كيفية التعامل مع هجوم برامج الفدية
هذه الأخبار التي لا ترغب أي مؤسسة في سماعها - لقد كنت ضحية لهجوم برامج الفدية، والآن تتساءل عما يجب فعله بعد ذلك.
أول ما يجب تذكره هو أنك لست وحدك. أكثر من 17% من جميع الهجمات الإلكترونية تتضمن برمجيات الفدية - وهي نوع من البرامج الضارة التي تمنع الوصول إلى بيانات الضحية أو جهازه ما لم يدفع الفدية للمهاجم. من بين 1,350 مؤسسة شملها الاستطلاع في دراسة حديثة، تعرَّض 78% منها لهجوم ناجح باستخدام برامج الفدية.
تستخدم هجمات برامج الفدية عدة طرق، أو مسارات، لإصابة الشبكات أو الأجهزة، بما في ذلك خداع الأفراد للنقر على روابط ضارة عبر رسائل التصيّد الاحتيالي واستغلال الثغرات الأمنية في البرمجيات وأنظمة التشغيل، مثل الوصول عن بُعد. عادةً ما يطلب المجرمون الإلكترونيون دفع الفدية بعملة البيتكوين والعملات المشفّرة الأخرى صعبة التتبُّع، ويزوِّدون الضحايا بمفاتيح فك التشفير عند الدفع لفتح أجهزتهم.
الخبر الجيد هو أنه في حال التعرّض لهجوم برامج الفدية، يمكن لأي مؤسسة اتِّباع خطوات أساسية تساعد على احتواء الهجوم، وحماية المعلومات الحساسة، وضمان استمرارية الأعمال عن طريق تقليل فترة التعطل.
رسائل Think الإخبارية
هل سيستطيع فريقك اكتشاف الثغرة الأمنية الفورية القادمة في الوقت المناسب؟
انضم إلى قادة الأمن الإلكتروني الذين يعتمدون على الرسالة الإخبارية Think للحصول على أخبار مُنتقاة عن الذكاء الاصطناعي والأمن السيبراني والبيانات والأتمتة. تعلم بسرعة من برامج تعليمية وشروحات يقدّمها خبراء - تُرسَل مباشرة إلى بريدك الإلكتروني. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجِع بيان الخصوصية لشركة IBM للمزيد من المعلومات.
عزل الأنظمة المتأثرة
نظرًا لأن أكثر متغيّرات برامج الفدية شيوعًا تعمل على مسح الشبكات بحثًا عن الثغرات الأمنية للانتشار الجانبي، من الضروري عزل الأنظمة المتأثرة في أسرع وقت ممكن. افصل كابل الإيثرنت وعطِّل شبكة WiFi وBluetooth وأي قدرات شبكية أخرى لأي جهاز مصاب أو يُحتمل أن يكون مصابًا.
هناك خطوتان إضافيتان تجب مراعاتهما:
- إيقاف مهام الصيانة. قم على الفور بإيقاف المهام التلقائية -مثل حذف الملفات المؤقتة أو تدوير السجلات- على الأنظمة المتأثرة. قد تتداخل هذه المهام مع الملفات وتُعوق التحقيق في برامج الفدية الضارة واستردادها.
- فصل النسخ الاحتياطية. نظرًا لأن العديد من أنواع برامج الفدية الجديدة تستهدف النسخ الاحتياطي لجعل الاسترداد أصعب، حافِظ على النسخ الاحتياطية للبيانات غير متصلة. قلِّل الوصول إلى أنظمة النسخ الاحتياطي حتى تتأكد من إزالة العدوى.
تصوير مذكرة الفدية
قبل القيام بأي إجراء آخر، التقِط صورة لمذكرة الفدية - ومن الأفضل تصوير شاشة الجهاز المصاب باستخدام جهاز آخر مثل الهاتف الذكي أو الكاميرا. تساعد هذه الصورة على تسريع عملية الاسترداد والمساعدة على تقديم تقرير للشرطة أو مطالبة محتملة لدى شركة التأمين.
إبلاغ فريق الأمن
بمجرد فصل الأنظمة المصابة، يجب إخطار فريق أمن تكنولوجيا المعلومات بالهجوم. في معظم الحالات، يمكن لمتخصصي أمن تكنولوجيا المعلومات تقديم النصح بشأن الخطوات التالية وتفعيل خطة الاستجابة للحوادث في مؤسستك، أي العمليات والتقنيات المعتمدة لاكتشاف الهجمات الإلكترونية والرد عليها.
عدم إعادة تشغيل الأجهزة المتأثرة
عند التعامل مع برامج الفدية، ينبغي تجنُّب إعادة تشغيل الأجهزة المصابة. يعرف المتسللون أن هذه قد تكون أول ردّة فعل لك، وبعض أنواع برامج الفدية ترصد محاولات إعادة التشغيل وتتسبب بأضرار إضافية، مثل تلف نظام Windows أو حذف الملفات المشفّرة. قد تجعل إعادة التشغيل أيضًا التحقيق في هجمات برامج الفدية أكثر صعوبة - فالمؤشرات القيّمة تكون مخزَّنة في ذاكرة الكمبيوتر، والتي يتم مسحها عند إعادة التشغيل.
بدلًا من ذلك، ضَع الأنظمة المتأثرة في وضع السبات. سيؤدي هذا إلى حفظ جميع البيانات الموجودة في الذاكرة في ملف مرجعي على القرص الصلب للجهاز، ما يحافظ عليها للتحليل المستقبلي.
الآن بعد عزل الأجهزة المتأثرة، من الطبيعي أن تكون حريصًا على استعادة الوصول إلى أجهزتك واستعادة بياناتك. على الرغم من أن التخلص من إصابات برامج الفدية قد يكون معقدًا، خاصةً في حالة الأنواع الأكثر تقدمًا، فإن الخطوات التالية يمكن أن تضعك على مسار التعافي.
تحديد متغيّر الهجوم
هناك عدة أدوات مجانية يمكن أن تساعد على تحديد نوع برامج الفدية التي أصابت أجهزتك. ومعرفة النوع المحدد يمكن أن تساعدك على فهم عدة عوامل رئيسية، بما في ذلك طريقة انتشاره، والملفات التي يمنع الوصول إليها، وكيفية إزالته. ما عليك سوى تحميل عينة من الملف المشفّر، وإذا كانت لديك، مذكرة فدية ومعلومات التواصل مع المهاجم.
النوعان الأكثر شيوعًا من برامج الفدية هما برامج قفل الشاشة وبرامج التشفير. تُبقي برامج قفل الشاشة نظامك مقفلًا لكنها تحافظ على ملفاتك آمنة حتى تدفع الفدية، بينما تُعَد برامج التشفير أكثر صعوبة في التعامل معها لأنها تبحث عن جميع بياناتك الحساسة وتشفِّرها، ولا تقوم بفك التشفير إلا بعد دفع الفدية.
البحث عن أدوات فك التشفير
بعد تحديد سلالة برامج الفدية، ضَع في اعتبارك البحث عن أدوات لفك التشفير. هناك أيضًا أدوات مجانية تساعد على هذه الخطوة، بما في ذلك مواقع مثل No More Ransom. ما عليك سوى إدخال اسم سلسلة برامج الفدية والبحث عن برنامج فك التشفير المطابق.
إذا نجحت في إزالة إصابة برامج الفدية، فقد حان الوقت لبدء عملية الاستعادة.
ابدأ بتحديث كلمات مرور النظام، ثم استعِد بياناتك من النسخ الاحتياطية. يجب دائمًا السعي إلى الحفاظ على ثلاث نسخ من بياناتك بصيغتين مختلفتين، مع الاحتفاظ بنسخة واحدة في موقع خارجي. تُعرَف هذه الاستراتيجية باسم قاعدة 3-2-1، وتُتيح لك استعادة بياناتك بسرعة وتجنُّب دفع الفدية.
بعد الهجوم، يجب أيضًا التفكير في إجراء تدقيق أمني وتحديث جميع الأنظمة. يساعد الحفاظ على تحديث الأنظمة في منع المتسللين من استغلال الثغرات الأمنية الموجودة في البرمجيات القديمة، كما أن الترقيعات المنتظمة تحافظ على الأجهزة محدَّثة ومستقرة ومقاومة للتهديدات البرامج الضارة. قد ترغب أيضًا في تحسين خطة الاستجابة للحوادث بما استخلصته من الدروس، والتأكد من إبلاغ الحادث بشكل كافٍ إلى جميع الأطراف المعنية اللازمة.
نظرًا لأن برامج الفدية تُعَد ابتزازًا وجريمة، يجب دائمًا الإبلاغ عن الهجمات للسلطات القانونية أو مكتب التحقيقات الفيدرالي (FBI).
قد تتمكن السلطات من المساعدة على فك تشفير ملفاتك إذا لم تنجح جهود الاستعادة. وحتى لو لم يتمكنوا من استعادة بياناتك، فمن الضروري أن يعملوا على توثيق أنشطة المجرمين الإلكترونيين، على أمل مساعدة الآخرين على تجنُّب مصير مشابه.
قد يُطلب من بعض ضحايا هجمات برامج الفدية أيضًا قانونيًا الإبلاغ عن الإصابات. على سبيل المثال، يتطلب الامتثال لقانون نقل التأمين الصحي والمساءلة (HIPAA) عمومًا من كيانات الرعاية الصحية الإبلاغ عن أي اختراق أمني للبيانات، بما في ذلك هجمات برامج الفدية، إلى وزارة الصحة والخدمات الإنسانية.
يُعَد قرار دفع الفدية قرارًا معقدًا يتطلب دراسة متأنية. يقترح معظم الخبراء أن تفكر في الدفع فقط إذا جربت جميع الخيارات الأخرى وكان فقدان البيانات أكثر ضررًا بشكل كبير من قيمة الفدية.
بغض النظر عن قرارك، تجب دائمًا استشارة السلطات القانونية وخبراء الأمن الإلكتروني قبل اتخاذ أي خطوة.
لا يضمن دفع الفدية استعادة الوصول إلى بياناتك، ولا أن يلتزم المهاجمون بوعودهم - فالضحايا غالبًا ما يدفعون الفدية دون أن يحصلوا على مفتاح فك التشفير. علاوةً على ذلك، فإن دفع الفدية يعزز نشاط المجرمين الإلكترونيين ويمكن أن يموِّل المزيد من الجرائم الإلكترونية.
تُعَد أدوات أمن البريد الإلكتروني وبرامج مكافحة البرامج الضارة والفيروسات خطوط الدفاع الأولى الأساسية ضد هجمات برامج الفدية.
تعتمد المؤسسات أيضًا على أدوات أمن متقدمة لنقاط النهاية مثل جدران الحماية، وشبكات VPN، والمصادقة متعددة العوامل كجزء من استراتيجية أوسع لحماية البيانات والدفاع ضد اختراقات أمن البيانات.
ومع ذلك، لا يكتمل أي نظام للأمن الإلكتروني دون قدرات متطورة للكشف عن التهديدات والاستجابة للحوادث، لرصد المجرمين الإلكترونيين في الوقت الفعلي وتقليل أثر الهجمات الإلكترونية الناجحة.
يمكن لأدوات مثل أنظمة إدارة المعلومات والأحداث الأمنية (SIEM) أن تطبِّق التعلم الآلي وتحليلات سلوك المستخدم (UBA) على حركة مرور الشبكة إلى جانب السجلات التقليدية، لتعزيز كشف التهديدات وتسريع الاستجابة.