WannaCry
Home
تقنية

WannaCry

WannaCry
AMD
AMD

مقدمة

WannaCry هو أحد أشهر وأخطر هجمات برمجيات الفدية (Ransomware) في التاريخ, تجمع بين التشفير القوي وآليات الانتشار الذاتي. وقع في يوم الجمعه 12 مايو 2017 وأثر على آلاف المنظمات والأفراد في أكثر من 150دولة. يقوم الفيروس بتشفير الملفات الموجودة على جهاز الضحية، ثم يطالب بدفع فدية مالية بعملة البيتكوين لفك التشفير. إذا لم تُدفع الفدية في الوقت المحدد، يتم تهديد المستخدم بحذف البيانات بشكل دائم.

ما هو WannaCry

·        نوع الهجوم: برمجيات فديه (Ransomware)

·        طريقة العمل: صُممت برمجية الفدية باستخدام تقنيات تشفير قوية:

o       التشفير المزدوج:

§        يتم استخدام خوارزميات تشفير AES (Advanced Encryption Standard) لتشفير الملفات.

§        تُستخدم خوارزمية RSA (Rivest–Shamir–Adleman) لتشفير مفاتيح AES نفسها، مما يجعل فك التشفير معقدًا للغاية دون الحصول على المفتاح الخاص.

o       الملفات المتأثرة تُعاد تسميتها إلى امتداد مثل .WNCRY بعد التشفير.

·        واجهة الرسائل:

o       برمج المطورون رسالة تظهر على شاشة الضحية فور إصابة جهازه، تطالب بدفع فدية تتراوح بين $300 إلى $600  بعملة البيتكوين.

o       في حال عدم الدفع خلال 3 أيام، تضاعف المبلغ المطلوب.

o       إذا مرت 7 أيام دون دفع، يتم تهديد المستخدم بحذف الملفات بشكل دائم.


·        الثغرة المستخدمة - EternalBlue:

o       ثغرة  EternalBlue تعتمد على بروتوكول SMB (Server Message Block) الخاص بمشاركة الملفات والطابعات على شبكات Windows.

o       EternalBlue   كانت أداة اختراق طورتها وكالة الأمن القومي الأمريكية (NSA)، لكنها تسربت على الإنترنت بواسطة مجموعة القراصنة Shadow Brokers.

o       سمحت الثغرة للقراصنة بالوصول إلى أنظمة غير مُحدثة دون الحاجة إلى تفاعل مباشر من المستخدم.

o       استهدف WannaCry بشكل خاص أنظمة التشغيل غير المُحدثة (مثل Windows XP وWindows 7).

·        إخفاء الهوية:

o       صُمم الفيروس ليصعب تعقبه باستخدام تقنيات متقدمة لإخفاء هوية المهاجمين.

o       استخدم البيتكوين كوسيلة للدفع، وهي عملة رقمية تُعرف بصعوبة تتبعها.

o       استغلال العمليات الشرعية في نظام Windows لتنفيذ التعليمات الضارة.

·        استخدام خوادم للتحكم (Command and Control):

o       اتصل WannaCry بخوادم تُعرف بـ C2 Servers (Command and Control) للحصول على التعليمات، مثل:

§        نقل مفتاح التشفير إلى المهاجم.

§        التحقق من دفع الفدية.

الاضرار

  • إجمالي الأجهزة المصابة: أكثر من 230,000 جهاز في 150 دولة.
  • الخسار:

o       المالية:

§        تكاليف الإصلاحات، استعادة الأنظمة، وخسارة الإنتاجية قُدرت بمئات الملايين من الدولارات.

§        حوالي $140,000 فقط تم دفعها كفدية إلى محافظ القراصنة، لكنها لم تكن مضمونة لاستعادة البيانات.

§        دفعت بعض الضحايا الفدية، لكن آخرين رفضوا دفعها.

o       الاجتماعية:

§        عرّض الهجوم حياة المرضى في المستشفيات للخطر.

§        خلق حالة من الفوضى في قطاعات النقل، التجارة، والاتصالات.

الأدلة على تورط Lazarus Group  

·        تحليل البرمجية الضارة:

o       أظهرت التحقيقات التي أجرتها شركات أمن سيبراني مثل Symantec وKaspersky Lab تشابهات بين WannaCry وبرمجيات ضارة سابقة كانت مرتبطة بمجموعة Lazarus.

o       شيفرة WannaCry تتضمن أجزاء مطابقة تقريبًا لتلك الموجودة في أدوات هجومية استخدمتها Lazarus في هجمات سابقة، مثل اختراق Sony Pictures في 2014 وسرقة الأموال من البنك المركزي البنغلاديشي في 2016.

·        استخدام البيتكوين:

o       قام القراصنة بطلب الفدية بالدفع باستخدام عملة البيتكوين. لاحظ المحققون نمط تحويلات العملات الرقمية المشابه لعمليات مالية رُصدت في هجمات سابقة نُسبت إلى Lazarus.

·        الدوافع:

o       مجموعة Lazarus معروفة بشن هجمات سيبرانية واسعة النطاق لجمع الأموال لصالح النظام الكوري الشمالي. نظرًا للعقوبات الاقتصادية المفروضة على كوريا الشمالية، قد تكون برمجيات الفدية وسيلة لجمع العملة الصعبة.

نفي كوريا الشمالية

  • نفت كوريا الشمالية بشدة أي تورط في الهجوم. ووصفت الاتهامات بأنها "جزء من حملة سياسية" ضدها.
  • يُعتقد أن الهجوم جزء من استراتيجية أكبر تتبعها Lazarus لجمع الأموال ودعم النظام الكوري الشمالي.
  • بالرغم من أن WannaCry لم يحقق أرباحًا ضخمة من الفديات (حوالي 140,000 دولار فقط) مقارنة بالأضرار الكبيرة التي تسبب فيها، فإنه أظهر قدرة المجموعة على تنفيذ هجمات مدمرة على نطاق عالمي.

اسباب انتشار WannaCry بسرعة

  • الإهمال في التحديثات:

o       العديد من الأنظمة المصابة لم تكن محدثة رغم إصدار Microsoft تصحيحًا للثغرة قبل شهرين من الهجوم.

  • التصميم الذكي:

o       دمج التشفير القوي مع الانتشار الذاتي جعل الفيروس مدمرًا وسريعًا.

  • غياب الوعي الأمني:

o       العديد من المنظمات لم تكن تستخدم جدران الحماية أو أدوات اكتشاف الهجمات.

كيف انتشر WannaCry

·        الهجوم:

o       يعتقد أن الهجوم الأول بدأ عبر رسائل بريد إلكتروني تحتوي على ملفات ضارة. أو عبر استغلال نقاط ضعف معروفة في الشبكات.

o       فور إصابة جهاز واحد، بدأ الفيروس بالانتشار الذاتي باستخدام ثغرة EternalBlue.

·        إضافة ميزة "الديدان" (Worm):

o       جعلت ميزة الديدان WannaCry قادرًا على الانتشار ذاتيًا داخل الشبكات المصابة.

o       بمجرد إصابة جهاز واحد، يبدأ الفيروس بمسح الشبكة المحلية للعثور على أجهزة أخرى مصابة بنفس الثغرة.

أهداف الهجوم

  • جمع الأموال: المهاجمون طلبوا فديات بالبيتكوين لجمع أموال بسرعة ودون تعقب.
  • إحداث الفوضى: يُعتقد أن الهجوم كان يهدف أيضًا إلى شل المؤسسات الكبرى واختبار مدى قدرتها على التعامل مع هجمات إلكترونية.
  • دوافع سياسية: يشير العديد من المحللين إلى أن الهجوم قد يكون مدفوعًا بأهداف سياسية، خاصة إذا كان وراءه جهات مدعومة من دول مثل كوريا الشمالية.

  • الأهداف اخري:

o       الخدمات الصحية الوطنية البريطانية (NHS): النظام الصحي الوطني في المملكة المتحدة (NHS) كان من أكثر الضحايا تضررًا، حيث تعطلت الأجهزة الطبية والخدمات الحيوية، ما أدى إلى إلغاء مئات العمليات الجراحية وتأخير الرعاية الطبية.

o       شركات عالمية مثل: FedEx، Renault، Deutsche Bahn.

o       الحكومات: تأثرت أنظمة حكومية في الصين وروسيا ومناطق أخرى.

o       البنية التحتية: شبكات النقل مثل القطارات والمترو في ألمانيا (Deutsche Bahn) توقفت بسبب الهجوم.

كيف تم التغلب على الهجوم

  • تم اكتشاف مفتاح قتل (Kill Switch) داخل البرمجية الضارة عن طريق الباحث الأمني البريطاني ماركوس هاتشينز (Marcus Hutchins). حيث أوقف انتشار الهجوم بشكل مؤقت لكنه لم يحمي الأجهزة التي كانت قد أُصيبت بالفعل.
  • لاحظ هاتشينز أن WannaCry كان يحاول الاتصال بنطاق غير مُسجل. بمجرد تسجيل هذا النطاق، توقف انتشار البرمجية.
  • تحديثات Microsoft : أصدرت Microsoft تحديثات أمان لأنظمة Windows، بما في ذلك الأنظمة القديمة مثل XP، لحماية المستخدمين من الهجمات المستقبلية. بالرغم من أن الدعم الرسمي لها كان قد انتهى.

  • التوعية:

    • ساهمت الحادثة في زيادة الوعي بأهمية التحديثات الأمنية والنسخ الاحتياطي للبيانات.
    • اعتُبر الهجوم مثالًا صارخًا على خطر الهجمات السيبرانية المدعومة من دول.
    • دفع هذا الحادث الحكومات والمنظمات إلى تحسين إجراءات الأمن السيبراني وزيادة التعاون الدولي لمكافحة التهديدات.

  • الحكومات:

o       انتقدت بعض الحكومات وكالة الأمن القومي الأمريكية لتطويرها أدوات هجومية لم يتم تأمينها بشكل كافٍ.

الدروس المستفادة

    o       التحديثات الأمنية ضرورية: أصدرت Microsoft تحديثات أمان قبل الهجوم، لكن العديد من الأنظمة لم تكن محدثة.

o       أهمية النسخ الاحتياطي: النسخ الاحتياطي المنتظم يقلل من أثر برمجيات الفدية.

o       التعاون الدولي: يحتاج العالم إلى تعاون أكبر للتعامل مع التهديدات السيبرانية ومعاقبة الأطراف المسؤولة عنها.

o       أهمية الأمن السيبراني: تعزيز تدابير الأمن الإلكتروني داخل المؤسسات لتقليل مخاطر الهجمات.

o       الحاجة إلى سياسات أمنية أفضل: يجب أن تتبنى الحكومات والشركات بروتوكولات أمنية قوية، بما في ذلك النسخ الاحتياطية الدورية للبيانات.



الخاتمة

فيروس WannaCry كان بمثابة جرس إنذار للعالم حول مخاطر الهجمات السيبرانية. أظهر كيف يمكن لهجوم واحد أن يسبب فوضى عالمية في وقت قصير، وبيّن أهمية تبني استراتيجيات أمنية قوية. رغم نجاح العالم في احتواء الهجوم، فإن الحادثة تظل تذكرة مستمرة بأن الأمن السيبراني يجب أن يكون أولوية قصوى.

إقرأ أيضا :

AMD

تعليقات

  1. لإدخال كود <i rel="pre">ضع الكود هنا</i>
  2. لإدخال مقولة <b rel="quote">ضع المقولة هنا</b>
  3. لإدخال صورة <i rel="image">رابط الصورة هنا</i>
اترك تعليقا حسب موضوع الكتابة ، كل تعليق مع ارتباط نشط لن يظهر.
يحتفظ مسيري ومدراء المدونة بالحق في عرض, أو إزالة أي تعليق