بات يشكل هجوم برنامج الفدية Ransomware تهديداً رئيسياً لعدد كبير من المؤسسات بمختلف أشكالها وأنواعها. حيث أشار تقرير “The State of Ransomware 2020”  الصادر عن شركة الأمن السيبراني Sophos ، أن 51% من المؤسسات قد تعرضت بشكل مباشر إلى هجمات برامج الفدية خلال عام 2020، فيما بلغ متوسط ​​تكلفة معالجة الهجوم الواحد 761,106 دولار أمريكي على مستوى العالم.

وعلى الرغم من وجود أنواع عديدة من برامج الفدية، يبقى Emotet أحد أكثر الإصدارات خطورةً التي ظهرت في الأسابيع الأخيرة. هو “مكون رئيسي” مهم في حملات برامج الفدية الأخيرة التي استهدفت عدداً كبيراً من البلدان أهمها ألمانيا والنمسا وسويسرا والولايات المتحدة والمملكة المتحدة وكندا، بحسب تقرير Proofpoint.

 

ما هو برنامج الفدية Emotet؟

برنامج الفدية Emotet هو حصان طروادة متاح من خلال نماذج البرامج الضارة المتاحة كخدمة (MaaS). هذا يعني أنه يمكن لمجرمي الإنترنت تنزيل حزمة معيّنة، غالباً مقابل بضع مئات من الدولارات أو رسوم اشتراك شهرية، تسمح لهم بتنفيذ هجمات مباشرة على الشركات والأفراد.

الحمولة الأولية التي يتم تسليمها عادةً عبر البريد الإلكتروني أو المستندات المصابة أو مواقع الويب الخبيثة، تطلق العنان لبرنامج نصي أو ماكرو أو رمز يعمل كدودة تصيب تطبيقات وأنظمة برمجية مختلفة في أجهزة المستخدمين. ويوضح خبراء الأمن السيبراني بأن Emotet غالباً ما يبقى في وضع الخمول لمدة 30 إلى 45 يوماً قبل أن يشن هجوم برنامج الفدية.

حصان طروادة هذا فعّال للغاية لأنه قادر على تنزيل مكونات البرامج الضارة باستمرار فيما يشق طريقه عبر الأنظمة الموجودة على جهاز الضحية. وتجدر الإشارة أيضاً إلى أن العديد من أدوات الأمان التقليدية، مثل جدران الحماية، ليست فعالة ضد البرنامج لأنه قادر على إنشاء قنوات مشفرة لا تستطيع دفاعات الشبكة اكتشافها.

بعد ذلك، بمجرد قيام Emotet بالتقاط ملفات الضحية وتشفيرها، يطلب اللصوص الإلكترونيون فدية مالية غالباً ما يتم دفعها من خلال عملة إلكترونية لا يمكن تعقبها، مثل Bitcoin. من اللافت للنظر أن مجرمي الإنترنت يديرون برامج الفدية هذه تماماً مثل الأعمال التجارية، بما في ذلك تقديم خدمة الدعم للعملاء.

 

كيف يبدو الهجوم؟

عادةً ما تحدث العدوى عندما ينقر شخص ما على رابط خبيث في رسالة بريد إلكتروني تبدو عادية، يتم تحديدها بهجوم تصيد احتيالي. ثم يتم توجيه المستخدم إلى موقع أو خدمة تقوم بتنزيل “الملف الخبيث الأوّلي”. وبمجرد ظهور هذا الماكرو أو الرمز على جهاز كمبيوتر الضحية، يبدأ في البحث عن أجهزة كمبيوتر أخرى متصلة بهدف زيادة انتشار البرامج الضارة. في كثير من الأحيان، يتم استخدام برنامج Microsoft Outlook لإنشاء رسائل بريد إلكتروني.

نظراً لأن Emotet يصيب الأنظمة، فإنه يشن هجمات شديدة القوة على الحسابات، ويسعى إلى كسر كلمات المرور والوصول إلى البيانات الآمنة. في مرحلة ما، يقوم بالتقاط هذه الملفات وتشفيرها. بمجرد أن يحتفظ مجرمو الإنترنت بالبيانات المشفرة، يقومون بحظر وصول الشركة أو الأفراد إلى ملفاتهم، ثم يطالبون بفدية مالية لفك الحظر المفروض.

يمكن أن يتراوح سعر الفدية من بضعة آلاف من الدولارات إلى ملايين الدولارات. وفقًا لتقرير Sophos، فإن 94٪ من المؤسسات تستعيد السيطرة على بياناتها في النهاية ولكن بمتوسط ​​تكلفة 732,520 دولار أميركي لكل هجوم.