الإعلانات
ضرب هجوم إلكتروني ضخم أجهزة الكمبيوتر في جميع أنحاء العالم. وقد استولت برامج الفدية شديدة التكرار الذاتية - المعروفة باسم WanaCryptor أو Wannacry أو Wcry - جزئيًا على استغلال وكالة الأمن القومي (NSA) أطلقت في البرية الشهر الماضي يمتلك مجرمو الإنترنت أدوات اختراق وكالة المخابرات المركزية: ماذا يعني ذلك بالنسبة لكإن أكثر البرامج الضارة خطورة لوكالة المخابرات المركزية - القادرة على اختراق جميع الأجهزة الإلكترونية الاستهلاكية اللاسلكية تقريبًا - يمكن أن تجلس الآن في أيدي اللصوص والإرهابيين. فماذا يعني ذلك بالنسبة لك؟ اقرأ أكثر بواسطة مجموعة قرصنة تعرف باسم The Shadow Brokers.
يُعتقد أن برنامج الفدية قد أصاب ما لا يقل عن 100000 جهاز كمبيوتر ، وفقًا لمطوري برامج مكافحة الفيروسات ، أفاست. استهدف الهجوم الهائل بشكل رئيسي روسيا وأوكرانيا وتايوان ، لكنه امتد إلى المؤسسات الرئيسية عبر 99 دولة أخرى على الأقل. وبصرف النظر عن المطالبة بمبلغ 300 دولار (حوالي 0.17 بيتكوين في وقت كتابة هذا التقرير) ، فإن العدوى ملحوظة أيضًا لنهجها متعدد اللغات لتأمين الفدية: تدعم البرامج الضارة أكثر من عشرين اللغات.
ما الذي يجري؟
WanaCryptor يسبب اضطرابًا كبيرًا وغير مسبوق تقريبًا. تؤثر برامج الفدية على البنوك والمستشفيات والاتصالات ومرافق الطاقة ، وغيرها من البنية التحتية الحرجة للمهمة عندما تهاجم الحكومات: تتعرض الدولة للبرامج الضارةتجري الحرب السيبرانية الآن ، مخفية بواسطة الإنترنت ، ونادراً ما تتم ملاحظة نتائجها. لكن من هم اللاعبون في مسرح الحرب هذا ، وما هي أسلحتهم؟ اقرأ أكثر .
في المملكة المتحدة وحدها ، على الأقل أعلنت صناديق الخدمات الصحية الوطنية (NHS) 40 حالات الطوارئ المعلنة ، مما اضطر إلى إلغاء المهمة العمليات الجراحية ، فضلا عن تقويض سلامة وأمن المرضى ويؤدي بالتأكيد إلى الوفيات.
الشرطة في مستشفى ساوثبورت وتم دعم سيارات الإسعاف في A&E مع تعامل الموظفين مع أزمة الاختراق المستمرة #NHSpic.twitter.com/Oz25Gt09ft
- أوليان كوان (Ollie_Cowan) 12 مايو 2017
ظهرت WanaCryptor لأول مرة في فبراير 2017. غيّر الإصدار الأولي من برنامج الفدية ملحقات الملفات المتأثرة إلى ".WNCRY" بالإضافة إلى وضع علامة على كل ملف بالسلسلة "WANACRY!"
ينتشر WanaCryptor 2.0 بسرعة بين أجهزة الكمبيوتر باستخدام برمجية إكسبلويت مرتبطة بمجموعة المعادلة ، أ قرصنة جماعية مرتبطة ارتباطًا وثيقًا بوكالة الأمن القومي (ويُشاع كثيرًا أنها قرصنة "قذرة" في المنزل وحدة). أكد الباحث الأمني المحترم ، كافين ، أن الاستغلال المعروف باسم ETERNALBLUE أو MS17-010 من المحتمل أن يكون قد ظهر في النسخة المحدثة.
WannaCry / WanaCrypt0r 2.0 يقوم بالفعل بإطلاق قاعدة ET: 2024218 "ET EXPLOIT PERNER ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA
- كافين (كافين) 12 مايو 2017
مآثر متعددة
يختلف تفشي فيروس الفدية هذا عما قد رأيته بالفعل (وآمل ، لم تختبره). يجمع WanaCryptor 2.0 بين SMB المسرب (Block Message Block ، وهو بروتوكول مشاركة ملفات شبكة Windows) استغلال مع حمولة ذاتية النسخ الذاتي تسمح للفدية بالانتشار من جهاز واحد ضعيف إلى التالى. تقطع دودة الفدية هذه طريقة تسليم برامج الفدية المعتادة للبريد الإلكتروني أو الارتباط أو أي إجراء آخر مصاب.
آدم كوجاوا ، باحث في Malwarebytes أخبر Ars Technica "ناقل العدوى الأولي هو شيء ما زلنا نحاول اكتشافه... مع الأخذ في الاعتبار أن هذا الهجوم يبدو المستهدفة ، قد يكون إما من خلال ثغرة أمنية في دفاعات الشبكة أو تصيد رمح جيد الإعداد هجوم. وبغض النظر عن ذلك ، فإنه ينتشر من خلال الشبكات المصابة باستخدام ثغرة EternalBlue ، مما يصيب أنظمة إضافية لم يتم إصلاحها ".
WanaCryptor تستفيد أيضًا من DOUBLEPULSAR ، استغلال آخر تسربت وكالة الأمن القومي CIA Hacking & Vault 7: دليلك إلى أحدث إصدار من WikiLeaksالجميع يتحدث عن ويكيليكس - مرة أخرى! لكن وكالة المخابرات المركزية لا تراقبك حقًا عبر التلفزيون الذكي ، أليس كذلك؟ بالتأكيد الوثائق المسربة مزيفة؟ أو ربما الأمر أكثر تعقيدًا من ذلك. اقرأ أكثر . يُستخدم هذا الباب الخلفي لحقن وتشغيل التعليمات البرمجية الضارة عن بُعد. تفحص الإصابة للمضيفين المصابين سابقًا بالخلفية ، وعندما يتم العثور عليها تستخدم الوظائف الموجودة لتثبيت WanaCryptor. في الحالات التي لا يوجد بها نظام DOUBLEPULSAR خلفي في النظام المضيف ، تعود البرامج الضارة مرة أخرى إلى استغلال ETERNALBLUE SMB.
تحديث أمني هام
التسرب الهائل لأدوات القرصنة وكالة الأمن القومي تصدرت عناوين الصحف حول العالم. هناك أدلة فورية لا مثيل لها على أن وكالة الأمن القومي تجمع وتخزن ثغرات يوم صفر لم يتم إطلاقها لاستخدامها الخاص. هذا يشكل مخاطر أمنية هائلة 5 طرق لحماية نفسك من استغلال اليوم صفرثغرات يوم الصفر ، وثغرات البرامج التي يتم استغلالها من قبل المتسللين قبل توفر التصحيح ، تشكل تهديدًا حقيقيًا لبياناتك وخصوصيتك. إليك كيفية الحفاظ على المتسللين بعيدًا. اقرأ أكثر ، كما رأينا الآن.
مصادفة ، مايكروسوفت مرمم استغلال Eternalblue في مارس قبل أن تتصدر ثورة Shadow Brokers الضخمة من الأسلحة فئة العناوين الرئيسية. نظرًا لطبيعة الهجوم ، ونعلم أن هذا الاستغلال المحدد قيد التنفيذ ، والطبيعة السريعة للعدوى ، قد يبدو عددًا كبيرًا من المنظمات فشلت في تثبيت التحديث الضروري كيف ولماذا تحتاج إلى تثبيت تصحيح الأمان هذا اقرأ أكثر - بعد أكثر من شهرين من صدوره.
في نهاية المطاف ، سترغب المنظمات المتأثرة في لعب لعبة اللوم. ولكن أين يجب أن يشير الإصبع؟ في هذه الحالة ، هناك ما يكفي من اللوم للمشاركة حولها: وكالة الأمن القومي تخزين مآثر خطرة يوم الصفر ما هي ثغرة يوم الصفر؟ [MakeUseOf يوضح] اقرأ أكثر ، والعوامل الخبيثة الذين قاموا بتحديث WanaCryptor بالثغرات المسربة ، والعديد من المؤسسات التي تجاهلت تحديثًا أمنيًا هامًا ، والمزيد من المؤسسات لا تزال تستخدم Windows XP.
ربما مات الناس لأن المنظمات وجدت أن عبء تحديث نظام التشغيل الأساسي هو ببساطة مذهل.
مايكروسوفت لديها أطلق سراحه على الفور تحديث أمني بالغ الأهمية لأنظمة التشغيل Windows Server 2003 و Windows 8 و Windows XP.
إصدارات مايكروسوفت #WannaCrypt حماية المنتجات خارج الدعم Windows XP و Windows 8 و Windows Server 2003: https://t.co/ZgINDXAdCj
- مايكروسوفت (Microsoft) 13 مايو 2017
هل أنا في خطر؟
انتشر WanaCryptor 2.0 مثل الهشيم. بمعنى ما ، الناس خارج صناعة الأمن نسوا الانتشار السريع للديدان ، والذعر الذي يمكن أن يسببه. في هذا العصر المتصل بالإنترنت بشكل مفرط ، وبالاقتران مع برامج التشفير الفدية ، كان منتجو البرامج الضارة على فائز مرعب.
هل أنت في خطر؟ لحسن الحظ ، قبل أن تستيقظ الولايات المتحدة وتستمر في يوم الحوسبة ، وجدت MalwareTechBlog مفتاح قتل مخفيًا في شفرة البرامج الضارة ، مما يحد من انتشار العدوى.
تضمن مفتاح القتل اسم نطاق غير منطقي طويل جدًا - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - الذي تطلبه البرامج الضارة.
لذا يمكنني فقط إضافة عبارة "أوقفت عن طريق الخطأ هجومًا إلكترونيًا دوليًا" إلى سيرتي الذاتية. ^^
- ScarewareTech (MalwareTechBlog) 13 مايو 2017
إذا عاد الطلب على الهواء مباشرة (أي قبل الطلب) ، فلن تصيب البرامج الضارة الجهاز. لسوء الحظ ، هذا لا يساعد أي شخص مصاب بالفعل. سجل باحث الأمن وراء MalwareTechBlog العنوان لتتبع الإصابات الجديدة عبر طلباتهم ، ولم يدرك أنه كان مفتاح القتل في حالات الطوارئ.
#WannaCry تحتوي حمولة النشر على مجال غير مسجل سابقًا ، يفشل التنفيذ الآن بعد أن تم إيقاف المجال pic.twitter.com/z2ClEnZAD2
- دارين حسين (darienhuss) 12 مايو 2017
لسوء الحظ ، هناك احتمال وجود أنواع أخرى من برامج الفدية ، لكل منها مفتاح إيقاف خاص بها (أو لا يوجد على الإطلاق ، كما قد تكون الحالة).
يمكن أيضًا التخفيف من الضعف من خلال تعطيل SMBv1. توفر Microsoft برنامجًا تعليميًا شاملاً حول كيفية القيام بذلك لنظام التشغيل Windows و Windows Server. على نظام التشغيل Windows 10 ، يمكن أن يكون هذا يتحقق بسرعة عن طريق الضغط مفتاح Windows + X، التحديد PowerShell (مسؤول)، ولصق الكود التالي:
تعطيل-WindowsOptionalFeature -Online -FeatureName smb1protocolSMB1 هو بروتوكول قديم. الإصدارات الأحدث ليست عرضة لمتغير WanaCryptor 2.0.
بالإضافة إلى ذلك ، إذا تم تحديث نظامك كالمعتاد ، فأنت كذلك من غير المرجح ليشعر بالتأثيرات المباشرة لهذه العدوى. ومع ذلك ، إذا تم إلغاء موعد NHS ، أو تأخر الدفع المصرفي ، أو فشل وصول حزمة حيوية ، فقد تأثرت ، بغض النظر.
وكلمة للحكماء ، فإن برمجية إكسبلويت لا تؤدي المهمة دائمًا. كونفيكر ، أي شخص؟
ماذا حدث بعد ذلك؟
في المملكة المتحدة ، تم وصف WanaCryptor 2.0 في البداية على أنه هجوم مباشر على NHS. تم تخفيض هذا. ولكن تظل المشكلة أن مئات الآلاف من الأفراد عانوا من اضطراب مباشر بسبب البرامج الضارة.
تحمل البرامج الضارة بصمات هجوم لها عواقب غير مقصودة بشكل كبير. خبير الأمن السيبراني ، د. افضال أشرف ، قال لبي بي سي أنهم "ربما هاجموا شركة صغيرة على افتراض أنهم سيحصلون على مبلغ صغير من المال ، ولكن دخلت في نظام NHS والآن هم لديهم السلطة الكاملة للدولة ضدهم - لأنه من الواضح أن الحكومة لا تستطيع تحمل حدوث مثل هذا الأمر ناجحة ".
إنه ليس فقط NHS ، بالطبع. فى اسبانيا، الموندوتقرير أن 85 في المئة من أجهزة الكمبيوتر في تليفونيكا تأثرت بالدودة. وأكدت شركة Fedex أنها تأثرت ، وكذلك شركة Portugal Telecom وشركة MegaFon الروسية. وذلك دون النظر إلى مقدمي البنية التحتية الرئيسيين أيضًا.
تم إنشاء عنواني بيتكوين (هنا و هنا) لتلقي فدية تحتوي الآن على 9.21 BTC مجمعة (حوالي 16000 دولار أمريكي في وقت كتابة هذا التقرير) من 42 صفقة. ومع ذلك ، فإن نظرية "العواقب غير المقصودة" والتي تدعم نظرية "العواقب غير المقصودة" هي الافتقار إلى تحديد النظام المقدم مع مدفوعات البيتكوين.
ربما فاتني شيء. إذا كان العديد من ضحايا Wcry لديهم نفس عنوان البيتكوين ، فكيف يمكن للمطورين معرفة من دفع؟ سومثينجس ...
- BleepingComputer (BleepinComputer) 12 مايو 2017
إذن ماذا سيحدث بعد ذلك؟ تبدأ عملية التنظيف ، وتحسب المنظمات المتضررة خسائرها ، سواء المالية أو القائمة على البيانات. علاوة على ذلك ، ستلقي المنظمات المتضررة نظرة فاحصة على ممارساتها الأمنية و- حقًا ، نأمل حقًا - التحديث ، تاركًا نظام التشغيل Windows XP القديم والخطير الآن خلف.
إننا نأمل.
هل تأثرت بشكل مباشر بـ WanaCryptor 2.0؟ هل فقدت بيانات ، أو تم إلغاء موعد؟ هل تعتقد أن الحكومات يجب أن تجبر البنية التحتية الحرجة للمهمة على التحديث؟ أخبرنا بتجاربك WanaCryptor 2.0 أدناه وأعطنا حصة إذا ساعدناك.
حقوق الصورة: كل ما أقوم به عبر Shutterstock.com
جافين هو كاتب أول في MUO. وهو أيضًا محرر ومدير تحسين محركات البحث لموقع شقيق MakeUseOf الذي يركز على التشفير ، Blocks Decoded. حصل على درجة البكالوريوس (مع مرتبة الشرف) في الكتابة المعاصرة مع ممارسات الفن الرقمي المنهوبة من تلال ديفون ، بالإضافة إلى أكثر من عقد من الخبرة في الكتابة المهنية. يتمتع بكميات وفيرة من الشاي.