اتصالات وتكنولوجيا

       

عصابة JSWorm تتغير جذريًا في أسلوب عملها خلال عامين

       

       

       

       

       


تحرص كاسبرسكي على البحث بعمق في عمليات العصابات المختصة بالهجمات التي تُشنّ ببرمجيات الفدية، نظرًا لاستمرار برمجيات الفدية الموجهة في مطاردة الشركات في جميع أنحاء العالم. ويساعد هذا البحث في فهم هذا النوع من الهجمات بشكل أفضل وتطوير حماية أكثر تقدمًا ضد التهديدات التي تشكلها. وقد فكّك باحثو كاسبرسكي وفحصوا عينات غريبة تنتمي إلى مجموعة JSWorm، التي أبدت خفة حركة واضحة في ترقية أدواتها التخريبية الرقمية. واستطاعت هذه الجماعة، التي ركزت في السابق على العمليات واسعة النطاق، التكيّف والتطور بسرعة لينصبّ تركيزها حاليًا على العمليات دقيقة التوجيه، وذلك في غضون عامين فقط، إذ طورت أكثر من ثمانية “أسماء تجارية” للبرمجيات الخبيثة خاصتها.

ومُنحت كل نسخة متحورة من برمجيات طلب الفدية اسمًا مميِّزًا لها يتسم بجوانب برمجية مختلفة، كما منحت امتدادات الملفات فيها تسميات جديدة، وجرى أيضًا تغيير أنماط التشفير ومفاتيح التشفير فيها. كذلك أعاد مطورو برمجيات الفدية هذه صياغة شيفراتها البرمجية وحاولوا إيجاد سبل متنوعة لتوزيعها، ما يدلّ على قدرتهم على التكيّف بدرجة عالية وتمتعهم بموارد هائلة.

أبرز إصدارات برمجيات الفدية التي أنشأها مطورو JSWorm

واكتشفت برمجيات JSWorm الخبيثة مختلف مناطق العالم؛ من أمريكا الشمالية والجنوبية (في البرازيل والأرجنتين والولايات المتحدة) مرورًا بالشرق الأوسط وإفريقيا (في جنوب إفريقيا وتركيا وإيران) وأوروبا (في إيطاليا وفرنسا وألمانيا) وصولًا إلى آسيا المحيط الهادئ (في فيتنام)، مع تركّز أكثر من ثلث جميع الهجمات (39%) التي استهدفت المؤسسات والأفراد في 2020 في منطقة آسيا المحيط الهادئ.

وبالنظر إلى القطاعات المستهدفة، يتضح أن عائلة برمجيات الفدية هذه تركز على البنية التحتية الحيوية والقطاعات الرئيسة في أنحاء العالم. فقد استهدف ما يقرب من نصف هجمات JSWorm (41%) الشركات العاملة في مجالات الهندسة والتصنيع. كما احتلت قطاعات الطاقة والخدمات الأساسية 10% من الهجمات، والتمويل 10%، والخدمات المهنية والاستهلاكية 10%، والنقل 7%، والرعاية الصحية 7% من هذه الهجمات.

وتعكس عمليات JSWorm وقدرتها على التكيف والسرعة في تطوير برمجيات خبيثة جديدة توجهًا مهمًا ومثيرًا للقلق، بحسب فيدور سينيتسن الباحث الأمني لدى كاسبرسكي، الذي أوضح أن عصابات برمجيات الفدية تمتلك موارد كافية تكفل لها تغيير عملياتها وترقية مجموعات أدواتها “بسرعة مزعجة تمكنها من مهاجمة المزيد من المؤسسات في جميع أنحاء العالم”. وأضاف: “عادةً ما نلمس هذه القدرة العالية على التكيّف في أوساط مجموعات التهديدات المتقدمة المستمرة، لكن عصابات برمجيات الفدية لا تقتصر في عملها على أهداف محددة، بل إنها تُسرّ بمطاردة أية شركة ترى أنها قادرة على ضربها في هجوم تشنه، ما يُظهر أهمية أن تتحلى فرق الأمن الرقمي في المؤسسات بالسرعة واليقظة والقدرة على التكيف عندما يتعلق الأمر بالحاجة إلى تثبيت الإجراءات الأمنية، وذلك حمايةً للمؤسسات من مخاطر هجمات الفدية”.

يمكن مطالعة التقرير الكامل حول الإصدارات المختلفة من برمجيات JSWorm على Securelist، وقراءة تفاصيل أوفى حول منظومة برمجيات الفدية في التقرير المعنون بـ “عالم هجمات طلب الفدية في 2021: من وكيف ولماذا”.

هذا، وتوصي كاسبرسكي باتباع التدابير التالية للبقاء في مأمن من هجمات JSWorm وأنواع أخرى من برمجيات الفدية:
• عدم تعريض خدمات سطح المكتب البعيد (مثل RDP) للشبكات العامة ما لم يكن ذلك ضروريًا للغاية، مع الحرص على استخدام كلمات مرور قوية لهذه الخدمات.
• الحرص على أن تظلّ حلول الشبكات الخاصة الافتراضية VPN التجارية والبرمجيات الأخرى الكائنة في جانب الخادم محدثة دائمًا، لأن استغلال هذا النوع من البرمجيات يُعتبر أحد نواقل الهجوم الشائعة لبرمجيات الفدية. وينبغي الحرص كذلك على تحديث التطبيقات الكائنة في جانب العميل أيضًا.
• جعل استراتيجيات الحماية مرتكزة على اكتشاف حركات البيانات الجانبية ومحاولات سحب البيانات إلى الإنترنت، مع الانتباه خصوصًا لحركة البيانات الصادرة من أجل اكتشاف محاولات المجرمين الرقميين للاتصال بالأنظمة المؤسسية الرقمية. كذلك يجب الحرص على إجراء النسخ الاحتياطي للبيانات بانتظام، مع ضمان الوصول إليه بسرعة في حالات الطوارئ. أيضًا، يمكن استخدم أحدث معلومات التهديدات للبقاء على دراية بالأساليب والتكتيكات والإجراءات التي تلجأ إليها الجهات التخريبية القائمة وراء التهديدات الرقمية.
• استخدام حلول مثل Kaspersky Endpoint Detection and Response وخدمة Kaspersky Managed Detection and Response للمساعدة في تحديد الهجوم وإيقافه في مراحل مبكرة قبل أن يحقّق المهاجمون أهدافهم منه.
• من المهم حماية بيئة الشركة عبر تثقيف الموظفين، ويمكن أن تساعد الدورات التدريبية التخصصية، مثل تلك المتوفرة في منصة Kaspersky Automated Security Awareness Platform، في هذا الجانب.
• استخدام حلّ أمني موثوق به لحماية النقاط الطرفية، مثل Kaspersky Endpoint Security for Business الذي يجري تشغيله عن طريق محرك خاص بمنع الاستغلال واكتشاف السلوك، قادر على إلغاء الإجراءات التخريبية. ويتمتع هذا الحلّ بآليات للدفاع عن النفس لمنع المجرمين الرقميين من إزالته.