التراخي عن تحديث أنظمة الحماية سبب مباشر لنجاح هجمات «بيتيا» الإلكترونية

يوسف العربي (دبي) أكد خبراء، أن الهجوم الإلكتروني العالمي «بيتيا»، الذي أدى إلى تعطيل أجهزة الكمبيوتر في شركات ومؤسسات وبنوك في روسيا وأوكرانيا والولايات المتحدة ودول عدة حول العالم، يعد الأكثر شراسة على أنظمة «ويندوز» بعد إصابتها بفيروس مماثل لفيروس (واناكراي) خلال مايو، حيث أدت إلى تعطل مئات الآلاف من أجهزة الكمبيوتر في آسيا ومنطقة المحيط الهادي. وقالوا إن المعلومات المتوافرة لدى أجهزة ومؤسسات رصد الهجمات الإلكترونية تشير على تركز الهجمات الأخيرة على روسيا وأوكرانيا وفرنسا والولايات المتحدة فيما لم يتم رصد هجمات في الإمارات حتى الآن. وأوضحوا أن التخلف عن تحديث الأنظمة الأمنية ببرامج تشغيل ويندوز شكلت السبب المباشر لنجاح هذه الهجمات على بعض أجهزة الكمبيوتر، محذرين من قيام المتضررين من هذا النوع من الخدمات من دفع الفدية، حيث إن هذه الخطوة لن تؤدي إلى استرجاع البيانات المشفرة، نظرا لإغلاق جميع عناوين البريد الإلكتروني التي تتضمن برامج فك هذه الشفرة. وعي متنام وقال تاج الخياط، مدير شركة «إف 5» نتووركس في منطقة الخليج وشرق المتوسط وشمال أفريقيا، لـ«الاتحاد»، إنه لا يوجد ما يشير إلى تعرض الشركات والمؤسسات الإماراتية إلى هجمات برمجية الفدية الخبيثة الجديدة «بيتيا». ولفت الخياط، إلى أن الشركات والمؤسسات الحكومية والخاصة إلى جانب المستخدمين الأفراد في الإمارات باتوا أكثر وعياً بأهمية تبني حلول أمنية متكاملة لتوفير الحماية الضرورية للشبكات والأجهزة لا سيما مع تزايد التهديدات العالمية على هذا الصعيد. وأوضح أنه من المتوقع أن يصل حجم إنفاق دول الخليج على برامج أمن وحماية أمن المعلومات إلى نحو 3.67 مليار درهم بحلول 2018 على أن تستحوذ الإمارات على حصة كبيرة منها نظرا للمبادرات الذكية التي تعكف الحكومة والقطاع الخاص على تنفيذها. ومن الناحية التقنية قال الخياط، إن هجمات برمجية الفدية الخبيثة الجديدة «بيتيا» تمت من خلال استخدام القراصنة الإلكترونيون ثغرة في برنامج تشغيل «ويندوز» وتحديداً في خدمة مشاركة الملفات عبر بروتوكول «SMB». وأضاف أن الهجمة الإلكترونية الأخيرة تعتبر الموجة الثانية من هذا النوع من الفيروسات الذي يستخدم هذه الثغرة الأمنية، حيث تمت الهجمة الأولى في مايو الماضي لتقوم شركة «مايكروسوفت» بعدها بسد هذه الثغرة، إلا إن شريحة من المستخدمين حول العالم لم يقوموا بتحديث أنظمة التشغيل لتبقى عرضة لهذا النوع من الفيروسات. وقال الخياط إن تخلف الشركات عن تحديث الأنظمة الأمنية ببرامج تشغيل «ويندوز» لم يعد أمرا مقبولاً حيث يعرض البيانات لخطر الفقدان والتشفير. وشدد الخياط على أهمية تحديث الأنظمة الأمنية على نحو مستمر، محذراً الذين تعرضوا لهذا النوع من الهجمات من الخضوع لمطالب القراصنة ودفع الفدية، حيث إن القيام بهذه الخطوة لن يضمن لهم استرجاع البيانات المفقودة. وضربت برمجية الفدية الخبيثة الجديدة «بيتيا» العديد من المؤسسات حول العالم بدءا من أمس الأول، وذلك فيما يبدو محاكاة لهجمات «وانا كراي» التي حدثت الشهر الماضي وأصابت العديد من المؤسسات حول العالم. وأدى الفيروس إلى إصابة أجهزة كمبيوتر تشغل برامج ويندوز التي تنتجها مايكروسوفت من خلال تشفير محركات الأقراص الصلبة وشطب ملفات ثم التسجيل فوق الملفات الموجودة والمطالبة بعد ذلك بمبلغ 300 مليون دولار في صورة عملة «بيتكوين» لإعادة الدخول على الملفات. وأظهر سجل حسابات علني للتحويلات على موقع (بلوكتشين.إنفو) أن أكثر من 30 ضحية دفعوا في حسابات بالبيتكوين مرتبطة بهذه الهجوم. حملات الفدية الخبيثة ومن جانبه، قال محمد أبوخاطر، المدير الإقليمي لمنطقة الشرق الأوسط وأفريقيا لدى شركة «فاير آي» في رده على أسئلة «الاتحاد»: «نحن لانزال نبحث في نشاط برمجية الفدية الخبيثة التي ضربت وعطلت أعمال شركات في مختلف أنحاء العالم وبقاع أخرى. وفي هذه المرحلة، نقوم تحديداً بالتحقيق فيما إذا كان الهجوم لايزال يشكل تهديدا جديداً وخطيراً، أم أنه امتداد لحالات اختراق معروفة مسبقاً، مثل حملات الفدية الخبيثة واسعة الانتشار التي يتكرر حدوثها بشكل منتظم في مثل هذا الوقت. ولفت أبوخاطر، إلى أنه بحسب التقارير الصادرة عن ضحايا هذه الهجمات، فإن سلالات منبثقة عن برمجية الفدية «Petya» هي المسؤولة عن تلك الهجمات، وهي نوع من برمجيات الفدية المعروفة والمفهومة جيداً والتي قمنا بالإبلاغ عنها منذ 2016». وأوضح أن «بيتيا» يعد من عائلة برمجيات الفدية التي تتسم بنهج عمل نمطي، بحيث أنها لا تقوم بتشفير الملفات الفردية المخزنة في أنظمة الضحايا، ولكن بدلا من ذلك، تقوم بالكتابة فوق صفحة الإقلاع الرئيسية وتشفّر جدول الملف الرئيسي، الأمر الذي يعطل عمل النظام لحين دفع الفدية وتحتوي برمجية الفدية على أداة إلقاء الملفات المصابة وأداة خاصة لتحميل ملفات الإقلاع ونواة برمجية صغيرة لنظام الويندوز مهمتها تنفيذ عمليات التشفير الإضافية». ثغرة برمجية وقال سكوت سيمكين، رئيس أول، قسم استقصاء التهديدات الأمنية والسحابية، في «بالو ألتو نتوركس» إن برمجية الفدية «بيتيا»، بدأت أمس الأول، التأثير على عدة مؤسسات، منها جهات حكومية ومنها مؤسسات أخرى ذات وظائف حساسة، وانتشرت هذه البرمجية بصورة مشابهة لهجمات «WanaCry» التي اجتاحت العالم في مايو. وأضاف أنه من المحتمل أنها تحاول الانتشار إلى الأنظمة الأخرى عبر بروتوكول SMB اعتمادا على الثغرة الموجودة في أداة «إتيرنال بلو» في أنظمة مايكروسوفت ويندوز، إذ تم اكتشاف هذه الثغرة في أبريل من العام 2017 من قبل قراصنة أطلق عليهم اسم «شادو بروكرز»، واكتشفت شركة مايكروسوفت هذه الثغرة وقامت بإصلاحها في مارس 2017، إلا أن بعض المؤسسات لم تقم بتثبيت هذه التحديثات مما جعلها عرضة للهجمات التي تستغل هذه الثغرة. وبمجرد أن تصيب هذه البرمجية إحدى الأنظمة فإنها تقوم بتشفير ملفات النظام الخاصة بالمستخدم وتطالبه بدفع فدية قيمتها 300 مليون دولار لإعادة فتحها والوصول إليها. وقال سيمكين، «توفر شركة بالو ألتو نتووركس الحماية لعملائها من برمجية الفدية الجديدة عبر الجيل التالي من الحلول الأمنية التي تعتمد على مبدأ الوقاية من الهجمات والاختراقات وإيقافها بشكل آلي. وتنصح شركة بالو ألتو نتووركس مستخدمي أنظمة ويندوز بتثبيت آخر التحديثات الصادة عن شركة مايكروسوفت لنظام التشغيل، وتحديث أنظمة التشغيل القديمة التي توقفت شركة مايكروسوفت عن توفير الدعم لها». الهجمات الجديدة تستهدف 2000 مستخدم قالت شركة «كاسبرسكي لاب» الروسية بشأن هجمات الفدية الخبيثة المكتشفة في بيان: يجري محللو كاسبرسكي لاب تحليلات حول الموجة الجديدة من هجمات الفدية التي تستهدف شركات حول العالم. وأضافت الشركة أن النتائج الأولية لأبحاثها تشير إلى أن هذه الهجمات ليست منبثقة عن برمجية الفدية «Petya»، ولكنها هجمة من نوع جديد وفي حين أن لهذه البرمجية عدة سلالات شبيهة بهجمات الفدية «Petya»، فهي تمتلك خصائص مختلفة كلياً وأطلقنا عليها اسم «ExPetr». وتشير بيانات التتبع عن بعد المطبقة في الشركة إلى أن هناك 2000 مستخدم استهدفوا بهذه الهجمات حتى الآن والشركات التي تتخذ مقرات لها في روسيا وأوكرانيا هي الأكثر تضررا، كما سجل هناك أيضاً هجمات في بولندا وإيطاليا والمملكة المتحدة وألمانيا وفرنسا والولايات المتحدة والعديد من البلدان الأخرى. وقالت الشركة إن هذه الهجمات تبدو فائقة التطور والتعقيد، إذ إنها تنطوي على عناصر اختراق متعددة. ويمكننا التأكيد بأن المجرمين قد قاموا باستخدام الإصدارات المعدلة للأدوات الخبيثة «لسرعة الانتشار داخل شبكات الشركات. وقالت إن خبراء كاسبرسكي لاب يواصلون دراسة هذه الحالة لتحديد ما إذا كان من الممكن فك تشفير البيانات التي تم حجبها في الهجوم - بقصد تطوير أداة فك التشفير المناسبة بأسرع ما أمكن. ونصحت الشركة جميع الشركات بتحديث برامج«Windows»المثبتة لديها والتأكد من أن لديها نسخاً احتياطية من بياناتها فكما هو معروف بأن إجراء النسخ الاحتياطي المناسب للبيانات الخاصة بكم في الوقت المناسب يعد شيئاً مهماً للغاية، حيث من المحتمل استخدامها لاستعادة الملفات الأصلية بعد أي من الهجمات التي تتسبب في فقدان البيانات. ومن جهتها أعلنت«أتيفو نيتويركس»عن طرح الجيل المقبل من تقنية الخداع لمكافحة المهاجمين الأكثر تطوراً تحت مسمى«ThreatDefend Platform» للتغلب على تكتيكات المهاجمين المحنكين مضيفة أن الحل الجديد يساهم في توسيع نطاق الشراكة في مجال التعاون والاندماج وأتمتة عمليات التحليل الجنائي للهجمات، وذلك بهدف إتاحة سجلات رقابية مبسطة من شأنها توفير أفضل استجابة في الحالات الأمنية مدعومة بقدرات دفاعية قابلة للتنفيذ لمواجهة التهديدات المتأصلة في الشبكة.