برامج الفدية Ransomware
مقدمة
برامج الفدية Ransomware هي أحد أنواع البرمجيات الخبيثة التي تقوم بتشفير الملفات على الجهاز المصاب وجعلها بذلك غير متاحة لصاحبها وفي الحين ذاته طالبة حوالة مالية مقابل فك تشفير الملفات وإعادتها متاحة لصابحها. إذا تقوم هذه البرمجيات الخبيثة باحتجاز الملفات كرهائن عبر تشفيرها وطلب مبلغ مالي لفك تشفيرها وإطلاق سراح الرهائن.
تعتبر هذه البرامج من البرامج الخبيثة الحديثة إذ أنها تعتمد على عملة الـ BitCoin الالكترونية لاستقبال وإرسال الحوالات المالية بشكل معمّى عبر الانترنت. بهذه الطريقة يمكن لصاحب البرنامج المسئ تجنب الملاحقة والإبقاء على سرية شخصيته عند استهداف ضحاياه.
تختلف هذه البرامج حسب الملفات التي تقوم بتشفيرها، فبعضها يقوم بتشفير كل الملفات داخل مجلد Documents وبعضها يقوم بالبحث عن ملفات الميديا كالصور والافلام وملفات الصوت أو الملفات المكتبية مثل الملفات النصية والجداول وملفات الـ PDF. تختلف أيضا حسب طريقة إصابة الجهاز فبعضها يكون معدا لإصابة جهاز شخص محدد يعرف المهاجم أن لديه القدرة على دفع الفدية وبعضها يصيب عددا كبيرا من الأجهزة بنفس الوقت ضمن مؤسسة أو شركة مثلا ويطلب المهاجم الفدية من الشركة وبعضها يستهدف أي شخص كان سواء عرف المهاجم قدرته أم لم يعرف.
تعد هذه البرمجيات بتقديم كلمة سرّ Password فك التشفير Decryption عند وصول استلام الحوالة. معظم البرمجيات تحترم هذا الوعد. لكن عددا منها، مثل برنامج GermanWiper الخبيث، لا يحترمه ما يعني خسارة الملفات حتى لو قام الضحية بتحويل مبلغ الفدية إلى حساب المهاجم.
وفيما يلي فيديو يتحدث فيه الخبير في أمن المعلومات دلشاد عثمان عن برامج الفدية تم نشره على موقع يوتيوب عام 2017:
آلية الإصابة برامج الفدية Ransomware infection
تشبه برامج الفدية الفيروسات في طريقة إصابتها لجهاز الضحية. وتعتمد في معظمها على اسلوب حصان طروادة Trojan. حيث يستغل المهاجم ثغرة Vunerability في نظام التشغيل مثلا أو أن يقوم المهاجم بالاحتيال على الضحية عبر أساليب الهندسة الاجتماعية Social Engineering ليخلق لنفسه إن نجح موطئ قدم على جهاز الضحية، ليقوم المهاجم بعد ذلك بتحميل برنامج الفدية على جهاز الضحية وتشغيله لتشفير الملفات وطلب الفدية.
بحب تقرير أصدرته شركة Sophos لأمن المعلومات تظهر الإحصائية التالية الآليات المختلفة التي استخدمت لإصابة الضحايا الذين تم سؤالهم في التقرير:
| الآلية | عدد الحالات | النسبة المئوية |
|---|---|---|
| عبر ملف خبيث مرفق مع البريد الالكتروني Email أو رابط خبيث او رابط إلى ملف خبيث ضمن بريد إلكتروني إلى أحد موظفي المؤسسة | 1142 | 45% |
| عبر هجوم عن بعد على خادمات المؤسسة | 543 | 21% |
| عبر تطبيقات على السحابة | 233 | 9% |
| عبر خدمة التحكم عن بعد المستخدمة ضمن المؤسسة | 221 | 9% |
| عبر جهة متعاقدة مع المؤسسة | 218 | 9% |
| عبر سواقة USB أو قرص خارجي | 172 | 7% |
| لا أعرف | 9 | 0% |
| المجموع | 2538 | 100% |
الفدية Random
تطلب برامج الفدية عادة بعد إصابة الجهاز وتشفير الملفات فدية لفك تشفير الملفات. تكون هذه الفدية على شكل حوالة لمبلغ مالي بعملة BitCoin الالكترونية أو عملة الكترونية مشابهة إلى محفظة (حساب) المهاجم. السبب وراء استخدام هذه العملات الالكترونية هو أنه من الصعب جدا وربما من المستحيل معرفة صاحب المحفظة الحقيق وبالتالي لا يمكن للشرطة أو للمحققين تتبع الحوالات المالية للوصول إلى المجرمين.
لدفع الفدية، على الضحية عادة إنشاء محفظة BitCoin وتحويل الملبلغ المطلوب إلى محفظة المهاجم ضمن المدة التي يتيحها برنامج الـ Ransomware.
بسبب تفشي هذا النوع من الهجمات، ظهرت شركات تقوم بالتواسط بين المهاجم والضحية وتحويل المبلغ المتفق عليه بالنيابة عن الضحية.
عند وصول الحوالة يقوم القائمون وراء هجمات الـ Ransomeware بإرسال كلمة سرّ فك التشفير أو مفتاح فك التشفير إلى الضحية، عند إدخال كلمة سرّ أو مفتاح فك التشفير تعود النسخ غير المشفرة من الملفات إلى الجهاز ويتوقف البرنامج الخبيث عن العمل. يجدر بالذكر أن بعد المهاجمين لا يقومون بإرسال المفتاح إلى الضحية حتى بعد دفع الفدية.
برامج الفدية كخدمة Ransomware as a Service RaaS
تقدم عدد من المجموعات الإجرامية ذات الخبرة والإمكانيات التقنية العالية "خدمة برامج الفدية" لمن هم أقل خبرة ومعرفة تقنية من المجرمين والذين لا يطورون برامجهم الخاصة. بحيث يقوم المجرمون الأقل خبرة باستخدام البنية التحتية التي توفرها إحدى منصات خدمات برامج الفدية لاستهداف ضحاياهم، بحيث يحصل أصحاب المنصة على جزء من الفدية في النهاية أو يحصلون على مبلغ مالي محدد متفق عليه مسبقا.
قد نتساءل، لماذا لا يقوم المجرمون وراء هذه المنصات بإصابة أجهزة الضحايا بأنفسهم وبالتالي الحصول على كامل الفدية بدل نسبة منها؟ الجواب متعدد الأوجه. فتطوير البرمجيات اللازمة لهذه المنصات يتطلب مهارات مختلفة عن المهارات اللازمة لاختراق الأجهزة أو الهندسة الاجتماعية، أيضا قد لا يتكلم مطورو هذه المنصات لغة المستهدفين وبالتالي تصعب إصابة الجهاز عبر الهندسة الاجتماعية. أيضا عملية اختراق الأجهزة عملية تتطلب الوقت، الذي قد لا تسنى لمطوري هذه المنصات. في حين أن تطوير هذه المنصات وطرحها للاستخدام من قبل مجرمين آخرين يضاعف إمكانيات الحصول على كميات كبيرة من الأموال دون مضاعفة الوقت اللازم للعمل. كما أن هناك أسباب قانونية تتعلق بأن مصممي المنصة لا يقومون أنفسهم بالاختراق وبالتالي فهم لم يقوموا بجرم اختراق ما بعينه، وقد يعني ذلك عقوبات أخف فيما لو تم القبض عليهم.
من بين منصات برامج الفدية كخدمة الشهيرة:
- Stampado
- Shark
- Encryptor
- Philadelphia
- Darkside
- Black Matter
أدى ظهور هذا النموذج من العمل الاجرامي إلى تنوع الأدوار و"الفرص" وتطور هذا النموذج بشكل مطرد منذ عام 2017 حتى باتت بيئة برامج الفدية كخدمة على أطراف متمايزة ومختصة في مجالات محددة ضمن البيئة مثل:
- جهات تقوم بعرض بيانات تسجيل الدخول أو ثغرات معلومة يمكن استغلالها للوصول إلى شبكات خاصة (بالشركات أو الافراد) للبيع عبر عرضها للبيع في سوق مختص بهذه المعلومات على شبكة الإنترنت المظلم، أو بشكل مباشر إلى زبائن تم التعامل معهم سابقا. من هذه المواقع متجر Genesis
- جهات تبيع برامج الفدية كخدمة لمن يدفه أجر الهجوم او نسبة من الأرباح.
- جهات تقوم باستخدام خدمة برامج الفدية لإصابة الضحايا والحصول على الفدية عبر العملات الرقمية المشفرة
- جهات تقوم بالتفاوض والوساطة بين الضحايا لضمان إمكانية فك التشفير إن تم دفع الفدية
- جهات تقوم بإخفاء طريق انتقال العملات الرقمية المشفرة بعد وصولها لمحفظة المهاجم كي لا يتمكن المحققون من ملاحقة العملة غلى وجهتها الأخيرة.
- مؤسسات تأمين ضد هجمات برامج الفدية ونذكرها هنا للدور الهام الذي تلعبه مؤسسات التأمين في هذا المجال في ضمان حصول الجهة المهاجمة على عائد مادي من مهاجمتها للمدارس الحكومية مثلا.
كما تطور دور مزودي خدمة برامج الفدية من مجرد مزود خدمة إلى مزود خدمة "مسؤول" عن تصرفات عملائه بحيث يضمن فك تشفير بيانات الضحية في حال تعاطف مزود الخدمة مع الضحية كأن يكون الضحية مستشفى ما أو جهة غير غنية أو جهة غير "معادية" لأفكار مزود خدمة برامج الفدية. ومازال التطور مستمرا ومشوقا في هذا المجال. سنحاول تخصيص فقرة لكل من هذه الجهات.
التأمين ضد الهجمات الالكترونية
تقوم الشركات الكبيرة والمؤسسات الحكومية عادة بالاستثمار ببوليصة تأمين ضد الهجمات الالكترونية، وحسب بوليصة التأمين وشروطها تتكفل الشركة المصدرة لبوليصة التأمين بدفع تعويض متفق عليه للأضرار الناجمة عن وقوع الشركة ضحية لهجوم الكتروني ما. وبالضبط هناك تفاصيل كثيرة مرتبطة بشروط التأمين وكلفة البوليصة وشروط التعويض والتحقيق بالهجوم ومقدار الضرر الحاصل على المؤسسة، وهو جانب عالي الأهمية في عالم المال والأعمال.
ما يهمنا من موضوع التأمين ضد الهجمات الإلكترونية من وجهة نظر هجمات الفدية هو أن أغلب الشركات، مثل المدارس والجامعات والمستشفيات الخاصة، والمؤسسات الحكومية مثل الإدارة المحلية في مدينة ما، تمتلك عادة بوليصة تأمين ضد الهجمات الالكترونية.
عند وقوع الشركة أو المؤسسة ضحية لهجوم الفدية، يكون لديها خياران، دفع الفدية والحصول على مفتاح فك التشفير، أو تحمل نتائج خسارة الملفات. وفي الحالتين تعتمد الضحية على بوليصة التأمين لتعويض الخسائر. تفضل شركات التامين دائما دفع أقل مبلغ ممكن. فإن كان مبلغ الفدية أقل من الضرر المتوقع من خسارة البيانات ستقوم شركة التأمين بدفع الفدية.
يعرف المهاجمون هذه الحقيقة جيدا، لذلك يقومون بتقدير الضرر الناتج عن خسارة الشركة للبيانات ويضعون قمية الفدية تحت تلك القيمة.
المهم في الموضوع أن وجود شركات التأمين ضد الهجمات الإلكترونية جعل من هذه الهجمات عملية مربحة جدا للمهاجمين.
وكالات الوساطة مع المهاجمين
في الكثير من الأحيان لا تمتلك الضحية التي تصاب بهجوم الفدية الخبرة للتعامل مع المشكلة.
ففي العادة تطلب الجهة المهاجمة من الضحية عبر رسالة تصل الضحية، تحويل مبلغ مالي بعملة رقمية مشفرة Cryptocurrency مثل BitCoin وهو أمر قد لا تكون لدى الضحية خبرة أو قدرة تقنية على إنجازه. أيضا قد لا يكون لدى الضحية الخبرة اللازمة لمعرفة ما إذا كان تحويل المبلغ المالي سيضمن الحصول على مفتاح فك التشفير، فعلى الضحية التعامل مع جهة إجرامية لا يمكن الوثوق بها. أيضا قد يكون المبلغ المطلوب أكبر بكثير مما تطيق الضحية وقد لا يعلم المهاجم ذلك، وقد لا تعلم الضحية أنه قد يكون بالإمكان التفاوض مع المجرمين بهدف تقليل مبلغ الفدية. وقد لا يكون لدى الضحية الخبرة التقنية لفك التشفير بعد الحصول على مفتاح فك التشفير من طالبي الفدية.
وبسبب ازدياد عدد الهجمات بين 2016 و2021 وكمية المبالغ المالية التي تضطر المؤسسات والشركات والضحايا تحويلها إلى المهاجمين، وبسبب الأسباب المذكورة أعلاه، بدأ عدد من الخبراء بالعمل كمستشارين متعاقدين مع هذه الشركات والمؤسسات التي وقعت ضحية لأحدى هذه الهجمات. وسرعان ما ظهرت وكالات تقدم خدمة الوساطة بين المهاجمين والضحايا مقابل مبلغ مالي لقاء الخدمات.
من الواضح أن عدد وحجم هجمات الفدية مؤهل للازدياد خصوصا مع ظهور برامج فدية جديدة أكثر تعقديا ومع ظهور نماذج جديدة لهذا النوع من الهجمات وجراء العائد المادي الكبير وراء هذا النوع من الجرائم في ظل عدم قدرة السلطات الأمنية من الوصول إلى منفذيه، وفي ظل وجود ثغرات أمنية كبيرة لدى الشركات والمؤسسات، وفي ظل حيازة أغلب هذه الشركات والمؤسسات على تأمين ضد الهجمات الالكترونية ما يعني أن الجهة المصدرة لبوليصة التأمين هي من تقوم بدفع الفدية أو تعويض المؤسسة المنكوبة بمبلغ الفدية.
هجمات الفدية المضاعفة Double Extortion Ransomware Attacks
في هجمات الفدية المضاعفة Double Extortion Ransomware Attacks يقوم المهاجمون قبل تشفير البيانات بمعاينتها والاحتفاظ لديهم بنسخة من البيانات الحساسة التي يستطيعون ابتزاز الضحايا بمحتواها، وبعد ذلك يقوم برنامج الفدية بتشغير الملفات على جهاز الضحية. ليطالب المهاجم فيما بعد من الضحية فدية أولى لعدم نشر أوتسريب البيانات الحساسة التي حصل عليها المهاجمون وفدية ثانية لفك تشفير الملفات كما في هجمات برامج الفدية Ransomware العادية.
وقد برزت هذه الطريقة من الهجمات في نهايات عام 2019 لتنمو بشكل سريع في عام 2020.
الوقاية من الاصابة ببرامج الفدية
للوقاية من الإصابة ببرامج الفدية يجب حماية الجهاز من الإصابة باسلوب حصان طروادة. أي التأكد من عدم وجود ثغرات يمكن للمهاجم استغلالها. والتأكد من عدم الوقوع ضحية الاحتيال بأساليب الهندسة الاجتماعية. إذا وبشكل مختصر يجب التأكد من:
فيما يخص سد الثغرات:
- تحديث نظام التشغيل بشكل دوري ويفضل ضبط نظام التشغيل بحيث يقوم بالتحديث بشكل مؤتمت
- تحديث المتصفح بشكل دوري، ويفضل استخدام متصفح يقوم بإجراء التحديث بشكل مؤتمت مثل كروم Chrome
- استخدم مضاد فيروسات Antivirus جيد مثل أفيرا Avira
- استخدم جدار النار Firewall جيد أو فعل جدار الحماية المدمج بنظام التشغيل
- تابع أخبار الثغرات والتحديثات على المواقع التي تعنى بأمن المعلومات، راجع لائحة المشاريع والمؤسسات المعنية بأمن المعلومات مواقع أخبار مختصة بالخصوصية وأمن المعلومات وأمن الانترنت
فيما يخص عدم الوقوع ضحية للهندسة الاجتماعية، اقرأ المقالة المسهبة حول الهندسة الاجتماعية Social Engineering وراعي النقاط المذكورة في بند الوقاية من الهندسة الاجتماعية.
الوقاية من آثار الإصابة ببرامج الفدية
الطريقة الأكثر نجاعة والأقل كلفة للوقاية من آثار الإصابة ببرامج الفدية هي إجراء النسخ الاحتياطية Backups للملفات الهامة بشكل دوري.
فلو أصيب جهازك ببرنامج فدية ولم تكن مستعدا، ستصبح في موقف يصعب الخروج منه بدون خسائر. فإما أن تخسر الملفات، إذ أنها أصبحت مشفرة بواحدة من أفضل أساليب التشفير Encryption. أو أن تخسر الحوالة عبر إرساله للمهاجم أملا بالحصول على المفتاح لفك التشفير واستعادة الملفات. أو أن تخسر الحوالة والملفات إن لم يفِ المهاجم بوعده بإرسال المفتاح إثر وصول الحوالة.
أما لو كان لديك نسخة احتياطية Backup عمرها أسبوع مثلا، مخزنة على قرص صلب خارجي أو باستخدام إحدى خدمات التخزين السحابي Cloud Storage. فستكون خسارتك في أقصاها الملفات الجديدة خلال ذلك الاسبوع. لذلك ننصح بإجراء النسخ الاحتياطية بشكل دوري للتقليل من آثار الإصابة ببرامج الفدية وللتقليل من مخاطر كثيرة أخرى كخسارة الملفات عند ضياع أو سرقة الجهاز، أو تلف قرص الجهاز الصلب، الخ.
أدوات لاستعادة الملفات المصابة
قد تحتوي برامج الفدية على خطأ في التصميم أو على ثغرة ما يمكن استغلالها لاستعادة الملفات أو للحصول على مفتاح فك تشفير الملفات دون الحاجة لدفع الفدية.
منذ ظهور برامج الفدية ومنذ بدء انتشارها، يقوم الباحثون والخبراء على إيجاد هذه الثغرات أو الأخطاء في برامج الفدية المختلفة وكتابة البرامج التي تقوم في النهاية باستعادة الملفات دون الحاجة لدفع الفدية.
بالطبع وجود ثغرات أو خطأ في تصميم برامج الفدية هو الاستثناء وليس القاعدة. لذلك تبقى خطوات الوقاية من الاصابة ببرامج الفدية والوقاية من آثار الإصابة ببرامج الفدية، الطريق الصحيح للتعامل مع هذا التهديد.
يقوم مشروع The No More Ransom بمتابعة نتائج هذه الأبحاث وجمع البرامج والأدوات التي تمكن المصابين ببعض أنواع برامج الفدية من استعادة الملفات.
لمعاينة لائحة برامج الفدية التي يمكن الالتفاف عليها في موقع المشروع https://www.nomoreransom.org/
أخبار ذات صلة News and Updates
- استطاعت الشرطة الفدرالية في شهر تشرين الثاني/نوفمبر من عام 2021 في الولايات المتحدة الأمريكية كشف القائمين وراء مجموعة REvil التي كانت تقدم خدمات RaaS والتي كانت خدماتها وراء الكثير من هجمات الفدية التي أصابت قطاعات اقتصادية وحيوية في الولايات المتحدة الأمريكية وغيرها من الدول حول العالم. وتم اعتقال شخص اوكراني أثناء عبوره للحدود بين أوكرانيا وبولندا بعد اصدار مذكرة توقيف بحقه بتهمة إدارة مجموعة REvil. كما تم إصدار مذكرة اتهام وتوقيف بحق مواطن روسي بتهمة العمل مع REvil والوقوف وراء الهجوم على شبكة TSM Consulting والتي استطاع عبرها اختراق شبكة اكثر من عشرين مؤسسة حكومية في تكساس. واستطاعت وزارة العدل استرجاع ما يقابل 1.6 مليون دولار من العملات الرقمية. كما حصلت عدة اعتقالات في رومانيا الكويت وكوريا الجنوبية. كما فرضت وزارة الاقتصاد الأمريكية عقوبات على منصة Chartex لتداول العملات الرقمية بعد ثبوت ضلوعها في تمرير العملات الرقمية التي حصل عليها المهاجمون من الضحايا إلى السوق. كما عرضت الحكومة الأمريكية مكافأة 10 مليون دولار لمعلومات توصل إلى اللاعبين الأساسيين من مجموعة REvil و5 ملايين دولار للوصول إلى أشخاص ثانويين في مجموعة REvil.
- أدى هجوم ببرامج الفدية على مشفى مدينة دسلدورف الجامعي الألمانية University Hospital of Düsseldorf (UKD) إلى وفاة مريضة بسبب تعطل نظم المعلومات اثر الهجوم. المزيد هنا.
- في آخر أخبار موجة هجمات برامج الفدية التي تستهدف الحكومات والبلديات والمجالس الإدارية في الولايات المتحدة عام 2019، أعلنت حكومة ولاية لويزيانا في تشرين الثاني/نوفمبر 2019 عن تعرضها لهجمة برامج فدية واسعة النطاق دفعت حكومة الولاية إلى إغلاق خادمات ومواقع بما في ذلك خادمات البريد الالكتروني الخاصة بالولاية لإيقاف عدوى الإصابة والحد من الأضرار.
- في تموز/يوليو 2019 أعلنت ولاية لويزيانا حالة الطوارئ اثر تعرض عدد كبير من المدارس لهحمات برامج الفدية أدت لتعطيل عملها أو لتكليفها مبالغا مالية ضخمة تسدها شركات التأمين التي تؤمن على أجهزة وشبكات المدارس. ما يجعل هذه الأهداف أهدافا سهلة وأهدافا تمتلك مبالغ مالية جيدة يمكن ابتزازها عبر شركات التأمين.
برامج الفدية الشهيرة Notable Ransomware
نذكر هنا عددا من برامج الفدية الشهيرة والتي استخدمها المهاجمون لإصابة نظم وأجهزة كثيرة حول العالم.
WannaCry
أصاب عدد كبير جدا من الأجهزة حول العالم (حوالي 300 ألف جهاز في الأيام الثلاثة الأولى) في وقت قياسي عبر استغلال ثغرة أمنية في مخدم SMB في نظام التشغيل ويندوز Windows اثر تسرب معلومات عن الثغرة إلى الانترنت عبر مجموعة الاختراق Shadow Broker التي استطاعت الحصول على هذه المعلومة وغيرها بعد اختراق وكالة الأمن القومي NSA الأمريكية التي تحاول بشكل مستمر إيجاد ثغرات في أنظمة التشغيل لاستخدامها كسلاح عند الحاجة لعمليات التجسس والاختراق.
صورة توضح انتشار WannaCry في انحاء العالم:
(المصدر: malwaretech.com)
صورة للنافذة التي تظهر على شاشة الجهاز المصاب بعد الاصابة طالبة الفدية لفك تشفير الملفات الرهينة
(المصدر: ويكيميديا)
جيرمان وايپر GermanWiper
أو الماسح الألماني، برنامج فدية استهدف البلدان والمستخدمين الناطقين بالألمانية في صيف 2019. انتشر على شكل ملف "سيرة ذاتية" مرفق مع رسائل بريد الكتروني لشخص يبحث عن عمل، وصل الشركات والمكاتب المستهدفة في الدول الناطقة بالألمانية (ألمانيا، النمسا وسويسرا)، يقوم هذه البرنامج بعد الإصابة بطلب الفدية من الضحية، وبنفس الوقت يقوم البرنامج بمسح محتوى الملفات بدل تشفيرها، أي أن محتوى الملفات سيضيع حتى لو تم دفع الفدية. ولذلك يعد من البرامج شديدة الضرر.
ريفيتون Reveton
هذه الفقرة ما تزال قيد الانشاء
كريبتولوكر CryptoLocker
هذه الفقرة ما تزال قيد الانشاء
مقلدات كريبتولوكر CryptoLocker Copycats
هذه الفقرة ما تزال قيد الانشاء
لوكي Locky
هذه الفقرة ما تزال قيد الانشاء
ريوك Ryuk
هذه الفقرة ما تزال قيد الانشاء
كونتي Conti
وهو برنامج فدية استهدف بشكل أساسي بلدان العالم الأول بقصد الحصول على ربح مادي كبير. يعتمد القائمون على الهجمات الخبيثة ببرنامج كونتي Conti على أساليب الهندسة الاجتماعية لإصابة جهاز ضحية في شركة أو مؤسسة غنية بقصد الوصول إلى بقية الأجهزة والبيانات ضمن المؤسسة، ثم أخذ نسخة عن البيانات، ثم تشفير جميع البيانات على أجهزة المؤسسة، ثم إيصال التهديد إلى المؤسسة بضرورة دفع الفدية أولا للحصول على برنامج فك التشفير الذي لا تستطيع بدونه المؤسسة استعادة البيانات (إن لم يكن لديها نسخة احتياطية) وثانيا كي لا ينفذ المهاجمون تهديدهم بعرض البيانات على وقعهم ضمن على الويب المظلم Dark Web لتنضم بذلك عصابة كونتي إلى لائحة العصابات التي تستخدم نفس التكتيك للابتزاز.
توضح الصورة أدناه موقع Conti على الـ Dark Web:
تعتد هجمات كونتي في أيار/مايو عام 2021 استهداف مؤسسات وشركات القطاع الصحي في الولايات المتحدة وإيرلندا وغيرها من الدول، حيث استطاع المهاجمون اختراق 14 شركة عاملة في القطاع الصحي في الولايات المتحدة وخدمة الضمان الصحي في إيرلندا، واستطاعوا الحصول على البيانات الصحية لعملاء هذه الشركات والمؤسسات وطالبوا بفدية مقابل عدم نشر البيانات على العلن، ويذكر أن الحكومة الإيرلندية رفضت الرضوخ للتهديد واضطروا للعدول عن استخدام الإنترنت وتقنيات المعلومات في عمل المؤسسة لعدة أيام حتى يستطيع الخبراء تحديد موضع الاختراق وإزالته، كما استطاعت الحكومة الحصول على أمر من القضاء يمنع نشر البيانات السرية إن تسربت ضمن إيرلندا، أي يمنع الصحافة ومواقع المدونات ومواقع التواصل الاجتماعي من تداول البيانات إن قام المهاجمون بتسريبها حفاظا على خصوصية من تسربت بياناتهم في مواجهة بين السلطات والمهاجمين الخارجين عن القانون والذين لا تعرف هويتهم الحقيقية ولا مكان تواجدهم على الرغم من التخمينات بأنهم في الغالب موجودون في روسيا أو في الصين أو كوريا الشمالية خارج مدى يد القانون الإيرلندي.
REvil
هذه الفقرة ما تزال قيد الانشاء
السابق: هجوم الحرمان من الخدمة Distributed Denial of Service (DDoS) attack
الهجمات الالكترونية الخبيثة Malicious Cyber Attacks
اقرأ أيضا See Also
الهندسة الاجتماعية Social Engineering
مراجع References
ماهو الرانسوم وير؟ Ransomware؟
Ransomware Virus Shuts Down Electric and Water Utility - 29.04.2016
Beware! Malicious JPG Images on Facebook Messenger Spreading Locky Ransomware - 30.11.2016
GermanWiper ransomware hits Germany hard, destroys files, asks for ransom 02.08.2019
Sophos - The State of Ransomware 2020
Cyber-attack: Europol says it was unprecedented in scale
WannaCry ransomware attack - Wikipedia
Conti (Ryuk) joins the ranks of ransomware gangs operating data leak sites