بعد «شمعون 2».. موجة جديدة من الهجمات تستهدف الشركات

بعد الأثر الذي تركته هجمات "شمعون 2" اشتدت حدة الهجمات الإلكترونية التي تستهدف الشركات في المملكة والشرق الأوسط حيث تم اكتشاف موجة من الهجمات الإلكترونية التي تهدف إلى تشفير البيانات وطلب الفدية من الضحايا لفك التشفير والاستفادة من البيانات المشفرة، إضافة إلى موجة أخرى من البرمجيات الخبيثة التي تهدف إلى تدمير البيانات على غرار "شمعون 2".

موجة هجمات الفدية
لم يعد تدمير أو سرقة البيانات الحساسة والسرية من الشركات الهدف الرئيس لقراصنة الإنترنت ومطوري البرمجيات الخبيثة بل تطور الأمر خلال العامين الماضيين ليكون العائد المادي هو ما يصبو إليه مطورو هذه البرمجيات، ليس عبر سرقة الحسابات المصرفية أو اختراقها بل عبر تشفير البيانات وتركها لدى مالكها الأساسي دون إمكانية الاستفادة منها.
وتعرضت الشركات في الشرق الأوسط خلال الأسبوع الماضي إلى موجة جديدة من الهجمات تدعى RanRan، وقد أطلق هذا الاسم على الهجمات الجديدة نظرا لوجود كلمة RanRan في الكود البرمجي للبرمجيات الخبيثة التي تقوم بهذه الهجمات. وتركز الهجمات الجديدة على مؤسسات القطاع الحكومي بصورة رئيسية، إذ تعتمد على برامج الفدية Ramnsomware، وهي غير مرتبطة بسلسلة الهجمات الإلكترونية السابقة التي شهدتها بعض المؤسسات في منطقة الشرق الأوسط وأطلق عليها آنذاك الاسم "شامون".
تعد الموجة الجديدة من الهجمات أقل تعقيدا مقارنة بالبرمجيات الخبيثة السابقة، وهي تقوم برمجية بتشفير الملفات الموجودة على الكمبيوتر، ثم تطلب من فدية من المستخدم لفك تشفير هذه الملفات مجددا كي يتمكن المستخدم من الوصول إليها، إلا أن شركة بالو ألتو نتووركس من فك الكود البرمجي الخاص بهذه البرمجيات وبالتالي فك تشفير الملفات التي تقوم البرمجية الخبيثة الجديدة بتشفيرها. وتقوم البرمجية الخبيثة بتثبيت نفسها على نظام التشغيل، بسبب خاصية التشغيل التلقائي التي تمكنها من العمل تلقائيا كلما تم تشغيل الكمبيوتر.

موجة هجمات تدمير البيانات
ولم تكن برمجيات الفدية هي البرمجية الوحيدة التي تعرضت لها الشركات، بل تم اكتشاف برمجية خبيثة جديدة أيضا تتسبب في مسح وإتلاف البيانات، أطلق عليها اسم StoneDrill، استخدمت لشن هجمات مركزة نحو أهداف في منطقة الشرق الأوسط وفي أوروبا. وتم رصد طريقة عمل برمجية StoneDrill، التي تعمل على إتلاف كل المحتوى المخزن على جهاز الكمبيوتر المصاب كما أنها مزودة بتقنيات متقدمة لمكافحة التتبع، ومدعمة بوسائل للتجسس في ترسانتها الهجومية، وأن رغم تصميم نمط هجومها على غرار برمجية Shamoon 2.0 الخبيثة إلا أنها تختلف عنها وتفوقها تطورا. وأشارت شركة كاسبرسكي لاب لأمن المعلومات إلى أنها مازالت لم تكشف كيفية دس ونشر برمجية StoneDrill الخبيثة، إلا أنها بمجرد وصول البرمجية إلى الجهاز المصاب، تقوم بالولوج إلى ذاكرة المتصفح المفضل للمستخدم. وخلال هذه المرحلة، تستخدم اثنتين من التقنيات المتطورة المضادة للمحاكاة بهدف تضليل الحلول الأمنية المثبتة على جهاز الضحية. ومن ثم تبدأ البرمجية الخبيثة بتدمير ملفات القرص الصلب للكمبيوتر. وإلى جانب نمط مسح البيانات، فهناك برنامج التسلل من الباب الخلفي Backdoor لبرمجية StoneDrill الخبيثة، الذي صمم من قبل واضعي رموز التشفير Code الخبيثة أنفسهم واستخدامه لأغراض التجسس.
وتم الكشف عن أربع لوحات للتحكم والسيطرة تم استخدامها من قبل المهاجمين لتشغيل عمليات التجسس بمساعدة برنامج التسلل من الباب الخلفي Backdoor لبرمجية StoneDrill الخبيثة ضد عدد غير معروف من الأهداف.
وقد يكون الأمر الأكثر إثارة للاهتمام حول برمجية StoneDrill المدمرة يكمن في أنها تبدو على صلة بعناصر خبيثة ماسحة وعناصر تجسس أخرى لوحظ وجودها سابقا.