لقد تطور سوق برامج الفدية. وصلت سلالة جديدة من العوامل الضارة. وتتميز بالخلسة وقد جعلت الضحايا في العديد من شركات الاتصالات والوكالات الحكومية والمؤسسات المصرفية وما إلى ذلك. وقد دفعت هذه الهجمات أقسام تكنولوجيا المعلومات في الشركات في جميع أنحاء العالم إلى البقاء في حالة تأهب. تم إصدار تحذيرات تفصيلية للعمال بعدم فتح مرفقات البريد الإلكتروني غير الآمنة ولتجنب زيارة مواقع الويب المشبوهة وتطبيقات الجهات الخارجية. تُعرف هذه الأدوات من الناحية الفنية باسم برامج الفدية بدون ملفات أو بدون برامج ضارة ، وهي تهديد كبير. يستخدمون لغة البرمجة النصية من Microsoft PowerShell لاستهداف المؤسسات باستخدام المستندات و / أو التطبيقات التي تعمل عبر وحدات الماكرو.
كل ما تحتاج لمعرفته حول Fileless Ransomware
ما هو بوويرشيل?
تُستخدم PowerShell ، وهي لغة برمجة موجهة لأتمتة المهام ، في نظام التشغيل MS مع أكثر من 100 أداة لسطر الأوامر.
ما الذي تفعله رانسومواري Fileless إلى PowerShell?
تستخدم Ransomware البرامج النصية أو وحدات الماكرو التي تستند إلى PowerShell لتشفير الملفات. هذا يختلف عن برامج الفدية التقليدية التي قامت بتشفير الملفات المستندة إلى البيانات.
نظرة عامة على الهجمات بلا ملفات
من بين أكبر الاختراقات في التاريخ تم ارتكابها بلا حيلة. في عام 2016 ، سرق شخص ما بعض المستندات من اللجنة الوطنية الديمقراطية (DNC) التي تم الإفراج عنها بعد ذلك للتأثير على الانتخابات الرئاسية في ذلك العام. تم ذلك من خلال رسائل البريد الإلكتروني للتصيد الاحتيالي التي تم تسليم روابط مخترقة إلى عمال DNC. عند النقر ، انطلق الهجوم للعمل من خلال PowerShell و WMI.
وفقًا لـ Charles Gaughf ، قائد الأمان مع (ISC) ² ، NPO للأمان عبر الإنترنت ، تتم استضافة الهجمات بدون ملفات بشكل عام عن طريق روابط التصيد ومواقع القيادة.
ضرب هجوم آخر باستخدام وسائط غير ملفية أكثر من 140 بنكًا ومنظمة مالية من أكثر من 40 دولة في بداية عام 2023. دخل المهاجم إلى النظام باستخدام خادم لم يتم إصلاحه.
ثم قام بتحميل كود مخترق في الذاكرة باستخدام البرامج النصية PowerShell وتسجيل Windows.
علاوة على ذلك ، تمكن المهاجمون من التحكم في الأنظمة باستخدام أدوات النظام القياسية التي تتكون من أدوات سطر الأوامر مثل NETSH و SC.
سمح لهم هذا الوصول عن بعد بإعداد برامج ATMitch الخبيثة المقيمة في الذاكرة. تم ذلك على أجهزة الصراف الآلي التي أمرت بعد ذلك بإخراج أموالهم. أمسك المهاجمون هذه الأموال وغادروا. نظرًا لعدم وجود ملفات على أي أنظمة ، كان اكتشاف الاختراق أمرًا صعبًا للغاية.
الطريقتان الرئيسيتان أنظمة تسلل فدية بلا فدية
باستخدام هجمات التصيد التي يتم إنشاؤها عبر رسائل البريد الإلكتروني ، يمكن للمهاجم كتابة وحدات الماكرو في ذاكرة النظام. وهذا يؤدي إلى طلبات فدية يتم إنشاؤها تلقائيًا وتشفير البيانات.
الطريقة الثانية هي من خلال مواقع الويب غير الآمنة التي يتم الوصول إليها بواسطة العامل. هذا يتيح للمهاجمين استهداف ذاكرة الوصول العشوائي من خلال البرامج النصية. وهذا يتيح لهم الوصول إلى المعلومات وطلب مدفوعات العملة المشفرة. خلاف ذلك ، سيتم تشفير بياناتهم وجعلها عديمة الفائدة.
أنواع الهجمات بلا ملفات
هناك أربعة أنواع أساسية من برامج الفدية بدون ملفات يجب أن تعرفها:
- الهجمات الحصرية للذاكرة: تصل هذه الهجمات إلى ذكريات خدمة Windows لنشر مدى وصولها. وصلوا إلى السوق في وقت مبكر من عام 2001. ومع ذلك ، يمكن حلها عن طريق إعادة تشغيل النظام.
- تقنيات الثبات بلا ملفات: لا يمكن مسح مثل هذه الهجمات من خلال إعادة تشغيل بسيطة حتى إذا لم يكن القرص الصلب مصابًا. يتم ذلك باستخدام سجل Windows لتخزين البرامج النصية المعدية ، التي تستأنف العدوى حتى بعد إعادة التشغيل.
- أدوات ذات استخدام مزدوج: تتم مثل هذه الهجمات عن طريق إصابة تطبيقات نظام Windows. يتم ذلك للوصول إلى الأنظمة المستهدفة أو لنقل البيانات إلى المهاجمين.
- هجمات الملفات القابلة للتنفيذ غير المحمولة (PE): تستخدم مثل هذه الهجمات كلاً من الأدوات والبرامج النصية لإحداث تأثيرها من خلال PowerShell أو CScript أو WScript.
لماذا Ransomware شائعة جدًا?
Ransomware سهل الاستخدام. عادة ، لا تفكر الشركات مرتين قبل دفع فدية بدلاً من المخاطرة بفقدان البيانات أو كسب دعاية سيئة. كما أدى صعود العملات المشفرة إلى تعزيز جدوى برامج الفدية. تتيح طرق الدفع المجهولة للقراصنة الحصول على وسائل يصعب تتبعها لاستخراج الأموال من ضحاياهم. في الوقت نفسه ، لا يمكن عكس عمليات تحويل العملات المشفرة ، وبالتالي فهي فعالة وآمنة.
ما الذي يجعل ملف Ransomware الفريد من نوعه فريدًا?
تعد برامج الفدية الخالية من الملفات فريدة من نوعها حيث يصعب اكتشافها. وذلك لأن لغة البرمجة النصية الأصلية أو ذاكرة الوصول العشوائي يتم حقنها بالشفرة المعدية. وهذا يتيح لها الاختباء في الذاكرة وتشغيل الأوامر من هناك.
ماذا تفعل الهجمات الفدية بلا ملفات?
- برامج الفدية الفاسدة غير قابلة للتعقب بشكل فعال حتى مع مضادات الفيروسات من الدرجة التجارية.
- تترك هذه الهجمات نظامك مفتوحًا على مصراعيه لاستغلال المجرمين الإلكترونيين. يمكنهم القيام بكل أنواع الأشياء مع شبكتك أو جهازك بمجرد اختراقها بما في ذلك سرقة / تشفير البيانات دون أن يتم اكتشافها.
- كما أنها تفتح الجهاز المخترق لهجمات متعددة. وذلك لأن المهاجم يمكنه كتابة البرامج النصية أثناء استخلاص المعلومات من الجهاز المخترق.
حماية نفسك من برامج الفدية Fileless
على الرغم من عدم إمكانية اكتشاف برامج الفدية بدون ملفات بشكل فعال بواسطة برامج مكافحة الفيروسات المعتادة ، هناك عدد من الأشياء التي يمكنك القيام بها لمنعها. أول شيء يجب فعله هو التأكد من عدم وصول أي شخص إلى بياناتك المهمة. الشيء الثاني هو التأكد من عدم الكشف عن ضعفك من خلال الخطأ البشري.
هذا يعني أن موظفيك بحاجة إلى معرفة الهندسة الاجتماعية وكيف يمكنهم منع ذلك. بالطبع ، ستحتاج أيضًا إلى نظام محدث يحتوي على كافة تصحيحات الأمان الحديثة. هناك المزيد من النصائح والاقتراحات الواردة أدناه لتعزيز أمانك من برامج الفدية الخالية من الملفات:
المزيد من النصائح
- تأكد من نسخ بياناتك احتياطيًا: البقاء في الحماية هو كل شيء عن مراعاة الهجمات. يجب عليك التأكد من أن شخصًا ما يتتبع بياناتك ويحتفظ بنسخة احتياطية من الملفات المهمة. سيمكنك ذلك من نزع سلاح مثل هذه الهجمات عن طريق الوصول إلى نقطة استعادة لا تتأثر بالانتهاك.
- كن يقظا: قم بإيقاف تشغيل كافة وحدات الماكرو. وإلا ، امتنع عن فتح الملفات التي لست متأكدًا منها. في حالة وجود أي شكوك ، يجب عليك الاتصال بمسؤول تكنولوجيا المعلومات لديك.
- أوقف رسائل البريد الإلكتروني الضارة, صفحات الويب والتفاعل من خلال المتصفحات والخوادم. يجب عليك اتباع الحيطة عند التعامل مع البريد الإلكتروني المحتمل أن يكون ضارًا. ما عليك سوى حجب أي شيء لا يبدو أنه حقيقي أو حتى أدنى شعور بالظلال.
مع القليل من الحذر ، يمكنك البقاء محميًا من جميع أنواع برامج الفدية – العادية أو بدون ملفات.
Emmanuel
25.04.2023 @ 04:19
لم يعد الأمر مفاجئًا أن نسمع عن هجمات برامج الفدية الجديدة والمتطورة. فقد أصبحت هذه الهجمات أكثر خطورة وتطورًا مع مرور الوقت. ومع ظهور سلالة جديدة من العوامل الضارة التي تتميز بالخلسة ، فإن الأمر يتطلب منا جميعًا البقاء في حالة تأهب واتخاذ الإجراءات اللازمة لحماية أنفسنا وشركاتنا ومؤسساتنا. ومن الضروري عدم فتح مرفقات البريد الإلكتروني غير الآمنة وتجنب زيارة مواقع الويب المشبوهة وتطبيقات الجهات الخارجية. ويجب علينا جميعًا التعرف على أنواع الهجمات بلا ملفات واتخاذ الإجراءات اللازمة لحماية أنفسنا وشركاتنا ومؤسساتنا من هذه الهجمات الخطيرة.