ما تحتاج لمعرفته حول هجوم برنامج الفدية المتاهة المدركة

تخيل كتابة بريد إلكتروني مهم للعمل وفقد فجأة إمكانية الوصول إلى كل شيء. أو تلقي رسالة خطأ شريرة تطالب البيتكوين بفك تشفير جهاز الكمبيوتر الخاص بك. يمكن أن يكون هناك العديد من السيناريوهات المختلفة ، ولكن يظل هناك شيء واحد كما هو بالنسبة لجميع هجمات برامج الفدية - يقدم المهاجمون دائمًا إرشادات حول كيفية استعادة وصولك. بالطبع ، المشكلة الوحيدة هي أنه يجب عليك أولاً تقديم مبلغ ضخم من الفدية مقدمًا.

هناك نوع مدمر من برامج الفدية يُعرف باسم "Maze" يقوم بجولات في عالم الأمن السيبراني. إليك ما تحتاج لمعرفته حول برنامج الفدية Cognizant Maze.

ما هو برنامج Maze Ransomware؟

تأتي Maze ransomware في شكل سلسلة من Windows ، يتم توزيعها من خلال رسائل البريد الإلكتروني العشوائية ومجموعات الاستغلال المطالبة بكميات ضخمة من البيتكوين أو العملة المشفرة مقابل فك التشفير واستعادة الأموال المسروقة البيانات.

تصل رسائل البريد الإلكتروني مع سطور موضوع تبدو بريئة مثل "فاتورة Verizon جاهزة للعرض" أو "تسليم الطرود المفقودة" ولكنها تنشأ من خلال مجالات ضارة. تقول الشائعات أن Maze عبارة عن برنامج فدية يعتمد على الشركات التابعة ويعمل من خلال شبكة من المطورين الذين يتشاركون الأرباح مع مجموعات مختلفة تتسلل إلى شبكات الشركات.

للتوصل إلى استراتيجيات للحماية والحد من التعرض لهجمات مماثلة ، يجب أن نفكر في Cognizant Maze...

هجوم المتاهة الإدراكية

في أبريل 2020 ، Cognizant ، إحدى شركات Fortune 500 وواحدة من أكبر المزودين العالميين لتكنولوجيا المعلومات الخدمات ، ضحية لهجوم المتاهة الشرس الذي تسبب في انقطاع الخدمة بشكل كبير اللجنة.

بسبب حذف الأدلة الداخلية التي نفذها هذا الهجوم ، عانى العديد من موظفي شركة Cognizant من انقطاع الاتصالات ، وترك فريق المبيعات في حيرة من دون أي وسيلة للتواصل مع العملاء والرذيلة بالعكس.

حقيقة أن خرق بيانات Cognizant حدث عندما كانت الشركة تنقل الموظفين للعمل عن بُعد بسبب جائحة فيروس كورونا ، جعل الأمر أكثر صعوبة. وفقا لتقرير من قبل CRN، اضطر الموظفون إلى إيجاد وسائل أخرى للاتصال بزملائهم في العمل بسبب فقدان الوصول إلى البريد الإلكتروني.

قال الرئيس التنفيذي لشركة Cognizant ، برايان همفريز: "لا أحد يريد أن يتم التعامل مع هجوم برامج الفدية". "أنا شخصياً لا أعتقد أن أي شخص منيع ضد ذلك ، لكن الاختلاف هو كيفية إدارتك له. وحاولنا إدارتها بشكل احترافي ونضج ".

زعزعت الشركة الموقف بسرعة من خلال الحصول على مساعدة خبراء الأمن السيبراني الرائدين وفرق أمن تكنولوجيا المعلومات الداخلية الخاصة بهم. كما تم الإبلاغ عن الهجوم السيبراني Cognizant إلى وكالات إنفاذ القانون وتم تزويد عملاء Cognizant بتحديثات مستمرة حول مؤشرات التسوية (IOC).

ومع ذلك ، فقد تكبدت الشركة أضرارًا مالية كبيرة بسبب الهجوم ، مما أدى إلى تراكم ضخم 50-70 مليون دولار في الإيرادات المفقودة.

لماذا يعتبر Maze Ransomware تهديدًا مزدوجًا؟

كما لو أن التأثر ببرنامج الفدية لم يكن سيئًا بما فيه الكفاية ، فقد ألقى مخترعو هجوم Maze منعطفًا إضافيًا للضحايا للتعامل معه. يتم تقديم تكتيك خبيث يُعرف باسم "الابتزاز المزدوج" بهجوم المتاهة حيث يوجد الضحايا مهددًا بتسريب بياناتهم المخترقة إذا رفضوا التعاون وتلبية برامج الفدية حفز.

يُطلق على برنامج الفدية سيئ السمعة هذا حقًا "تهديد مزدوج" لأنه ، بصرف النظر عن إيقاف تشغيل الوصول إلى الشبكة للموظفين ، فإنه ينشئ أيضًا نسخة طبق الأصل من بيانات الشبكة بالكامل ويستخدمها لاستغلال الضحايا وجذبهم إلى مقابلة فدية.

لسوء الحظ ، لا تنتهي تكتيكات الضغط التي يتبعها صانعو Maze هنا. أشارت الأبحاث الحديثة إلى أن TA2101 ، مجموعة وراء Maze ransomware ، قد نشرت الآن موقعًا إلكترونيًا مخصصًا يسرد جميع ضحاياهم غير المتعاونين وينشر في كثير من الأحيان عينات بياناتهم المسروقة كشكل من أشكال عقاب.

كيفية الحد من حوادث Maze Ransomware

يعد التخفيف من مخاطر برامج الفدية والقضاء عليها عملية متعددة الأوجه حيث تتنوع يتم دمج الاستراتيجيات وتخصيصها بناءً على حالة كل مستخدم وملف تعريف المخاطر للفرد منظمة. فيما يلي أكثر الإستراتيجيات شيوعًا التي يمكن أن تساعد في إيقاف هجوم Maze في مساراته مباشرةً.

فرض تطبيق القائمة البيضاء

القائمة البيضاء للتطبيقات هي تقنية استباقية لتخفيف التهديدات تسمح فقط بتشغيل البرامج أو البرامج المصرح بها مسبقًا بينما يتم حظر جميع البرامج الأخرى افتراضيًا.

تساعد هذه التقنية بشكل كبير في تحديد المحاولات غير القانونية لتنفيذ التعليمات البرمجية الضارة وتساعد في منع عمليات التثبيت غير المصرح بها.

تطبيقات التصحيح والعيوب الأمنية

يجب تصحيح العيوب الأمنية بمجرد اكتشافها لمنع التلاعب وسوء المعاملة من قبل المهاجمين. فيما يلي الأطر الزمنية الموصى بها لتطبيق التصحيحات على الفور بناءً على شدة العيوب:

• مخاطر بالغة: في غضون 48 ساعة من تحرير اللصقة.
• مخاطرة عالية: في غضون أسبوعين من إطلاق اللصقة.
• مخاطر معتدلة أو منخفضة: خلال شهر واحد من إطلاق اللصقة.

تكوين إعدادات ماكرو Microsoft Office

تُستخدم وحدات الماكرو لأتمتة المهام الروتينية ، ولكن يمكن أن تكون أحيانًا هدفًا سهلاً لنقل التعليمات البرمجية الضارة إلى نظام أو كمبيوتر بمجرد تمكينه. أفضل نهج هو إبقائهم معوقين إن أمكن أو جعلهم يتم تقييمهم ومراجعتهم قبل استخدامها.

توظيف تصلب التطبيق

تقوية التطبيقات هي طريقة لحماية تطبيقاتك وتطبيق طبقات أمان إضافية لحمايتها من السرقة. تطبيقات Java معرضة جدًا للثغرات الأمنية ويمكن استخدامها من قبل الجهات المهددة كنقاط دخول. من الضروري حماية شبكتك من خلال استخدام هذه المنهجية على مستوى التطبيق.

تقييد الامتيازات الإدارية

يجب التعامل مع الامتيازات الإدارية بحذر شديد نظرًا لأن حساب المسؤول لديه حق الوصول إلى كل شيء. استخدم دائمًا مبدأ الامتياز الأقل (POLP) عند إعداد الوصول والأذونات حيث يمكن أن يكون ذلك عاملاً أساسيًا في التخفيف من برنامج Maze ransomware أو أي هجوم إلكتروني يتعلق بهذا الأمر.

أنظمة تشغيل التصحيح

كقاعدة عامة ، يجب إصلاح أي تطبيقات وأجهزة كمبيوتر وأجهزة شبكة بها نقاط ضعف شديدة الخطورة في غضون 48 ساعة. من الضروري أيضًا التأكد من استخدام أحدث إصدارات أنظمة التشغيل فقط وتجنب الإصدارات غير المدعومة بأي ثمن.

تنفيذ المصادقة متعددة العوامل

تضيف المصادقة متعددة العوامل (MFA) طبقة إضافية من الأمان حيث يلزم وجود عدة أجهزة مصرح بها لتسجيل الدخول إلى حلول الوصول عن بعد مثل الخدمات المصرفية عبر الإنترنت أو أي إجراءات أخرى مميزة تتطلب استخدام حساس معلومة.

تأمين المستعرضات الخاصة بك

من المهم التأكد من أن متصفحك يتم تحديثه دائمًا ، وحظر الإعلانات المنبثقة ، وأن إعدادات المستعرض لديك تمنع تثبيت ملحقات غير معروفة.

تحقق مما إذا كانت مواقع الويب التي تزورها شرعية عن طريق التحقق من شريط العناوين. فقط تذكر أن HTTPS آمن بينما HTTP أقل بكثير.

متعلق ب: كيفية فحص الروابط المشبوهة باستخدام الأدوات المدمجة في المتصفح

كيفية فحص الروابط المشبوهة باستخدام الأدوات المدمجة في المتصفح

إذا واجهت رابطًا مريبًا ، فتحقق منه باستخدام الأدوات المتاحة في متصفحك.

توظيف أمن البريد الإلكتروني

الطريقة الرئيسية للدخول إلى Maze ransomware هي عبر البريد الإلكتروني.

نفِّذ مصادقة متعددة العوامل لإضافة طبقة أمان إضافية وتعيين تواريخ انتهاء صلاحية كلمات المرور. أيضًا ، درب نفسك والموظفين على عدم فتح رسائل بريد إلكتروني من مصادر غير معروفة أو على الأقل عدم تنزيل أي شيء مثل المرفقات المشبوهة. يضمن الاستثمار في حل حماية البريد الإلكتروني النقل الآمن لرسائل البريد الإلكتروني الخاصة بك.

عمل نسخ احتياطية منتظمة

تعد النسخ الاحتياطية للبيانات جزءًا لا يتجزأ من خطة التعافي من الكوارث. في حالة وقوع هجوم ، من خلال استعادة النسخ الاحتياطية الناجحة ، يمكنك بسهولة فك تشفير البيانات الاحتياطية الأصلية التي تم تشفيرها بواسطة المتسللين. إنها لفكرة جيدة أن تقوم بإعداد نسخ احتياطية آلية وإنشاء كلمات مرور فريدة ومعقدة لموظفيك.

انتبه إلى نقاط النهاية وبيانات الاعتماد المتأثرة

أخيرًا وليس آخرًا ، إذا تأثر أي من نقاط نهاية الشبكة الخاصة بك ببرنامج Maze ransomware ، فيجب عليك تحديد جميع بيانات الاعتماد المستخدمة عليها بسرعة. افترض دائمًا أن جميع نقاط النهاية كانت متاحة و / أو تعرضت للاختراق من قبل المتسللين. سيكون سجل أحداث Windows مفيدًا لتحليل عمليات تسجيل الدخول بعد الاختراق.

متعلق ب: 7 طرق لتجنب التعرض لبرامج الفدية الضارة

هل أصابك الذهول من هجوم المتاهة المدركة؟

ترك الخرق Cognizant مزود حلول تكنولوجيا المعلومات يندفع للتعافي من الخسائر المالية وخسائر البيانات الهائلة. ومع ذلك ، بمساعدة كبار خبراء الأمن السيبراني ، تعافت الشركة بسرعة من هذا الهجوم الشرير.

أثبتت هذه الحلقة مدى خطورة هجمات برامج الفدية.

إلى جانب Maze ، هناك عدد كبير من هجمات برامج الفدية الأخرى التي ينفذها كل يوم من قبل جهات التهديد الشرسة. والخبر السار هو أنه مع العناية الواجبة والممارسات الأمنية الصارمة المعمول بها ، يمكن لأي شركة بسهولة التخفيف من هذه الهجمات قبل أن تضرب.

كل ما تحتاج لمعرفته حول NetWalker Ransomware

يجعل NetWalker جميع الملفات غير قابلة للوصول ، فكيف يمكنك حماية عملك؟

عن المؤلف