبت باللغتين الروسية والأوكرانية بهدف جذب الموظفين لفتحها. وقال مدير مطار بوريسبيل في العاصمة، إن المطار تعرض للهجوم أيضا. وذكر في منشور له على موقع فيسبوك: «فيما يتعلق بالوضع غير النظامي، فإن بعض التأخير فى الرحلات ممكن الحدوث». وقال نائب رئيس الوزراء الأوكراني إن شبكة الحاسب الحكومية قد توقفت ونشر صورة على «تويتر» لشاشة حاسب مع رسالة خطأ. وأضاف البنك المركزي الأوكراني أن عددا من البنوك والشركات، بما فى ذلك الشركة الوطنية للطاقة الكهربائية، أصيب بهجوم إالكتروني عطل بعض العمليات. وذكر البنك، في بيان، أنه نتيجة لهذه الهجمات، تواجه هذه البنوك صعوبات في خدمات العملاء والقيام بعمليات مصرفية.

دفع الفدية

نجحت هجمات الفدية Petya في إصابة أكثر من 300 ألف حاسب خلال فترة قصيرة من الزمن مع قفل أجهزة المتضررين ومطالبتهم بدفع فدية تصل إلى 300 دولار لفك تشفير الملفات. وبحسب موقع Motherboard، فإن دفع الفدية لن يؤدي إلى فك تشفير تلك الملفات لأن آلية الدفع تختلف، فعادة ما يتم توفير بوابة مباشرة لدفع الفدية وفك التشفير بشكل مباشر، إلا أن القائمين على الهجمات الجديدة طالبوا المستخدم بتحويل المبلغ إلى حساب محدد، ثم طلبوا إرسال رسالة بريدية تحتوي على رقم الذي قام بالتحويل وعلى الرقم الظاهر على الحاسب المتضرر لفك تشفير الملفات عن بعد.

ويعتمد المخترقون في هجمات Petya على بريد Posteo الألماني، الذي قام القائمون عليه بحظر العنوان البريدي الذي يتسلم رسائل الدفع، وبالتالي لن يتمكن المخترق من الوصول إلى بريده والاطلاع على من دفع الفدية لفك تشفير ملفاته.

ودفع أكثر من 20 شخصا على الأقل الفدية، ليحصل المخترقون بذلك على ما لا يقل عن 6000 دولار أميركي بعملة Bitcoin، دون أن يتمكنوا من فك تشفير الملفات حتى اللحظة. ولا يعرف حتى الآن مصير المتضررين الذين دفعوا الفدية، والذين لم يدفعوها كذلك، فلا تفاصيل عن نجاح أي متخصص أو باحث أمني في فك التشفير دون دفع الفدية.

تحديات جديدة

لذلك تواجه مايكروسوفت تحديات جديدة فيما يتعلق بالتعرف على الفيروسات والبرمجيات الخبيثة وحذفها أو منع وصولها، بهذا الصدد تطور منهجية جديدة بالتعامل، حيث ستستخدم حواسب ويندوز 10 المتصلة بالإنترنت لحماية المستخدمين، بدءا من التحديث الكبير القادم Fall Creators Update سيمكن لويندوز 10 أن يستفيد من أحد الأجهزة العاملة بنفس النظام، والذي التقط نظام الحماية فيه برمجية خبيثة أو تعرف على سلوك خبيث أن يبلغ بقية الحواسب حول العالم بذلك لحمايته ومنعه. هذا يعني أن مايكروسوفت ستستخدم 400 مليون حاسب يعمل بنظام ويندوز 10 لحماية حاسبك.

مع نظام الحماية الجديد ATP Advanced Threat Protection في برنامج Windows Defender فإنه سيستخدم تعلم الآلة من بقية حواسب ويندوز 10 حول العالم لمنع انتشار أي برمجيات خبيثة على مستوى عالمي، كما حصل مع WannaCry و Petya.

ولن يكتفي نظام الحماية بالانتظار لوصول فيروسات للحماية منها، بل سيكون بمراقبة سلوك التطبيقات لاكتشاف الفيروسات، مثلا لو استهلك أحد التطبيقات قدر كبير من الذاكرة العشوائية يفوق المعتاد، فإنه سيشك بوجود إصابة ببرمجية خبيثة ويستخدم نماذج تعلم الآلة والمقارنة مع برامج وتطبيقات مشابهة لمنع الفيروس، وبالنهاية يتم مشاركة هذه المعرفة مع بقية مستخدمي حواسب ويندوز 10. إذن ستستخدم مايكروسوفت السحابة المتصلة بالإنترنت لتعليم بقية حواسب المستخدمين، وكذلك الحصول على تغذية راجعة منهم. تفيد هذه المنهجية الجديدة بشكل أكبر في منع انتشار البرمجيات الخبيثة العالمية الكبيرة، أكبر مما تفيد بمنع الفيروسات الجديدة أو الصغيرة.

أجهزة ويندوز 7 الأكثر تضرراً

نشرت شركة الأمن الشهيرة كاسبرسكي إحصائية تظهر انتشار ضحايا برمجية انتزاع الفدية التي ضربت العالم، وكانت معظم الأجهزة المصابة تعمل بنظام ويندوز 7. وبحسب بيانات الشركة، فإن 98 في المئة من الحواسب المصابة بالبرمجية تعمل بنظام ويندوز 7 بمختلف إصداراته، في حين كانت نسبة الإصابة لنظام ويندوز 10 لا تزيد على 0.03 في المئة، وعلى مستوى الشركات فإن نظام ويندوز 2008 R2 بمختلف إصداراته كانت نسبته أعلى من 1 في المئة.

من الطبيعي أن يكون ويندوز 7 الأعلى إصابة، نظرا إلى انتشاره الواسع في العالم، حيث تصل حصته السوقية أربعة أضعاف حصة ويندوز 10. ومن المهم الإشارة إلى أن مايكروسوفت أرسلت تحديثا أمنيا يسد الثغرة التي استغلتها البرمجية قبل أسابيع من شنها، لكن أغلبية المستخدمين لا يحدثون أنظمة تشغيل حواسيبهم، ما يجعلهم عرضة لمثل هذه المخاطر.