Ransomware: A company paid millions to get their data back, but forgot to do one thing
So the hackers came back again
تُظهر قصة تحذيرية كيف يجب أن تركز المؤسسات التي تقع في فخ برامج الفدية على اكتشاف كيف حدث ذلك قبل أي شيء آخر- أو يمكن أن تقع ضحية مرة أخرى. وقعت الشركة التي وقعت ضحية هجوم فدية ودفعت لمجرمي الإنترنت الملايين مقابل مفتاح فك التشفير لاستعادة شبكتها ضحية لعصابة برامج الفدية نفسها بعد أقل من أسبوعين بعد فشلها في فحص سبب إمكانية حدوث الهجوم في المقام الأول.
تم تفصيل الحكاية التحذيرية من قبل المركز الوطني للأمن الإلكتروني في المملكة المتحدة (NCSC) في منشور مدونة حول صعود برامج الفدية.
وقعت الشركة المجهولة الهوية ضحية هجوم فدية ودفعت الملايين من عملات البيتكوين لاستعادة الشبكة واستعادة الملفات. ومع ذلك، فقد تركت الشركة الأمر عند هذا الحد، وفشلت في تحليل كيفية اختراق مجرمي الإنترنت للشبكة- وهو الأمر الذي عاد ليطاردهم عندما أصابت نفس عصابة برامج الفدية الشبكة بنفس برنامج الفدية بعد أقل من أسبوعين. انتهى الأمر بالشركة بدفع فدية للمرة الثانية.
"لقد سمعنا عن منظمة واحدة دفعت فدية (أقل بقليل من 6.5 مليون جنيه إسترليني بأسعار الصرف الحالية) واستعادت ملفاتها (باستخدام أداة فك التشفير المقدمة)، دون أي جهد لتحديد السبب الرئيسي وتأمين شبكتها. بعد أقل من أسبوعين، هاجم نفس المهاجم شبكة الضحية مرة أخرى، مستخدمًا نفس الآلية كما كان من قبل، وأعاد نشر برنامج الفدية الخاص به. شعر الضحية أنه ليس أمامه خيار آخر سوى دفع الفدية مرة أخرى، قالت مدونة NCSC.
قام مركز NCSC بتفصيل الحادث باعتباره درسًا للمؤسسات الأخرى- والدرس هو أنه إذا وقعت ضحية لهجوم برامج الفدية، فاكتشف كيف كان من الممكن لمجرمي الإنترنت تضمين أنفسهم على الشبكة دون أن يتم اكتشافهم قبل إطلاق حمولة برامج الفدية.
"بالنسبة لمعظم الضحايا الذين يتواصلون مع NCSC، فإن أولويتهم الأولى- لأسباب مفهومة- هي استعادة بياناتهم والتأكد من أن أعمالهم يمكن أن تعمل مرة أخرى. ومع ذلك، فإن المشكلة الحقيقية هي أن برامج الفدية غالبًا ما تكون مجرد عرض مرئي لتطفل أكثر خطورة على الشبكة قد تكون استمرت لأيام، وربما لفترة أطول"، جاء في منشور المدونة من قبل مسئول فني في NCSC لإدارة الحوادث.
من أجل تثبيت برنامج الفدية، قد يكون مجرمو الإنترنت قادرين على الوصول إلى الباب الخلفي للشبكة- من المحتمل أن يكون ذلك عبر اختراق سابق للبرامج الضارة- بالإضافة إلى امتلاك امتيازات المسئول أو بيانات اعتماد تسجيل الدخول الأخرى.
إذا كان المهاجمون يمتلكون ذلك، فيمكنهم بسهولة نشر هجوم آخر إذا أرادوا- وقد فعلوا، في المثال المفصل أعلاه، لأن الضحية لم يفحص كيف تم اختراق شبكته. لذلك، فإن فحص الشبكة بعد حادث برنامج فدية وتحديد كيفية تمكن البرامج الضارة من الدخول إلى الشبكة بالإضافة إلى عدم اكتشافها لفترة طويلة هو أمر يجب أن تفكر فيه جميع المؤسسات التي تقع ضحية لبرامج الفدية جنبًا إلى جنب مع استعادة الشبكة- أو يفضل قبل ذلك. حتى أنهم يفكرون في استعادة الشبكة.
قد يعتقد البعض أن دفع الفدية للمجرمين سيكون أسرع الوسائل وأكثرها فعالية من حيث التكلفة لاستعادة الشبكة- ولكن هذا نادرًا ما يحدث أيضًا. لأنه لا يتم دفع الفدية فقط، ربما بتكلفة الملايين، ولكن التحليل بعد الحدث وإعادة بناء الشبكة المتضررة يكلفان أيضًا مبالغ كبيرة.
وكما يلاحظ المركز الوطني للأبحاث العلمية، فإن الوقوع ضحية لهجوم برامج الفدية غالبًا ما يؤدي إلى فترة طويلة من التعطيل قبل أن تشبه العمليات أي شيء طبيعي.
جاء في المنشور "التعافي من حادثة برنامج فدية نادرًا ما يكون عملية سريعة. غالبًا ما يتطلب التحقيق وإعادة بناء النظام واستعادة البيانات أسابيع من العمل".
أفضل طريقة لتجنب أي من هذا هو التأكد من أن شبكتك آمنة ضد الهجمات الإلكترونية في المقام الأول عن طريق القيام بأشياء مثل التأكد من تحديث أنظمة التشغيل وتصحيحات الأمان وتطبيق المصادقة متعددة العوامل عبر الشبكة.
يوصى أيضًا بأن تقوم المؤسسات بعمل نسخة احتياطية من شبكاتها بانتظام- وتخزين تلك النسخ الاحتياطية في وضع عدم الاتصال- لذلك في حالة حدوث هجوم ناجح من برامج الفدية، يمكن استعادة الشبكة بأقل قدر ممكن من التعطيل.
تم تفصيل الحكاية التحذيرية من قبل المركز الوطني للأمن الإلكتروني في المملكة المتحدة (NCSC) في منشور مدونة حول صعود برامج الفدية.
وقعت الشركة المجهولة الهوية ضحية هجوم فدية ودفعت الملايين من عملات البيتكوين لاستعادة الشبكة واستعادة الملفات. ومع ذلك، فقد تركت الشركة الأمر عند هذا الحد، وفشلت في تحليل كيفية اختراق مجرمي الإنترنت للشبكة- وهو الأمر الذي عاد ليطاردهم عندما أصابت نفس عصابة برامج الفدية الشبكة بنفس برنامج الفدية بعد أقل من أسبوعين. انتهى الأمر بالشركة بدفع فدية للمرة الثانية.
"لقد سمعنا عن منظمة واحدة دفعت فدية (أقل بقليل من 6.5 مليون جنيه إسترليني بأسعار الصرف الحالية) واستعادت ملفاتها (باستخدام أداة فك التشفير المقدمة)، دون أي جهد لتحديد السبب الرئيسي وتأمين شبكتها. بعد أقل من أسبوعين، هاجم نفس المهاجم شبكة الضحية مرة أخرى، مستخدمًا نفس الآلية كما كان من قبل، وأعاد نشر برنامج الفدية الخاص به. شعر الضحية أنه ليس أمامه خيار آخر سوى دفع الفدية مرة أخرى، قالت مدونة NCSC.
قام مركز NCSC بتفصيل الحادث باعتباره درسًا للمؤسسات الأخرى- والدرس هو أنه إذا وقعت ضحية لهجوم برامج الفدية، فاكتشف كيف كان من الممكن لمجرمي الإنترنت تضمين أنفسهم على الشبكة دون أن يتم اكتشافهم قبل إطلاق حمولة برامج الفدية.
"بالنسبة لمعظم الضحايا الذين يتواصلون مع NCSC، فإن أولويتهم الأولى- لأسباب مفهومة- هي استعادة بياناتهم والتأكد من أن أعمالهم يمكن أن تعمل مرة أخرى. ومع ذلك، فإن المشكلة الحقيقية هي أن برامج الفدية غالبًا ما تكون مجرد عرض مرئي لتطفل أكثر خطورة على الشبكة قد تكون استمرت لأيام، وربما لفترة أطول"، جاء في منشور المدونة من قبل مسئول فني في NCSC لإدارة الحوادث.
من أجل تثبيت برنامج الفدية، قد يكون مجرمو الإنترنت قادرين على الوصول إلى الباب الخلفي للشبكة- من المحتمل أن يكون ذلك عبر اختراق سابق للبرامج الضارة- بالإضافة إلى امتلاك امتيازات المسئول أو بيانات اعتماد تسجيل الدخول الأخرى.
إذا كان المهاجمون يمتلكون ذلك، فيمكنهم بسهولة نشر هجوم آخر إذا أرادوا- وقد فعلوا، في المثال المفصل أعلاه، لأن الضحية لم يفحص كيف تم اختراق شبكته. لذلك، فإن فحص الشبكة بعد حادث برنامج فدية وتحديد كيفية تمكن البرامج الضارة من الدخول إلى الشبكة بالإضافة إلى عدم اكتشافها لفترة طويلة هو أمر يجب أن تفكر فيه جميع المؤسسات التي تقع ضحية لبرامج الفدية جنبًا إلى جنب مع استعادة الشبكة- أو يفضل قبل ذلك. حتى أنهم يفكرون في استعادة الشبكة.
قد يعتقد البعض أن دفع الفدية للمجرمين سيكون أسرع الوسائل وأكثرها فعالية من حيث التكلفة لاستعادة الشبكة- ولكن هذا نادرًا ما يحدث أيضًا. لأنه لا يتم دفع الفدية فقط، ربما بتكلفة الملايين، ولكن التحليل بعد الحدث وإعادة بناء الشبكة المتضررة يكلفان أيضًا مبالغ كبيرة.
وكما يلاحظ المركز الوطني للأبحاث العلمية، فإن الوقوع ضحية لهجوم برامج الفدية غالبًا ما يؤدي إلى فترة طويلة من التعطيل قبل أن تشبه العمليات أي شيء طبيعي.
جاء في المنشور "التعافي من حادثة برنامج فدية نادرًا ما يكون عملية سريعة. غالبًا ما يتطلب التحقيق وإعادة بناء النظام واستعادة البيانات أسابيع من العمل".
أفضل طريقة لتجنب أي من هذا هو التأكد من أن شبكتك آمنة ضد الهجمات الإلكترونية في المقام الأول عن طريق القيام بأشياء مثل التأكد من تحديث أنظمة التشغيل وتصحيحات الأمان وتطبيق المصادقة متعددة العوامل عبر الشبكة.
يوصى أيضًا بأن تقوم المؤسسات بعمل نسخة احتياطية من شبكاتها بانتظام- وتخزين تلك النسخ الاحتياطية في وضع عدم الاتصال- لذلك في حالة حدوث هجوم ناجح من برامج الفدية، يمكن استعادة الشبكة بأقل قدر ممكن من التعطيل.
