ان الهجوم على برامجيات الفدية (برامج الفدية)  الضارة تأتي في مقدمة الهجمات الالكترونية الاكثر شيوعا في وقتنا الحالي, حيث يعتبر الحلم المخيف لجميع المؤسسات والتنظيمات. تتعرض الموسسات والتنظيمات الى خسائر جدية من الناحية المادية والمعنوية بسبب طلب العملات المشفرة بشكل خاض لانظمة الذي يتسرب اليها عوامل التهديد. ان المهاجم وفي حالة عدم القيام بالدفع سيقوم بترك المؤسسات او التنظيمات في وضعية صعبة من اجل قيامه باعادة البيانات الى الخلف او كشفها على عامة الشعب.

لقد تم تثبيت قيام المؤسسات والتنظيمات باتخاذ الاجراءات الخاطئة في هذه الفترة. لقد تم النظر الى انه ليس بالامكان العودة الى الخلف حتى من خلال المفتاح الصحيح وتف البيانات في نتيجة الطرق الذي يتم تجربتها من اجل تخليص البيانات المشفرة. لقد تم النظر الى ان المؤسسة او التنظيم سيواجه النتائج التي ستخدش سمعته بسبب دخوله الى طريق مسدود لا يمكن تلافيه في نتيجة الاتصال الخاطئ الذي تم تأسيس مع الخاطف.

هل كنتم تعلمون هذا؟

● يتم معرفة انه يتم خسارة الآف ادلولارات اثناء "توقف" المؤسسات المتأثرة من برامج الفدية. (Gartner).

زيادة ترند هجمات برامج الفدية بعد تضعيفها في كل عام.

يتم النظر الى انه قد تم تشفير او عمل النسخ الاحتياطي بسبب سياسات النسخ الاحتياطي الخاطئة اثناء هجمات برامج الفدية.

دورة حياة الاستجابة لحوادث برامج الفدية

 

ان دورة الحياة الذي يتم تطبيقها في حوادث برامج الفدية هو بالشكل المبين في ادناه؛

 

 

التجهيز (الاعداد)

ان مرحلة التجهيز عبارة عن العنصر الاهم داخل دورة حياة "الاستجابة لحوادث برامج الفدية". ان تحديد الادوار تحمل اهمية حياتية في موضوع تحديد الاحداث في الحالات الطارئة ووضع خط تحت المساهمات الذي سيقوم بتوفيرها للتنكولوجيا وفترات الادوار.

 

التثبيت (الكشف)

يتم تدقيق كل بيان موجود داخل الشبكة في مرحلة التثبيت. يتم الاعلام عن برامجيات الفدية الضارة الذي يتم كشفها بعد التحليل الذي سيتم تحقيقه. يتم القيام بتشكيل المنبهات عندما يتم الكشف عن برامجيات الفدية الضارة وابلاغ الوحدات ذات العلاقة عن طريق المتابعة الذي يتم تحقيقها طوال 7 ايام في الاسبوع/ 24 ساعة في اليوم. 

يتم تحقيق معاملات التثبيت من خلال انظمة التثبيت المتطورة والخاصة بالمؤسسة المتشكلة خلال مدة العملية. ان بعضا من نماذج الاعمال والتقاربات المستخدمة اثناء الكشف هو بالشكل المبين في ادناه.

●  الكشف المستند الى التجزئة

● قائمة امتداد الملفات (crypt, payme وما شابه)

كشف الاتصالات C&C

الكشف القائم على المعالجة

مسح المفتاح الرئيسي (العام والخاص)

مفتاح الانتاج للضحية

تشفير مفتاح الضحية

الكشف القائم على السلوك

كشف نشاط SMB

كشف نشاط RDP

كشف نشاط VNC

التحليل (Analyze)

يتم اجراء التدقيق من قبل اخصائيي الحماية الالكترونية في التدخلات المتجه للفدية وبرامجيات الفدية المضرة الذي يتم كشفها في مرحلة التحليل. يتم اتخاذ الاجراءات على الفور من اجل فرز التقاربات الذي تم تثبيتها على شكل الايجابية – الكاذبة (False-Positive) وفرزهامن خلال القيام بالتحليل خلال هذه المدة والتدخلات الاخرى.

يتم التهديف الى ايقاف التدخلات في نتيجة الخطوات الذي سيتم اخطاؤها ضمن اطارة الاحداث المخطط لها ومن خلال الدخول بالاتصال مع الادوار المبينة طوال مدة التجهيز.

الاجابة (الاستجابة)

القيام باجراء التحليلات التقنية الذي سيتم اشتغالها تحت الحجر الصحي للبرامجيات المضرة اثناء التدقيقات الذي تم القيام بها كما يتم عمل تقارير من خلال تحليل النشاطات المضرة. يتم تحديد خريطة عدوى برامج الفدية اثناء الاشعارات ذات العلاثة.

ان  بعض الامثلة والتقاربات الخاصة بخريطة العدوى بالشكل المبين في ادناه.

خريطة العدوى

  •  Phisingمستندات العمل المضرة القابلة للتنفيذ (وورد , اكسل)
  • مجموعة الاستغلال – نقاط الضعف المستندة على المتصفح
  • الاهداف المتركزة / الهجمات المستقلة – RDP Bruteforce استغلال نقاط الضعف المعروفة

الانقاذ (الاستعادة)

ان الاحداث الذي تم اتخاذها من اجل اكساب دورة الحياة الطبيعية للانظمة العاملة على التكوين او المصابة بالعدوى بعد التدخلات الذي تم تحقيقها واكسابها مرة اخرى مهمة للغاية. انه وفي نتيجة الابحاث الذي تم تحقيقها فلقد تم الكشف عن التدخلات المشابهة عند مقارنتها مرة اخرى بعد التعرض وجها لوجه لهجمات البرامجيات المضرة  من هذا النوع والذي يتعرض له نسبة 67% من المؤسسات والتنظيمات بعد الابحاث الذي تم تحقيقها.

يقوم UITSEC بتقديم الدعم طوال 7 ايام في الاسبوع/ 24 ساعة في اليوم في موضوع القيام بانجاز الاعمال الضرورية قبل أو بعدالتعرض لهجمات برامج الفدية المحتملة مع المختصين والمحليين والمستشارية ذو الخبرة الذين يمتلكون صلاحية الهجوم والدفاع الى جانب خدمات مركز العمليات الذي يتم تقديمها.