ما المقصود بالبرنامج الضار؟

تنطوي كل الهجمات الإلكترونية الحديثة تقريبًا على نوع من البرامج الضارة. يمكن لهذه البرامج الضارة أن تتخذ أشكالًا عديدة، تتراوح بين برامج الفدية عالية الضرر والمكلفة إلى برامج الإعلانات المتطفلة المزعجة فحسب، ويعتمد ذلك على ما يهدف المجرمون الإلكترونيون إلى فعله.

يطور المجرمون الإلكترونيون البرامج الضارة ويستخدمونها لأغراض منها:

• احتجاز الأجهزة أو البيانات أو شبكات المؤسسات بأكملها كرهائن مقابل مبالغ طائلة من المال.
  
  
• الحصول على وصول غير مصرح به إلى بيانات حساسة أو أصول رقمية.
  
  
• سرقة بيانات اعتماد تسجيل الدخول أو أرقام بطاقات الائتمان أو الملكية الفكرية أو غيرها من المعلومات القيّمة.
  
  
• تعطيل الأنظمة الحيوية التي تعتمد عليها الشركات والوكالات الحكومية.

تحدث مليارات الهجمات بالبرامج الضارة كل عام، ويمكن أن تحدث عدوى البرنامج الضار على أي جهاز أو نظام تشغيل. يمكن أن تقع أنظمة Windows و Mac و iOS و Android ضحية.

تستهدف هجمات البرامج الضارة على نحو متزايد الأعمال بدلاً من المستخدمين الأفراد، حيث أدرك القراصنة أن استهداف المؤسسات أكثر ربحاً. غالبًا ما تحتفظ الشركات بكميات كبيرة من البيانات الشخصية، ويستغل المتسللون هذه الحقيقة لابتزاز مبالغ كبيرة من المال منها. يمكن للمتسللون استخدام هذه البيانات الشخصية لسرقة الهوية أو بيعها على الشبكة الخفية.

إن الجرائم الإلكترونية هي صناعة ضخمة. وفقًا لأحد التقديرات، ستكون ثالث أكبر اقتصاد في العالم بعد الولايات المتحدة والصين، ومن المتوقع أن تبلغ تكلفتها 10.5 تريليون دولار أمريكي بحلول عام 2025.

ضمن هذه الصناعة، يطور المخترقون باستمرار سلالات جديدة من البرامج الضارة بميزة جديدة ووظائف جديدة. وتنتج هذه السلالات الفردية من البرامج الضارة متغيرات جديدة بمرور الوقت لتجنب برامج الأمان بشكل أفضل. تشير التقديرات إلى أنه قد تم إنشاء أكثر من مليار سلالة ومتغير من البرامج الضارة المختلفة منذ الثمانينيات، مما يجعل من الصعب على المتخصصين في الأمن الإلكتروني مواكبتها.

غالبًا ما يشارك المتسللون برامجهم الضارة عن طريق جعل التعليمات البرمجية مفتوحة المصدر أو بيعها لمجرمين آخرين. البرامج الضارة كخدمة  شائعة بين مطوري برامج الفدية، بحيث يمكن حتى للمجرمين ذوي الخبرة الفنية المحدودة أن يجنوا ثمار الجرائم الإلكترونية.

بينما يتغير المشهد باستمرار، يمكن تصنيف سلالات البرامج الضارة إلى بضعة أنواع شائعة.

غالبًا ما تستخدم مصطلحات "البرامج الضارة" و"فيروس الكمبيوتر" كمترادفات، ولكن الفيروس هو تقنيًا نوع معين من البرامج الضارة. على وجه التحديد، الفيروسات هي تعليمات برمجية ضارة تختطف البرامج المشروعة لإلحاق الضرر وتنشر نسخ من نفسها.

لا يمكن للفيروسات أن تعمل من تلقاء نفسها. وبدلاً من ذلك، يقومون بإخفاء مقتطفات من التعليمات البرمجية الخاصة بهم في برامج أخرى قابلة للتنفيذ. عندما يبدأ المستخدم البرنامج، يبدأ الفيروس في العمل أيضًا. عادةً ما يتم تصميم الفيروسات لحذف البيانات المهمة، وتعطيل العمليات العادية، ونشر نسخ منها إلى برامج أخرى على الكمبيوتر المصاب.

كانت معظم تهديدات البرامج الضارة المبكرة عبارة عن فيروسات. كان Elk Cloner، الذي ربما يكون أول برنامج ضار ينتشر عبر الأجهزة العامة، فيروسًا يستهدف أجهزة كمبيوتر Apple.

برامج الفدية تقوم بقفل أجهزة الضحية أو بياناتها وتطلب دفع فدية، عادة ما تكون على شكل عملة مشفرة، لفتحها. وفقًا لمؤشر X-Force Threat Intelligence التابع لشركة IBM، فإن برامج الفدية هي ثاني أكثر أنواع الهجمات الإلكترونية شيوعًا، حيث تمثل 17% من الهجمات.

إن أبسط هجمات برامج الفدية تجعل الأصول غير قابلة للاستخدام حتى يتم دفع الفدية، ولكن قد يستخدم المجرمون الإلكترونيون تكتيكات إضافية لزيادة الضغط على الضحايا.

في هجوم ابتزاز مزدوج، يسرق المجرم الإلكتروني البيانات ويهدد بتسريبها إذا لم يتم الدفع له. في هجوم الابتزاز الثلاثي، يقوم المتسللون بتشفير بيانات الضحية، وسرقتها، والتهديد بتعطيل الأنظمة عبر هجوم حجب الخدمة الموزع (DDoS).

تتراوح مطالب الفدية من عشرات الآلاف إلى ملايين الدولارات الأمريكية. وفقا لأحد التقارير، يبلغ متوسط دفع الفدية 812,360 دولارًا أمريكيًا. حتى لو لم يدفع الضحايا، فإن برامج الفدية مكلفة. وجد تقرير تكلفة خرق البيانات من IBM أن متوسط تكلفة هجوم برامج الفدية يبلغ 4.38 مليون دولار أمريكي مع تدخل جهات إنفاذ القانون، وترتفع التكلفة إلى 5.37 مليون دولار أمريكي بدون تدخل جهات إنفاذ القانون، ولا تشمل أرقام التكلفة هذه الفدية نفسها.

يستخدم القراصنة برنامج ضار للوصول عن بُعد للوصول إلى أجهزة الكمبيوتر أو الخوادم أو الأجهزة الأخرى عن طريق إنشاء أو استغلال الأبواب الخلفية. وفقًا لمؤشر X-Force Threat Intelligence، فإن زراعة الأبواب الخلفية هي الهدف الأكثر شيوعًا للمتسللين، حيث تمثل 21% من الهجمات.

تسمح الأبواب الخلفية للمجرمين الإلكترونيين بفعل الكثير. يمكنهم سرقة البيانات أو بيانات الاعتماد، أو السيطرة على الجهاز، أو تثبيت برنامج ضار أكثر خطورة مثل برمجيات الفدية الخبيثة. يستخدم بعض القراصنة برنامج ضار للوصول عن بًعد لإنشاء أبواب خلفية يمكنهم بيعها لقراصنة آخرين، والتي يمكن أن يجلب كل منها عدة آلاف من الدولارات الأمريكية.

بعض البرامج الضار للوصول عن بُعد، مثل Back Orifice أو CrossRAT، مصممة عمدًا لأغراض خبيثة. يمكن للمتسللون أيضًا تعديل أو إساءة استخدام البرامج الشرعية للوصول عن بُعد إلى جهاز ما. على وجه الخصوص، يستخدم مجرمو الإنترنت بيانات الاعتماد المسروقة لبروتوكول سطح المكتب البعيد (RDP) الخاص بـ Microsoft كأبواب خلفية.

شبكة الروبوت هي شبكة من الأجهزة المتصلة بالإنترنت والمصابة بالبرامج الضارة، وتخضع لسيطرة مخترق. يمكن أن تتضمن شبكات الروبوتات أجهزة الكمبيوتر الشخصية والأجهزة المحمولة وأجهزة إنترنت الأشياء (IOT) والمزيد. غالبًا ما لا يلاحظ الضحايا عندما تكون أجهزتهم جزءا من شبكة الروبوتات. وغالبًا ما يستخدم المتسللون شبكات الروبوتات لشن هجمات حجب الخدمة الموزعة (DDoS)، والتي تغمر الشبكة المستهدفة بالكثير من حركة المرور لدرجة أنها تتباطأ بشكل كبير أو تتوقف عن العمل تمامًا.

كانت Mirai ، إحدى أشهر الشبكات الروبوتية، مسؤولة عن هجوم ضخم في عام 2016 ضد مزود نظام أسماء النطاقات Dyn. أدى هذا الهجوم إلى تعطيل مواقع الويب الشهيرة مثل Twitter و Reddit لملايين المستخدمين في الولايات المتحدة وأوروبا.

قرصان التشفير هو برنامج ضار يتحكم في جهاز ويستخدمه لتعدين العملات الرقمية، مثل البيتكوين، دون علم المالك. بشكل أساسي، يقوم قراصنة التشفير بإنشاء شبكات روبوتات لتعدين العملات المشفرة.

يُعد تعدين العملات الرقمية مهمة مكلفة للغاية وتتطلب الكثير من الحوسبة. يستفيد مجرمو الإنترنت بينما يواجه مستخدمو أجهزة الكمبيوتر المصابة تجربة تباطؤ في الأداء وتعطل. غالبًا ما يستهدف قراصنة التشفير البنية التحتية السحابية، مما يسمح لهم بحشد الموارد لتعدين العملات الرقمية أكثر من استهداف أجهزة الكمبيوتر الفردية.

تعد البرامج الضارة بدون ملفات نوعًا من الهجمات التي تستغل الثغرات الأمنية في برامج الكمبيوتر المشروعة مثل متصفحات الويب ومعالجات النصوص لحقن التعليمات البرمجية الضارة مباشرة في ذاكرة الكمبيوتر. نظرًا لأن التعليمات البرمجية تعمل في الذاكرة، فإنها لا تترك أي أثر على القرص الصلب. ونظرًا لأنها تستخدم برنامجًا شرعيًا، فإنها غالبًا ما تتجنب الاكتشاف.

تستخدم العديد من هجمات البرامج الضارة بدون ملفات PowerShell، وهي واجهة سطر أوامر وأداة برمجة نصية مدمجة في نظام التشغيل Microsoft Windows. يمكن للمتسللين تشغيل البرامج النصية PowerShell لتغيير التكوينات أو سرقة كلمات المرور أو إحداث أضرار أخرى.

وحدات الماكرو الضارة هي متجه شائع آخر للهجمات بدون ملفات. تسمح تطبيقات مثل Microsoft Word و Excel للمستخدمين بتحديد وحدات الماكرو ، ومجموعات الأوامر التي تعمل على أتمتة المهام البسيطة مثل تنسيق النص أو إجراء العمليات الحسابية. يمكن للمتسللين تخزين البرامج النصية الضارة في وحدات الماكرو هذه. عندما يفتح المستخدم الملف، يتم تنفيذ هذه البرامج النصية تلقائيًا.

الديدان هي برامج خبيثة ذاتية التكاثر يمكنها الانتشار بين التطبيقات والأجهزة دون تدخل بشري. (مقارنةً بالفيروس الذي يمكن أن ينتشر فقط إذا قام المستخدم بتشغيل برنامج مخترق). في حين أن بعض الديدان لا تفعل شيئًا أكثر من الانتشار، فإن العديد منها لها عواقب وخيمة. على سبيل المثال، كان برنامج الفدية WannaCry، الذي تسبب في أضرار تقدر بنحو 4 مليارات دولار أمريكي، دودة زادت من تأثيرها عن طريق الانتشار تلقائيًا بين الأجهزة المتصلة.

أحصنة طروادة تتظاهر بأنها برامج مفيدة أو تختبئ داخل برامج مرخصة لخداع المستخدمين لتثبيتها. يؤدي حصان طروادة للوصول عن بُعد أو "RAT" إلى إنشاء باب خلفي سري على الجهاز المصاب. نوع آخر من أحصنة طروادة يسمى "الناقل"، يقوم بتثبيت برامج ضارة إضافية بمجرد أن يتمكن من التسلل. Ryuk، أحد أكثر سلالات برمجيات الفدية الخبيثة تدميراً في الآونة الأخيرة، استخدم Emotet Trojan لإصابة الأجهزة.

أدوات التأصيل هي حزم البرامج الضارة التي تسمح للمخترقين بالحصول على امتيازات على مستوى المسؤول للوصول إلى نظام تشغيل الكمبيوتر أو الأصول الأخرى. يمكن للمتسللين بعد ذلك استخدام هذه الأذونات المرتفعة للقيام بأي شيء يريدونه تقريبًا، مثل إضافة مستخدمين وإزالتهم أو إعادة تكوين التطبيقات. غالبًا ما يستخدم المتسللون أدوات التأصيل لإخفاء العمليات الضارة أو تعطيل برامج الأمان التي قد تصيبهم.

برامج التخويف (Scareware) تُخيف المستخدمين لدفعهم إلى تنزيل البرامج الضارة أو تمرير معلومات حساسة إلى المحتالين. غالبًا ما يظهر برنامج التخويف على شكل نافذة منبثقة مفاجئة تحتوي على رسالة عاجلة، وعادةً ما يحذر المستخدم من أنه خالف القانون أو أن جهازه مصاب بفيروس. توجّه النافذة المنبثقة المستخدم إلى دفع "غرامة" أو تنزيل برنامج أمان مزيّف يتبين أنه برنامج ضار.

تختبئ برامج التجسس على جهاز كمبيوتر مصاب وتجمع المعلومات الحساسة سراً وتنقلها إلى المهاجم. هناك نوع شائع من برامج التجسس، يُطلق عليه اسم "راصد لوحة المفاتيح"، يسجل جميع ضغطات المفاتيح التي يقوم بها المستخدم، مما يسمح للقراصنة بحصد أسماء المستخدمين وكلمات المرور وأرقام الحسابات المصرفية وبطاقات الائتمان وأرقام الضمان الاجتماعي وغيرها من البيانات الحساسة.

تقوم برامج الإعلانات المتسللة بإغراق الجهاز بإعلانات منبثقة غير مرغوب فيها. غالبا ما يتم تضمين البرامج الإعلانية مع البرامج المجانية، دون علم المستخدم. عندما يقوم المستخدم بتثبيت البرنامج، فإنه يقوم عن غير قصد بتثبيت البرامج الإعلانية أيضاً. معظم البرامج الإعلانية ليست أكثر من مجرد مصدر إزعاج. ومع ذلك، فإن بعض البرامج الإعلانية تحصد البيانات الشخصية وتعيد توجيه متصفحات الويب إلى مواقع ويب خبيثة أو حتى تنزيل المزيد من البرامج الضارة على جهاز المستخدم إذا نقر على إحدى النوافذ المنبثقة.

يتكون هجوم البرنامج الضار من عنصرين: حمولة البرنامج الضار ومتجه الهجوم. الحمولة هي التعليمات البرمجية الضارة التي يريد المتسللون زرعها، ومتجه الهجوم هو الطريقة المستخدمة لتوصيل الحمولة إلى هدفها.

تتضمن بعض متجهات البرنامج الضار الأكثر شيوعًا ما يلي:

تعلن بعض حالات الإصابة بالبرامج الضارة، مثل برامج الفدية، عن نفسها. ومع ذلك، فإن معظمهم يحاولون البقاء بعيدًا عن الأنظار بينما يثيرون الفوضى. ومع ذلك، غالبًا ما تترك الإصابات بالبرنامج الضار علامات يمكن لفرق الأمن الإلكتروني استخدامها للتعرف عليها. تشمل هذه العلامات ما يلي:

انخفاض الأداء: تستخدم البرامج الضارة موارد الكمبيوتر المصاب للتشغيل، وغالبًا ما تستهلك مساحة التخزين وتعطل العمليات المشروعة. قد يلاحظ فريق دعم تكنولوجيا المعلومات تدفقاً في عدد التذاكر من المستخدمين الذين تتباطأ أجهزتهم أو تتعطل أو تغمرها النوافذ المنبثقة.

النشاط الشبكي الجديد وغير المتوقع: قد يلاحظ موظفي تكنولوجيا المعلومات والأمن أنماطًا غريبة، مثل العمليات التي تستخدم نطاقًا تردديًا أكبر من المعتاد، والأجهزة التي تتصل بخوادم غير معروفة أو حسابات المستخدمين التي تصل إلى الأصول التي لا يستخدمونها عادةً.

تغيير التكوينات: تقوم بعض سلالات البرامج الضارة بتغيير تكوينات الجهاز أو تعطيل الحلول الأمنية لتجنب اكتشافها. قد تلاحظ فرق تكنولوجيا المعلومات والأمان أنه، على سبيل المثال، تغيرت قواعد جدار الحماية أو تم رفع امتيازات أحد الحسابات.

تنبيهات الأحداث الأمنية: بالنسبة للمؤسسات التي لديها حلول للكشف عن التهديدات، من المرجح أن تكون أول علامة على وجود إصابة ببرنامج ضار هي تنبيه حدث أمني. يمكن للحلول مثل أنظمة اكتشاف التطفل (IDS) ومنصات إدارة المعلومات الأمنية والأحداث (SIEM) وبرامج مكافحة الفيروسات الإبلاغ عن برنامج ضار لفريق الاستجابة للحوادث لمراجعته.

هجمات البرامج الضارة أمر لا مفر منه، ولكن هناك خطوات يمكن للمؤسسات اتخاذها لتعزيز دفاعاتها. تتضمن هذه الخطوات:

التدريب على الوعي الأمني: تنتج العديد من إصابات البرامج الضارة عن قيام المستخدمين بتنزيل برامج مزيفة أو الوقوع ضحية لعمليات التصيد الاحتيالي. يمكن أن يساعد التدريب على الوعي الأمني المستخدمين على اكتشاف هجمات الهندسة الاجتماعية ومواقع الويب الضارة والتطبيقات المزيفة. كما يمكن لتدريب الوعي الأمني تثقيف المستخدمين حول ما يجب عليهم فعله وبمن يتصلون إذا اشتبهوا بوجود تهديد من برنامج ضار.

سياسات الأمان: يمكن أن يساعد طلب كلمات مرور قوية ومصادقة متعددة العوامل وشبكات VPN عند الوصول إلى الأصول الحساسة عبر شبكة wifi غير آمنة في الحد من وصول المتسللين إلى حسابات المستخدمين. إن إنشاء جدول منتظم لإدارة التصحيحات وتقييم الثغرات الأمنية واختبار الاختراق يمكن أن يساعد أيضًا في اكتشاف الثغرات الأمنية للبرامج والأجهزة قبل أن يستغلها المجرم الإلكتروني. يمكن أن تساعد السياسات الخاصة بإدارة أجهزة نظام أحضر جهازك معك (BYOD) ومنع تقنية المعلومات الظلية في منع المستخدمين من جلب برنامج ضار إلى شبكة الشركة دون علمهم.

النسخ الاحتياطية: يمكن أن يسهل الاحتفاظ بنسخ احتياطية محدثة من البيانات الحساسة وصور النظام، ويفضل أن يكون ذلك على محركات أقراص صلبة أو أجهزة أخرى يمكن فصلها عن الشبكة، التعافي من هجمات البرامج الضارة.

بنية شبكة الثقة الصفرية: الثقة الصفرية هي نهج لأمن الشبكات حيث لا يتم الوثوق بالمستخدمين أبدًا ويتم التحقق منهم دائمًا. على وجه الخصوص، تنفذ الثقة الصفرية مبدأ الامتياز الأقل، والتجزئة الدقيقة للشبكة والمصادقة التكيفية المستمرة. يساعد هذا التطبيق على ضمان عدم تمكن أي مستخدم أو جهاز من الوصول إلى البيانات أو الأصول الحساسة التي لا ينبغي لهم الوصول إليها. إذا تمكن برنامج ضار من الوصول إلى الشبكة، فإن عناصر التحكم هذه قد تحد من حركته الجانبية.

خطط الاستجابة للحوادث: إن إعداد خطط الاستجابة للحوادث مسبقًا لأنواع مختلفة من البرامج الضارة يمكن أن يساعد فرق الأمن الإلكتروني على القضاء على إصابات البرامج الضارة بسرعة أكبر.

بالإضافة إلى التكتيكات اليدوية الموضحة سابقًا، يمكن لفرق الأمن الإلكتروني استخدام حلول أمنية لأتمتة جوانب إزالة البرامج الضارة واكتشافها والوقاية منها. تشمل الأدوات الشائعة:

برامج مكافحة الفيروسات: يُطلق عليها أيضاً برامج "مكافحة البرامج الضارة"، تقوم برامج مكافحة الفيروسات بفحص الأنظمة بحثاً عن علامات الإصابة بالعدوى. بالإضافة إلى تنبيه المستخدمين، يمكن للعديد من برامج مكافحة الفيروسات عزل برنامج ضار وإزالته تلقائيا عند اكتشافه.

جدران الحماية: يمكن لجدران الحماية أن تمنع بعض حركات المرور الضارة من الوصول إلى الشبكة في المقام الأول. إذا تمكنت البرمجيات الضارة من الوصول إلى جهاز الشبكة، يمكن أن تساعد جدران الحماية في إحباط الاتصالات الصادرة إلى المخترقين، مثل راصد لوحة المفاتيح الذي يرسل ضغطات المفاتيح إلى المهاجم.

منصات إدارة المعلومات والأحداث الأمنية (SIEM): تقوم SIEMs بجمع المعلومات من أدوات الأمن الداخلية، وتجميعها في سجل مركزي والإبلاغ عن الحالات المشبوهة. نظرًا لأن أنظمة SIEMs تقوم بمركزة التنبيهات من مصادر متعددة، فيمكنها أن تسهل اكتشاف العلامات الخفية للبرامج الضارة.

منصات التنسيق الأمني والأتمتة والاستجابة (SOAR): تعمل منصات SOAR على دمج وتنسيق أدوات أمنية متباينة، مما يتيح لفرق الأمن إنشاء أدلة آلية بالكامل أو جزئيًا للاستجابة للبرامج الضارة في الوقت الفعلي.

منصات كشف نقطة النهاية والاستجابة لها (EDR): تراقب EDRs أجهزة نقطة النهاية، مثل الهواتف الذكية والكمبيوتر المحمول والخوادم، بحثًا عن علامات النشاط المشبوه، ويمكنها الاستجابة تلقائيًا للبرنامج الضار المكتشف.

منصات الكشف والاستجابة الموسعة (XDR): XDRs تدمج أدوات الأمان والعمليات عبر جميع طبقات الأمان والمستخدمين ونقاط النهاية والبريد الإلكتروني والتطبيقات والشبكات وأحمال التشغيل السحابية والبيانات. يمكن لمنصات XDR المساعدة في أتمتة عمليات منع البرامج الضارة المعقدة واكتشافها والتحقيق فيها والاستجابة لها، بما في ذلك البحث الاستباقي عن التهديدات.

أدوات إدارة سطح الهجوم (ASM): تقوم أدوات ASM باكتشاف جميع الأصول في شبكة المؤسسة وتحليلها ومعالجتها ومراقبتها باستمرار. أدوات ASM يمكن أن تكون مفيدة في مساعدة فرق الأمن الإلكتروني على اكتشاف تطبيقات تقنية المعلومات الظلية التي قد تحمل برنامج ضار.

إدارة نقاط النهاية الموحدة (UEM): تراقب برمجيات UEM جميع أجهزة المستخدم النهائي للمؤسسة وتديرها وتؤمنها، بما في ذلك أجهزة الكمبيوتر المكتبية وأجهزة الكمبيوتر المحمولة والأجهزة المحمولة. تستخدم العديد من المؤسسات حلول إدارة نقاط النهاية الموحدة (UEM) للمساعدة في ضمان عدم قيام نظام أحضر جهازك معك (BYOD) بجلب برنامج ضار إلى شبكة الشركة.