العين الإخبارية
اكتشف باحثون في مجال الأمن السيبراني نوعا جديدا من برامج الفدية الخبيثة التي تستخدم تنسيقًا غير معروف، خاصا بملفات جافا، لجعل اكتشافها أصعب قبل تثبيت حمولتها التي تُشفِّر ملفات الضحايا.
ووفق وحدة الاستجابة للحوادث التابعة لشركة KPMG للأمن الإلكتروني: فإنها استدعيت لإجراء جهود التعافي في معهد تعليمي أوروبي لم يذكر اسمه كان قد تعرض لهجوم ببرنامج فدية خبيث، ثم حلّلت وحدة أبحاث الأمن الإلكتروني التابعة لشركة بلاك بيري – التي تتشارك مع KPMG – البرامج الخبيثة ونشرت نتائجها أمس الخميس.
وقال باحثو بلاك بيري: إن أحد المتسللين اخترق شبكة المعهد باستخدام خادم لسطح المكتب بعيد متصل بالإنترنت، وأنشأ بابًا خلفيًا مستترًا ثابتًا من أجل الوصول بسهولة إلى الشبكة بعد مغادرتها.
وبعد أيام قليلة من عدم النشاط لمنع الكشف، أعاد المتسلل الدخول إلى الشبكة مرة أخرى من خلال الباب الخلفي، وعطّل أي خدمة تعمل ضد البرامج الخبيثة، ونشر برامج الفدية عبر الشبكة، وثبَّت الحمولة التي شفَّرت ملفات كل حاسوب في الشبكة، ثم طالب بفدية لفك التشفير.
أضاف الباحثون: إنها المرة الأولى التي يرون فيها برامج فدية خبيثة في تنسيق ملف جافا، أو JIMAGE. وتحتوي هذه الملفات على جميع المكونات اللازمة لتشغيل التعليمات البرمجية، فهي تشبه إلى حد ما تطبيقات جافا، ولكن نادرًا ما تفحصها محركات مكافحة البرامج الخبيثة.
يذكر أنه عادةً ما يستخدم مشغلو برامج الفدية الخبيثة خوارزميات التشفير القوية الجاهزة للاستحواذ على ملفات الضحايا مقابل فدية، وغالبًا ما تُطلب الفدية بصورة عملة مشفرة. وبالنسبة لمعظم الضحايا، فإن خياراتهم الوحيدة هي أن يأملوا في الحصول على نسخة احتياطية، أو دفع الفدية.
ولكن الباحثين قالوا: إنه كان هناك أمل في أن يتمكن بعض الضحايا من استعادة ملفاتهم المشفرة دون دفع الفدية، وذلك بالنظر إلى أن الإصدارات الأولى من برنامج الفدية الخبيث – الذي أُطلق عليه اسم Tycoon – استخدم مفاتيح التشفير نفسها للتشويش على ملفات ضحاياهم. وقال الباحثون: إن هذا يعني أنه يمكن استخدام أداة واحدة لفك التشفير لاستعادة الملفات لضحايا متعددين. ولكن يبدو أن الإصدارات الأحدث من Tycoon قد أصلحت هذا الضعف.
وقال باحثان من شركة بلاك بيري لموقع TechCrunch: إنهما لاحظا نحو 12 إصابة “رفيعة المستوى” في الأشهر الستة الماضية، مما يشير إلى أن المتسللين يختارون ضحاياهم بعناية.
