THE RANSOMWARE

الرانسم وير ransomware

خلينا نبتدي الاول بنشاة الرانسموير . الرانسموير علي عكس ماناس كتير فاكره هو قديم جدا . ابتدي سنه 1989 باسم PC Cyborg عن طريف Joseph L. Popp, Jr (Father of ransomware) . كان قبل انتشار الانترنت وقدر ينشره عن طريق توزيع 20000 فلوبي ديسك عليهم اسم AIDS Information – Introductory Diskettes . طريقه عمله كانت انه بعد 90 مره الكمبيوتر يعمل booting يبتدي يشفر الداتا ويوجه الضحيه اني عشان يفك ملفاته يقدر يبعت 189 دولار لحساب شركه في بنما . طبعا وقتها مافيش قانون يحاسب علي الجرائم الالكترونية.

وهنا بدأ يظهر مصطلح cyber extortion او الابتزاز الالكتروني . ببساطه اني اقدر اوصل لبياناتك وداتا كامله خاصه بيك واطلب منك مقابل مادي علي انت تقدر توصلها او عشان تمنع انها تنتشر علي الانترنت . في انواع من الرانسم وير تقدر توصل الاجهزة حمايتها ضعيفة علي الانترنت وغالبا مش بيبقي في معلومات مهمة تجبر صاحب الجهاز انه يدفع فبيستخدم مطور الرانسم وير الجهاز ده وامكانياته في الهجوم علي اجهزة تانيه حمايتها اعلي .

طبعا بعد تتطور الانترنت وانتشاره تتطورت بالتبيعيه طريقة انتشار الرانسم وير والفيروسات عموما . الطريقه المشهورة حاليا اني ابعتلك ايميل ب subject تشد انتباهك مثلا invoice no 43311 او your email is full واحطلك لينك في الايميل تدوس علي عشان تفتح الفاتورة او تحل مشكله ايميلك وده اسمه social engineering( وده موضوع كبير هنرجعله تاني في مقاله لوحده) . الايميل ده ينزل منه ملف غالبا بيبقي ب امتداد exe & jar & pdf.exe بياخد صلاحيات اليوزر ويبتدي باستخدام الصلاحيات ديه يدور علي الداتا المهمه مثلا shared folder ويشفر الداتا كلها او يقفل الجهاز نفسه ماتقدرش تدخل عليه . الرانسم وير مش بينتشر علي الاجهزة التانيه زي الفيروسات العاديه . اصل الفيرس بيفضل علي نفس الجهاز الاساسي هو بس بيدور علي كل الداتا اللي يقدر يوصلها باستخدام الصلاحيات اللي السيستم ادمين مديها لليوزر ده . عشان كده دايما بننصح بالحد من صلاحيات الادمين لليوزر .

انواع الرانسم وير كتير جدا WannaCry و Petya NotPetya و Bad Rabbit و Locky والهجمات في كتير منها منظم وعن طريق اكتر من هاكر واحد . حاليا مطور الرانسم وير بيطلب من الضحيه انها تبعت عملات افتراضيه عشان تبقي غير قابله للتببع . اشهرها ال bitcoin وبيدي للضحيه مهله 3 ايام وكل يوم بيزيد عدد ال bitcoin اللي الضحيه بتتدفعها . يعني لو دفعت بدري تاخد خصم . طبعا مافيش اي ضمانات بعد ماحضرتك تدفع ان الداتا بتاعتك ترجع بالعكس اكيد هو هيكمل الابتزاز .

من المتوقع ان الرانسم وير تكون اجمالي خساير الشركات بسببه في 2019 11 مليار دولار وتقريبا متوسط الطلب لفك التشفير في العمليه الواحده 4300 دولار .

تطور الرانسم وير

زي ماقولنا اول ظهور ليه كان في سنة 1989 . كان مفتاح فك التشفير في الهجمه ديه متاح لان التشفير ماكنش بدرجه الصعوبه الكافيه . سنه 2006 ظهر Archiveus Trojan كان اول رانسم وير يستخدم تشفير صعب RSA encryption كان بيشفر MyDocuments وديه كانت اول سنه يبتدي ينتشر الرانسم وير عن طريق الميل . في 2007 بدا الرانسم وير اللي بيقفل لليوزر الاكونت اللي بيقدر يدخل بيه علي الكمبيوتر . في 2011 كانت بدايه اول هجمه منظمه جماعيه للرانسم وير تقريبا كان في اكتر من 60000 هجمه من الرانسم وير في 2011 . في 2012 بدا الهاكرز بناء علي مكان الضحيه يبعتوا ايميلات يبلغوا فيها الضحيه انهم متهمين بجرائم وعليهم غرامات لازم تتدفع . في 2013 كان اول رانسم وير يوصل لاجهزة أبل . ماكنش بيشفر داتا كان بيقفل او يعطل المتصفح safari ويبلغ الضحيه انه من وزاره الامن الداخلي وفي غرامه 300 دولار وظهر في نفس السنه اول رانسم وير علي الاندرويد SVPENG كان في الاصل برمجه خبيثه لسرقة بيانات بطاقات الدفع زي VISA وبعد كده تتطور انه يقدر يقفل الموبايل ويبلغ الضحيه ان الموبايل مقفول لانه فتح مواقع اباحيه للاطفال ولازم يدفع غرامه . وده قدر يصيب 900000 هاتف في اول شهر من اصداره . وفي نفس السنه بدا الرانسم وير يتنكر في برامج للحمايه زي Live Security Professional . وفي نفس السنه ظهر Cryptolocker كان اول رانسم وير يستخدم مفتاحين تشفير RSA 2048-bit وكان عنيف شويتين كان بيطلب منك تدفع في خلال 3 ايام اول هيمسح كل المفات المصابه ويمسح كمان مفتاح فك التشفير من علي السيرفر وفي ديسمبر 2013 قدر Cryptolocker انه يصيب 250000 جهاز وتم دفع بالفعل حوالي 42000 bitcoin في شهرين فقط تقريبا . بعد كده ظهر cryptocoin وده كان بيستخدم جهاز الضحيه للتعدين ويحول ال bitcoins لمحفظه الهاكر .

في 2014 ظهر CryptoDefense كان في مشكله صغيرة كان بيحط مفتاح فك التشفير علي الجهاز المصاب ورغم كده قدر يكسب 34000 دولار في اول شهر وفقا لسيمانتك . بعدها بشهرين تم تطويره وحل المشكله ديه وبقي اسمه CryptoWall . في نفس السنه تتطور CryptoLocker وبقي بيشفر الملفات اللي حجمها ااقل من 100 ميجا فقط ومش بيشفر ملفات الويندوز وبيستخدم مفتاح تشفير AES . في نفس السنه ظهر SynoLocker وده ماكنش بيصيب جهاز الضحيه هو بس كان بيستخدمه عشان يقدر يوصل لاجهزة التخزين Synology الموجوده علي الشبكه علي اعتبار انها طبعا شايله اهم الداتا

في 2015 كان في تطور مهم جدا للرانسم وير . بقي في هاكرز بيقدموا الرانسم وير كخدمه مقابل 20% من الايرادات يعني تقدر تعمل الرانسم وير الخاص بيك . وفي نفس السنه تعرض سيرفر مركز ميامي كاونتي للاتصالات Miami County Communication Center للاصابه ب CryptoWall 3.0 والاصابه كانت قويه لدرجه تعطيل سيستم 911 الطواري وفعلا دفعوا 700 دولار فديه لفتح ملفاتهم . في سنه 2015 بلغت اضرار الرانسم وير 325 مليون دولار .

في 2016 ظهر انواع كتيره جدا من الرانسم وير وبدا يصيب انظمه لينكس وماك وبدا ينتشر عن طريق ثغرات في JavaScript, HTML , CSS , WordPress في فبراير 2016 Palo Alto Networks طلعت تقرير بيقول ان Locky ضرب اكتر من 400000 مكان في ساعات قليله وان ورا الهجوم عصابه اسمها Dridex gang . في ابريل 2016 بدات شويه معلومات عن رانسم وير بيقدر يضرب الهارد ديسك كله ويشفره . كنت حاسس ان الموضوع صعب يحصل لحد ماشوفته في شركه وده كان في 2018 . مكتب التحقيقات الفيدرالي FBI اصدر تقرير بيقول ان في اول 3 شهور في 2016 وصل ايردات الرانسم وير وصلت 209 مليون دولار .

في 2017 ظهر Spora ransomware وكان بيقدر ينتقل عن طريق الفلاشات . وبعد كده DynA-Crypt ransomware وكان بيستخدم بروتوكول RDP في الوصول وكلمات المرور الضعيفه كانت بتسهل الموضوع جدا . وظهر Petya Ransomware وده كان مطور من Cryptolocker . وهنا بقي نوصل لموضوع مهم . ظهر Samas ransomware وده كان اول رانسم وير بيستهدف النسخ الاحتياطيه من برنامج ال Veeam وهنا يبان اهميه النسخ الاحتياطي الاوفلاين وده هيبقي موضوع مهم هناقشه من اوله في مقاله تانيه اكبر . وفي مايو 2017 كانت اكبر هجمه رانسم وير حصلت في التاريخ الي الان وضربت اكتر من 300000 جهاز كمبيوتر في 150 دوله . WannaCry Ransomware . الهجوم اثر علي شركات بمختلف الاحجام وخطوط سكك حديد ومطارات وجامعات . في يونيو 2017 Microsoft طلعت وقالت ان مافيش اي رانسم وير يقدر يضرب ويندوز 10 Creators Update وطبعا كالعاده خطاهم اثبت خلال 3 ساعات . بعدها بشهر ظهر NotPetya وده ماكنش بيطلب فديه هو كان بيدخل يشفر الملفات ويمسح مفتاح فك التشفير ( موت وخراب ديار ) .

في 2018 نشرت Enterprise Enterprise Group بحث بتقول في ان 63% من المؤسسات واجهت محاول علي الاقل من هجوم الرانسم وير . وبلغ عن الهجوم حوالي 22% . وفي يناير white hat hacker قدروا يطورا رانسم وير اسمه ransomcloud يقدر يشفر الايميلات بالكامل و Office 365 . بس طبعا لم يستخدم ransomcloud الي الان . خدوا بالكم بقي .

اهم هجمات الرانسم وير في التاريخ

NotPetya

بدا كتحديث ابرنامج ضرائب اوكراني موجود داخل اكتر من بلد . قدر يصيب مئات الالاف من اجهزة الكمبيوتر في اكتر من 100 دولة . تسبب في اضرار ماليه كبيره وضرب اكتر من شركه في الولايات المتحدة . وقدر يدخل شركات كبيرة جدا زي ميرك للادوية Merck . كلفها تقريبا 300 مليون دولار في الربع التالت من العام

WannaCry

كان اول رانسم وير يستخدم ثغرة SMB في نظام الويندوز وكان واحد من اكبر الهجمات في التاريخ . قدر يصيب ويعطل بنوك ومؤسسات حكوميه بالايام

Locky

كان اكبر انتشار ليه في 2016 بس اللي الان موجود ومنتشر ونزل منه اصدارات اخري بتعتمد علي نفس المنهج زي Diablo و Lukitus

CrySis

وده بينتشر عن طريق خدمه RDP الخاصة بنظام الويندوز بورت 3389 . وانتشر جدا بسبب ضعف ثقافة اليوزر في استخدام كلمات السر . وبيعتمد علي الدخول علي الجهاز وتثبيت الفيرس يدويا . بدا في استراليا ونيوزلاندا وانتشر جدا في سنه 2016 في اواخر 2018 تم نشر عده مفاتيح رئيسيه لفك التشفير يمكن ان يستخدمها الضحايا لاسترجاع ملفاتهم .

ازاي بقي احمي نفسي من الرانسم وير

طبعا الموضوع ده قتل بحثا . انا شايف ان اهم حاجه هي تنميه ثقافه اليوزر في استقبال الميلات وفتح الملفات واستخدام كلمات السر . ده مهمة كل سيستم ادمين حابب يحافظ علي سيرفراته . لازم نفهم اليوزر انه مايفتحش اي ملف او ميل غير لما يتاكد انه فعلا عارف مصدره وانه يعلي درجه صعوبه كلمات السر في الانظمه اللي شغال عليها .
تاني حاجه انك تأمن عمليه دخول جهاز اليوزر اللي الانترنت عن طريق فايروول محترم . وتقفله كل المواقع اللي ممكن تاذي السيستم .
طبعا لازم يبقي في antivirus محترم علي الاجهزة وطبعا السيرفرات . انا من خبرتي مع الرانسم وير برشح symantec endpoint . بالمناسبه جزء كبير من الرنسم وير والفيروسات عموما بيبقي سببه الكراكات والنسخ المضروبه حاول علي اد ماتقدر تجبر شركتك انها تشتري نسخ اصليه عشان امان الداتا .
طبعا لازم تحافظ علي الويندوز وكل البرامج اللي عندك علي الاجهزة خصوصا المتصفحات و الفلاش و منتجات ادوبي علي اخر تحديث .
لو عملت كل اللي فات ده يبقي انت كده غطيت 20% من الخطر . الي 80% الباقيين هما ال BAckup . لازم يبقي عندك اكتر من نسخه من الباكب ولازم يبقي في باكب اوفلاين زي ماقولنا في نص المقال . واخيرا ادينا بنعمل اللي علينا . كل يوم في ابتديت وفيرجين جديد من الرانسم وير . في مقالات كتير بتقول ان في دول مسئوله عن هجمات كتير . معظم الهجمات من شرق اسيا وروسيا . حاول علي اد ماتقدر طالما شغلك مالوش علاقه بالدول ديه يبقي اقفل اي IP للدول ديه علي الفايروول .

referance

https://medium.com/un-hackable/the-bizarre-pre-internet-history-of-ransomware-bb480a652b4b

https://www.techrepublic.com/article/the-top-10-worst-ransomware-attacks-of-2017-so-far/

https://www.knowbe4.com/ransomware

MOhamed Ashour
No Comments
Posted in:
Uncategorized
Comments
There are no comments yet.
Write a comment
Your comment
Name
Email

All search results
  • Sign up
Lost your password? Please enter your username or email address. You will receive a link to create a new password via email.
We do not share your personal details with anyone.
0