منصَتك لأخبار الاقتصاد و الأعمال
مختصون: 23 مليون دولار طلبات فدية نتيجة هجمات WannaCry .. وجهات محلية لا تعلم بإصابتها
موجة من الهلع اجتاحت العالم بعد هجمات الفدية WannaCry التي تم شنها على نطاق واسع استهدفت معظم الحكومات والشركات وحتى المستخدمين الأفراد على مستوى العالم فيما يزيد على 150 دولة، وبسبب الضرر الذي حل بها وخوفا على سمعتها لم تعترف عديد من هذه الجهات في الشرق الأوسط بشكل عام وفي منطقة الخليج بشكل خاص بتعرضها لهذه الهجمات أو تأثرها بها خوفا على سمعتها إما من منافسيها أو عملائها.
وقام مركز الأمن الإلكتروني بوزارة الداخلية بمراقبة نشاط الهجمات خلال الأيام الماضية سعيا منه لحماية البيئة الإلكترونية الداخلية للمستخدمين وكل من القطاعين الحكومي والخاص والمحافظة على سلامة الأنظمة لكل الجهات الحيوية في المملكة، فقد استمر في تحليل بيانات الهجمات على مدار الأيام الماضية، وتبين تواصل عديد من الشبكات بالمملكة مع نطاقات مشبوهة ذات علاقة بالهجوم.
ومن خلال التحقيقات والتحليل المتقدم، فقد تأكد للمركز إصابة عدد من الجهات في القطاعين الحكومي والخاص في الهجوم ونتجت عن الإصابة أضرار محدودة يتم احتواؤها مقارنة بالأضرار العالمية، وقد أرسل المركز توصيات لمختلف الجهات لكيفية التعامل مع الإصابة، ومازال المركز يعمل مع الجهات المصابة ويتعاون معها لتجاوز آثار الإصابة.
وبحسب مركز الأمن الإلكتروني بوزارة الداخلية فإن هجوم الفدية الإلكتروني WannaCry لا يزال مستمرا منذ يوم الجمعة 12 مايو، حيث أصاب ما يزيد على 150 دولة حول العالم.
كيف بدأت الهجمات؟
كان القطاع الصحي أول القطاعات المتضررة من جراء هذه الهجمات التي استهدفت في مرحلتها الأولى عددا كبيرا من المؤسسات الكبيرة مثل المستشفيات البريطانية ما أدى إلى تعليق أعمالها، حيث اخترق فيروس WannaCry أكثر من 100 ألف جهاز كمبيوتر تابع للقطاع الصحي في المرحلة الأولى، وقد جاءت روسيا في المرتبة الأولى من حيث تعرضها لهجمات الفيروس، كما عانت عدة دول مثل أوكرانيا والهند وتايوان وغيرها حيث بلغ عدد الدول المصابة بالفيروس 74 دولة، وكل ذلك في اليوم الأول فقط من الهجوم، وتجاوز عدد الدول التي تعرضت للهجمات حول العالم 150 دولة.
ما هجمات فيروس WannaCry؟
تم تقسيم سياق هجمات فيروس WannaCry على مرحلتين رئيستين، الأولى يطلق عليها استغلال الثغرات وتهدف إلى التسلل والانتشار، والمرحلة الثانية يطلق عليها التشفير ويحدث ذلك عبر برنامج تشفير يتم تثبيته في جهاز الكمبيوتر بعد إصابته بالفيروس، وهنا يكمن الفرق الرئيس بين فيروس WannaCry ومعظم برامج التشفير الأخرى، وليتمكن الفيروس من التسلل إلى جهاز كمبيوتر عبر برنامج تشفير مشترك، يجب أن يرتكب المستخدم خطأ مثل الضغط على رابط مريب يسمح بتشغيل وحدة ماكرو خبيثة، أو تنزيل مرفق مريب من رسالة بريد إلكتروني، ويمكن أن تصاب الأجهزة أيضا دون القيام بأي خطأ.
وبعد اختراق الفيروس WannaCry لجهاز الكمبيوتر بنجاح، يحاول الانتشار عبر الشبكة المحلية للوصول إلى أجهزة الكمبيوتر الأخرى، ثم يمسح برنامج التشفير أجهزة الكمبيوتر الأخرى بحثا عن نقطة الضعف نفسها التي يمكن استغلالها بمساعدة ثغرات محددة مثل ثغرة EternalBlue، وعندما يعثر عليها، فإنه يهاجمها ويقوم بتشفير ملفات المستخدم.
وقد تبين أن الفيروس يستطيع الانتشار إلى الشبكة المحلية بكاملها وتشفير كل أجهزة الكمبيوتر الأخرى المتصلة بهذه الشبكة عند اختراقه جهازا واحدا فقط، ما جعل الشركات الكبيرة أكثر من عانى هذه الهجمات، فكلما زاد عدد أجهزة الكمبيوتر الأخرى في الشبكة المحلية زاد الضرر.
ويقوم عمل الفيروس على تشفير ملفات مختلفة تشمل الصورة والمستندات المكتبية، ومقاطع الصوت، والملفات الأرشيفية، والبيانات الأخرى التي تحتوي على بيانات شديدة الأهمية للمستخدم، لتصبح الملفات غير قابلة للوصول على الإطلاق، وبعد ذلك، يغير برنامج التشفير خلفية سطح المكتب إلى صورة تحتوي على معلومات عن العدوى والإجراءات التي يجب على المستخدم فعلها لاستعادة الملفات، كما يقوم بنشر إشعارات في شكل ملفات نصية تحتوي على المعلومات نفسها في كل المجلدات في الكمبيوتر حتى يضمن تسلم المستخدم للرسالة.
إنكار الإصابة بهذه الهجمات
أكد مختصون أمن معلومات أن هناك دولا عربية لم تعلن إصابتها بفيروس الفدية WannaCry، للحفاظ على سمعة الجهات المتضررة، مشيرين إلى أن الإجراءات والتدابير التي يتم اتخاذها للتقليل من مخاطر الهجمات الإلكترونية ما هي إلا سبل للوقاية لا لمنع الهجمات من الجذور، مطالبين بتوعية موظفي المؤسسات لحماية معلوماتهم، والحصول على حلول أمنية متطورة تساعد موظفي أمن المعلومات في إنجاز أعمالهم، وتوظيف أصحاب الخبرة في أمن المعلومات للتقليل من المخاطر.
وعن الدول الأكثر تضررا من فيروس الفدية، قال إنه كانت على قائمة الدول الأكثر استهدافا بهذه البرمجية الخبيثة دول روسيا يليها أوكرانيا وتايوان والهند، وتم تسجيل بعض الإصابات في دول عربية وخليجية، إلا أنها كانت إصابات لمؤسسات صغيرة ولم يتم الإعلان عنها رسميا حتى الآن.
وقال شهاب نجار قائد وحدة مكافحة الإرهاب الإلكتروني بمنظمة شرطة السايبربول الدولية: "هناك إصابات بالفيروس في دول عربية عديدة، ودول أخرى لم تعلن عن الاصابات ربما للحفاظ على سمعة تلك الجهات، وهذا بالتأكيد لا يعني أن كل الدول آمنة ومحصنة"، مشيرا إلى أن الإجراءات والتدابير التي يتم اتخاذها للتقليل من مخاطر الهجمات الإلكترونية ما هي إلا سبل للوقاية لا لمنع الهجمات من الجذور، وقد أساهم انتشار أنظمة التشغيل والبرمجيات المقرصنة في دول عربية عديدة في رفع نسبة المخاطر في تلك الدول.
وأضاف "هناك مؤسسات عربية عديدة ما زالت تعتقد أنها ليست بحاجة لأمن المعلومات لأنهم لا يتعاملون مع معلومات حساسة بحسب رأيهم، والجزء الآخر من المؤسسات لا يمتلك الميزانية المناسبة لأمن المعلومات، وهو الأمر الخطير الذي يدق ناقوس الخطر في تلك الدول".
من جهته، أوصى غريب سعد باحث أمني أول بفريق البحث والتحليل العالمي بشركة كاسبرسكاي لاب في الشرق الأوسط وتركيا وإفريقيا، باتخاذ عدد من الإجراءات للحد من تداعيات وانتشار هذا الهجوم، منها تثبيت برنامج تصحيح الثغرات الرسمي "Patch" من "مايكروسوفت" الذي يقوم بسد الثغرات الأمنية المستخدمة في الهجوم، والتأكد من تفعيل الحلول الأمنية على كل العقد في الشبكة، وتشغيل خاصية المسح الضوئي للمناطق الحرجة للكشف عن الإصابة المحتملة في أقرب وقت ممكن، واستخدم خدمات الإبلاغ عن مخاطر التهديدات الخاصة بالعملاء.
الخسائر المالية المتوقعة
يهدد مطورو الفيروس ضحاياهم بدفع مبلغ 300 دولار لفك تشفير البيانات وإن لم يفعلوا ذلك خلال ثلاثة أيام سيقومون برفع مبلغ الفدية إلى 600 دولار أمريكي، وفي كثير من الأحيان، حاول البعض إنهاء هذا الأمر عبر تحويل المبلغ بعملة البيتكوين لكن دون فائدة.
وأوضح شهاب نجار، أن عديدا من الشركات المتخصصة في الحلول الأمنية نشرت مقالات وتغريدات توعوية بخصوص فيروس الفدية WannaCry، كما قامت بتحديث مضادات الفيروسات وذلك لحماية المستخدمين.
وحول خسائر الجهات المتضررة من الهجمات الأخيرة، اعتبر أن الخسائر المادية يمكن التعامل معها، لكن سمعة الجهة بعد اختراقها هو ما يشكل الخطر الأكبر، حيث يطلب فيروس الفدية 300 دولار لإعادة فتح الجهاز المستهدف الواحد، وهناك عداد زمني للفيروس، حيث إنه في حال لم يدفع الضحية مبلغ الفدية خلال ثلاثة أيام، يرتفع مبلغ الفدية إلى 600 دولار، وقد أصاب الفيروس أكثر من 77 ألف جهاز في 100 دولة تقريبا، وهذا يعني أن الخسائر المادية قد تصل تقريبا إلى 23 مليون دولار أي ما يعادل 86.25 خلال هذه الفترة الزمنية القصيرة فقط.
وأوضح مختصون أن قطاع الرعاية الصحية يقع دائما تحت وطأة هجمات القرصنة الإلكترونية، بسبب التخلي عن المعايير الأمنية غير المواكبة للعصر والعمل بالنظم القديمة التي لا تتناسب مع المقاييس العالمية، حيث ارتفعت أعداد هجمات القرصنة الإلكترونية التي استهدفت منظمات الرعاية الصحية خلال العام الماضي 2016 بنسبة 63 في المائة، كمت سجلت مؤسسات الرعاية الصحية في شهر آذار (مارس) الماضي نموا في الاختراق الإلكتروني بنسبة 155 في المائة مقارنة بالشهر نفسه سنة من العام الماضي.
مواجهة الفيروس والحد من انتشاره
بشأن كيفية تجنب تلك الهجمات مستقبلا، طالب نجار الجهات الرسمية بتوعية الموظفين العاملين داخل المؤسسات، لأن الموظف نفسه هو المسؤول عن أمن معلوماته وبياناته، ولأن الهجوم في الأصل يستهدف كل الأجهزة بشكل عشوائي، مشددا على أهمية الحصول على حلول أمنية متطورة تساعد موظفي أمن المعلومات في إنجاز أعمالهم، وهي حلول تساعد في التصدي ومراقبة أي نشاطات خبيثة داخل الشبكات والأجهزة التي قد يتم استهدافها، علاوة على أن توظيف أصحاب الخبرة في أمن المعلومات لدى الجهات الحكومية سيسهم بكل تأكيد في التقليل من أي مخاطر متوقعة على تلك الجهات.
وعن الجهات التي تقف وراء الهجمات الأخيرة، أشار إلى أن التحقيقات ما زالت جارية، وبين أن منشورات شركات أمن المعلومات بخصوص هجمات فيروس الفدية أسهمت في توعية وتنبيه عديد من الجهات الرسمية وغير الرسمية، علما أنه ما زالت توجد حتى اليوم جهات لا تعلم إن كانت مخترقة أم لا، وهذا للأسف بسبب سوء تعاملهم مع موضوع أمن المعلومات بجدية.
وتوقع نجار زيادة الطلب على برنامج الحماية من هذه الفيروس وغيره في الفترة المقبلة، وقال "هناك جهات حكومية وأمنية قامت بالتنسيق لاجتماعات داخلية طارئة لمناقشة سبل الوقاية والحماية من الهجمات الإلكترونية الحالية، وقد أسهم الإعلام العربي والأجنبي ومواقع التواصل الاجتماعي المختلفة بشكل كبير في لفت انتباه أصحاب القرار في المؤسسات الرسمية للحصول على حلول أمنية متطورة".
ويوصي باحثو الشركة باتخاذ عدة إجراءات للحد من تداعيات وانتشار هذا الهجوم، بما في ذلك تثبيت برنامج تصحيح الثغرات الرسمي Patch من "مايكروسوفت" الذي يقوم بسد الثغرات الأمنية المستخدمة في الهجوم، والتأكد من تفعيل (تشغيل) الحلول الأمنية على كل العقد في الشبكة.
ولسوء الحظ، لا يوجد حتى الآن طريقة معتمدة لفك تشفير البيانات التي تم اختراقها من قبل فيروس WannaCry، إلا أن عديدا من الشركات التقنية الرائدة قامت بنشر حلول الحماية من الفيروس قبل الإصابة به حيث قال لـ"الاقتصادية" عبدالله العزيب مدير التسويق والإعلام في "مايكروسوفت" العربية: "يتمتع أولئك الذين يمتلكون برامج مايكروسوفت المجانية المضادة للفيروسات أو الذين يمتلكون تحديثات ويندوز التلقائية الخاصة بالحماية من الهجمات الأخيرة بالحماية، ونظرا للأثر المحتمل للمستخدمين قمنا أيضا بإصدار تحديثات لنظام التشغيل ويندوز XP وويندوز 8 وكذلك ويندوز سيرفر 2003، وتعمل فرقنا مع العملاء حاليا على تثبيت التحديثات الأمنية التي يتم إصدارها بين عشية وضحاها من أجل مساعدتهم على استعادة أمان شبكاتهم، ونحن نعمل أيضا معهم على إصلاح واستعادة أنظمتهم وفقا لما يحتاجونه".
ونشرت شركة Kaspersky Lab نصائح حول كيفية الوقاية من الاختراق وتقليل الضرر التي تركزت في تثبيت تحديثات كل البرامج المستخدمة في جهاز الكمبيوتر، خاصة تحديث "مايكروسوفت" الأمني MS17-010، الذي يسهم في حماية مستخدمي نظام ويندوز من هذه الهجمات.
كما يجب إنشاء نسخ احتياطية من الملفات بانتظام وخزن النسخ في أجهزة تخزين غير متصلة دائما بالكمبيوتر أو بشبكة الإنترنت، وإذا كان لدى المستخدمين نسخة احتياطية حديثة، فلن تكون الإصابة بالفيروس مؤثرة جدا.
كما يوصي الخبراء بأخذ التدابير الاحترازية لحماية أنفسهم من الوقوع ضحية هذه الهجمات عبر الحرص عن فتح أو تحميل أي ملفات أو روابط من الإنترنت أو من البريد الإلكتروني.
وحذر مركز الأمن الإلكتروني من إمكانية وجود نسخة معدلة من البرمجية الخبيثة، ما يؤدي لاستمرار الهجمة وإصابة شبكات جديدة، أوصى باتخاذ الإجراءات الوقائية وتطبيق التوصيات المرسلة من المركز لمختلف الجهات لحماية شبكاتها من الإصابة، كما يمكن للجهات المتضررة التواصل مع المركز حال تعرض أي جهة للهجوم من خلال وسائل التواصل بموقع المركز الرسمي: www.ncsc.gov.sa.
