كيف يمكن أن تدافع ضد الفدية

نعلم جميعًا أن برنامج Ransomware هو أحد أكثر أنواع البرمجيات الضارة تدميراً. أنت تتحدث عن النقر على الرابط الخطأ وإخفاء بيانات مؤسستك في مستنقع من رطانة مشفرة ، أو حتى أنظمة تشغيل الخادم (OSes) وغيرها من الملفات الهامة التي تختفي ببساطة في يوم من الأيام. يمكنك دفع الفدية ، لكن ذلك قد لا يكون مكلفًا فحسب ، ولكنه لا يضمن أيضًا أن يقوم الأشرار بإعادة بياناتك.

عندما تضغط ، تكون اختياراتك قاتمة: إما أن تتمكن من استعادة أنظمتك للتشغيل باستخدام النسخ الاحتياطية المستندة إلى مجموعة النظراء أو دفع الفدية والأمل في أن يعمل مفتاح فك التشفير. ولكن هذا فقط إذا كنت ضربت. الخيار الأفضل هو الحفاظ على عدم تشفير ملفاتك في المقام الأول ، أو في حالة انتشار بعض الملفات ، ثم منع انتشار الهجوم. المفتاح هو رفع مستوى اللعبة الأمنية لشركتك حتى لا تتعرض للهجوم.

كيفية تجنب هجوم الفدية

الخطوة الأولى هي ما يسميه إسرائيل باراك ، كبير مسؤولي أمن المعلومات (CISO) من مطور برمجيات الكشف والاستجابة لنقطة النهاية ، Cybereason "تكنولوجيا المعلومات والنظافة الأمنية". وهذا يعني تجنب نقاط الضعف وتصفية البريد الإلكتروني وحركة المرور على شبكة الإنترنت. وهذا يعني أيضًا توفير تدريب للمستخدم ، والتأكد من أن تصحيحات نظام التشغيل والتطبيقات ومنتجات الأمان لديك محدّثة تمامًا.

والخطوة الثانية هي وجود استراتيجية لاستمرارية العمل والانتعاش. هذا يعني في الواقع وضع خطة عندما تسوء الأمور بدلاً من مجرد أمل أنها لن تفعل ذلك. وقال باراك إن هذا يشمل وجود نسخ احتياطية في مكانها واختبارها ، ومعرفة كيف ستستعيد الخدمات المتأثرة ، ومعرفة أين ستحصل على موارد الحوسبة للتعافي ، ومعرفة أن خطة الاسترداد الكاملة ستعمل لأنك قمت باختبارها بالفعل.

والخطوة الثالثة هي توفير الحماية من البرامج الضارة. قال باراك إن هذا يشمل وجود وسائل حماية ضد دخول البرامج الضارة إلى شبكتك وحماية ضد تنفيذ البرامج الضارة أثناء وجودها على أنظمتك. لحسن الحظ ، من السهل التعرف على معظم البرامج الضارة نظرًا لأن مؤلفي البرامج الضارة يشاركون بشكل متكرر إجراءات ناجحة.

لماذا Ransomware مختلف

لسوء الحظ ، ليست فدية مثل البرامج الضارة الأخرى. قال باراك إنه بسبب وجود رانسومواري فقط على جهاز الكمبيوتر لفترة وجيزة ، فإنه ليس من الصعب تجنب الكشف قبل اكتمال تشفيره وإرسال رسالة رانسومواري. بالإضافة إلى ذلك ، على عكس الأنواع الأخرى من البرامج الضارة ، قد تصل البرامج الضارة التي تقوم فعلًا بتشفير الملفات إلى أجهزة الكمبيوتر الخاصة بالضحية قبل لحظات فقط من بدء التشفير.

هناك نوعان حديثان من البرامج الضارة - Ryuk و SamSam - يدخلان أنظمتك تحت إشراف مشغل بشري. في حالة شركة Ryuk ، من المحتمل أن يكون هذا المشغل في كوريا الشمالية ، ومع SamSam ، في إيران. في كل حالة ، يبدأ الهجوم بالعثور على بيانات اعتماد تسمح بالدخول إلى النظام. بمجرد الوصول إلى هناك ، يفحص المشغل محتوى النظام ، ويقرر ما هي الملفات التي يجب تشفيرها ، ورفع الامتيازات ، والبحث عن برامج مكافحة البرامج الضارة وإلغاء تنشيطها وروابط النسخ الاحتياطية ليتم تشفيرها أيضًا ، أو في بعض الحالات ، إلغاء تنشيط النسخ الاحتياطية. بعد ذلك ، بعد أشهر من التحضير ، يتم تحميل برامج التشفير الضارة وإطلاقها ؛ قد تنهي مهمتها في دقائق - بسرعة كبيرة جدًا بحيث لا يتدخل عامل بشري.

"في SamSam ، لم يستخدموا التصيد التقليدي" ، كما أوضح كارلوس سولاري ، نائب رئيس تطوير حلول الأمن السيبراني كومودو Cybersecurity و CIO السابق للبيت الأبيض. "لقد استخدموا المواقع الإلكترونية وسرقوا أوراق اعتماد الأشخاص واستخدموا القوة الغاشمة للحصول على كلمات المرور."

وقال سولاري إن هذه الاختراقات لا يتم اكتشافها في كثير من الأحيان لأنه لا يوجد أي برامج ضارة حتى النهاية. لكنه قال إنه تم القيام به بشكل صحيح ، وهناك طرق لوقف الهجوم في هذه المرحلة. وقال إن المجرمين عادةً ما يتابعون خدمات الدليل للشبكة ، ويهاجمون هؤلاء حتى يتمكنوا من الحصول على امتيازات المستوى الإداري اللازمة لتنظيمهم للهجوم. في هذه المرحلة ، قد يكتشف نظام كشف التسلل (IDS) التغييرات ، وإذا عرف مشغلو الشبكات ما الذي تبحث عنه ، فيمكنهم عندئذٍ قفل النظام لأسفل وطرد المتسللين.

وقال سولاري: "إذا كانوا يهتمون ، فسوف يدركون أن شخصًا ما في الداخل". "من المهم العثور على معلومات استخبارية عن التهديدات الداخلية والخارجية. أنت تبحث عن حالات شاذة في النظام."

كيف تحمي نفسك

بالنسبة للشركات الأصغر ، يقترح Solari أن تجد الشركات مركز عمليات الأمن للاكتشاف والاستجابة المدار (MDR) كخدمة. وأضاف أن الشركات الكبرى قد ترغب في العثور على مزود خدمات الأمن المدارة (MSSP). يمكّن أي من الحلين من متابعة الأحداث الأمنية ، بما في ذلك التدريج قبل هجوم فدية كبير.

بالإضافة إلى مراقبة شبكتك ، من المهم أيضًا إنشاء شبكتك بحيث تكون غير مضيافة للمجرمين قدر الإمكان. وفقًا لآدم كوجاوا ، مدير Malwarebyte Labs ، فإن إحدى الخطوات المهمة هي تقسيم شبكتك بحيث لا يمكن للمتطفل أن يتحرك ببساطة عبر شبكتك ويستطيع الوصول إلى كل شيء. وقال كوجاوا "يجب ألا تحتفظ بكل بياناتك في نفس المكان". "أنت بحاجة إلى مستوى أعمق من الأمن."

ولكن ، إذا تبين أنك لم تكتشف المراحل الغازية التي تسبق هجوم رانسومواري ، فهناك طبقة أو استجابة أخرى ، وهي اكتشاف سلوك البرامج الضارة عند بدء تشفير الملفات.

"ما أضفناه هو آلية سلوكية تعتمد على سلوك نموذجي للفدية" ، يوضح باراك. وقال إن مثل هذه البرامج تراقب ما يمكن أن تفعله الفدية ، مثل تشفير الملفات أو محو النسخ الاحتياطية ، ثم تتخذ إجراءات لقتل العملية قبل أن تتمكن من إحداث أي ضرر. "إنه أكثر فعالية ضد لم يسبق له مثيل سلالات من الفدية."

التحذيرات المبكرة والحماية

لتوفير شكل من أشكال الإنذار المبكر ، قال باراك إن Cybereason يتخذ خطوة أخرى. وقال "ما فعلناه هو استخدام آلية استثناء". "عندما ينتقل برنامج Cybereason إلى نقطة النهاية ، فإنه ينشئ سلسلة من الملفات الأساسية التي يتم وضعها في مجلدات على القرص الصلب تجعل من برامج الفدية محاولة تشفيرها أولاً." وقال التغييرات على تلك الملفات يتم الكشف عنها على الفور ،

بعد ذلك ، يقوم برنامج Cybereason أو البرامج المماثلة من Malwarebytes بإنهاء العملية ، وفي كثير من الحالات ، يتم تخزين البرامج الضارة في حاويات بحيث لا يمكن أن تحدث أي ضرر آخر.

لذلك ، هناك العديد من طبقات الدفاع التي يمكن أن تمنع هجوم الفدية ، وإذا كان لديك كل منها وظيفية وفي مكانها ، فيجب أن يتبع الهجوم الناجح سلسلة من حالات الفشل من أجل الحدوث. ويمكنك إيقاف تلك الهجمات في أي مكان على طول السلسلة.

يجب أن تدفع الفدية؟

ولكن لنفترض أنك قررت أنك تريد دفع الفدية واستعادة العمليات على الفور؟ وقال باراك "بالنسبة لبعض المنظمات ، إنه خيار قابل للتطبيق".

يجب عليك تقييم تكلفة انقطاع العمل لتحديد ما إذا كانت تكلفة العودة إلى العمل أفضل من تكلفة الاستعادة ، كل الأشياء التي تم أخذها في الاعتبار. قال باراك إنه بالنسبة لهجمات برامج الفدية التجارية ، "في معظم الحالات ، تحصل على الملفات مرة أخرى."

لكن باراك قال إنه إذا كان دفع الفدية أمرًا محتملًا ، عندئذ يكون لديك اعتبارات أخرى. "كيف نستعد مسبقًا للحصول على آلية للتفاوض على تكلفة الحصول على الخدمات مرة أخرى؟ كيف ندفع لهم؟ كيف يمكننا تشكيل آلية للتوسط في هذا النوع من الدفع؟"

وفقًا لباراك ، فإن كل هجوم من رانسومواري تقريبًا يتضمن وسيلة للتواصل مع المهاجم ، وتحاول معظم الشركات التفاوض على صفقة يكون مهاجمو رانسومواري فيها مفتوحين عادةً. على سبيل المثال ، قد تقرر أنك تحتاج فقط إلى جزء من الأجهزة التي تم تشفيرها والتفاوض فقط من أجل إرجاع تلك الأجهزة.

• The Best Ransomware Protection لعام 2019 The Best Ransomware Protection لعام 2019
• قراصنة SamSam Ransomware أشعل النار في 5.9 مليون دولار قراصنة SamSam Ransomware أشعل النار في 5.9 مليون دولار
• 2 الإيرانيين وراء SamSam Ransomware Attacks ، مطالبات الولايات المتحدة 2 الإيرانيين وراء SamSam Ransomware Attacks ، المطالبات الأمريكية

"يجب وضع الخطة في وقت مبكر. كيف سترد ، من سيتواصل ، وكيف ستدفع الفدية؟" قال باراك.

بينما يعتبر الدفع خيارًا قابلاً للتطبيق ، إلا أنه بالنسبة لمعظم المؤسسات ، يظل خيارًا أخيرًا ، وليس استجابة سريعة. هناك العديد من المتغيرات التي لا يمكنك التحكم بها في هذا السيناريو ، بالإضافة إلى أنه بعد الدفع مرة واحدة ، لا يمكنك أبدًا ضمان عدم تعرضك للهجوم مقابل المزيد من الأموال في المستقبل. هناك خطة أفضل تستخدم دفاعًا قويًا يصعب بدرجة كافية لتجاهل معظم هجمات البرامج الضارة وهزيمة القلة التي تنجح. ولكن مهما قررت ، تذكر أن كل حل تقريبًا يتطلب منك إجراء نسخ احتياطي دينيًا. افعلها الآن ، افعلها غالبًا ، واختبرها غالبًا ، للتأكد من أن الأمور ستعمل بسلاسة في قرصة.