في يوم 2 جويلية الأخير نُشِرَ خبرٌ يتعلق بقيام عصابات فيروسات الفدية بهجوم واسع النطاق ضد مُزَوِّدي الخدمات المدارة للتدبير المعلوماتي (MSP) وعملائهم عبر العالم. وبسبب هذه الحملة فإن آلاف الشركات صارت مهددة بأن تصبح ضحايا محتملة لفيروسات الفدية. وإلى حدود كتابة هذه السطور، كشف خبراء كاسبرسكي  أزيد من 5000 محاولة هجوم في أوروبا وأمريكا الشمالية والجنوبية.

يعتبر ريفيل، المعروف أيضا باسم أكا سودينوكيبي (aka Sodinokibi)، من أكثر فيروسات الفدية انتشارا في العالم، وهو برنامج خبيث من نوع “فيروس فدية العامل كخدمة” (RaaS). ظهر ريفيل لأول مرة عام 2019، وعاد خلال الأشهر الأخيرة ليتصدر الصفحات الأولى للأخبار عدة مرات، خاصة بسبب نوعية الأهداف التي يضربها والمبالغ القياسية للفديات المطلوبة. وفي آخر هجوم، أصاب ريفيل أحد مزودي الخدمات المدارة للتدبير المعلوماتي (MSP) الشيء الذي أدى إلى انتشار واسع للعدوى وسط العديد من الشركات عبر العالم. فقد نشر المهاجمون الشحنة الخبيثة عبر مخطوطة “سكريبت باور شال”، التي يبدو أن تنفيذها يتم عبر البرنامج الخاص لمزود الخدمات المدارة (MSP).  

يؤدي تنفيذ السكريبت الخبيث إلى إبطال وظائف الحماية لبرنامج مايكروسوفت ديفندر للنقطة النهائية، ثم بعد ذلك، يعمل السكريبت على فك تشفير تطبيق خبيث يتكون من نظام ثنائي مشروع لمايكروسوفت، وهو عبارة عن نسخة قديمة لمايكروسوفت ديفندر، بالإضافة إلى مكتبة خبيثة تضم برنامج الفدية ريفيل. وبإيلاج وتفعيل هذه التركيبة من المكونات في جهاز الحاسوب، تمكن القراصنة من استغلال  تقنية التحميل الجانبي لمكتبات الربط الديناميكي ( DLL side-loading) وشن هجماتهم على أكبر عدد من المنظمات.

التوزيع الجغرافي للهجمات حسب منظومة كاسبرسكي للقياس عن بعد

عبر استخدام خدمتها للاستعلامات حول التهديدات السيبريانية (Threat Intelligence)، رصدت كاسبارسكي أزيد من 5000محاولة اختراق في 22 بلدا، خاصة في إيطاليا (بحصة 45.2% من المحاولات المسجلة) والولايات المتحدة الأمريكية (25.91%)، وكولومبيا (14.83%)، وألمانيا (3.21%) والمكسيك (2.21%).

«واصلت عصابات فيروسات الفدية والمنتسبين إليها تطوير أسلوب عملهم عقب الهجمات الأخيرة، والتي حظيت باهتمام كبير في وسائل الإعلام، واستهدفت Colonial Pipeline و JBS، وبعد ذلك العديد من المنظمات الأخرى عبر العالم. هذه المرة، استهدف القراصنة المُستخدِمون لفيروس ريفيل بهجماتهم المكثفة  مزودي الخدمات المدارة للتدبير المعلوماتي (MSP)، ليتمكنوا عبر ذلك من الوصول إلى آلاف الشركات من عملاء مزدي الخدمات المدارة عبر العالم. » يقول فلاديمير كوسكوف، رئيس مرصد كشف التهديدات لدى كاسبارسكي. «وتبرز هذه الحالة، مرة أخرى، مدى الأهمية التي يكتسيها وضع إجراءات وحلول أمنية على جميع نقاط ولوج المقاولة – بما في ذلك الشركاء والمزودين ». 

وتوفر كاسبارسكي الحماية ضد هذه التهديدات وتكشفها تحت المسميات التالية:

   • UDS:DangerousObject.Multi.Generic

   • Trojan-Ransom.Win32.Gen.gen

   • Trojan-Ransom.Win32.Sodin.gen

   • Trojan-Ransom.Win32.Convagent.gen

   • PDM:Trojan.Win32.Generic (مع الرصد السلوكي)

ويمكن الحصول على المزيد من المعلومات حول الهجمات الأخيرة لفيروس الفدية ريفيل على لائحة Securelist.

لحماية المنظمات من هجمات فيروسات الفدية، يوصي كاسبارسكي ب:

   • استخدام حل أمني موثوق به لنقاط النهاية، مثل منصة كاسبارسكي لحماية وأمن النقاط النهائية في المقاولات والأعمال التجارية (Kaspersky Endpoint Security for Business)، التي تضم كاشفا لأعمال القرصنة، وراصدا للسلوكيات، بالإضافة إلى أدوات المعالجة القادرة على التصدي للأنشطة الخبيثة. كما توفر منصة KESB آليات للدفاع الذاتي التي يمكن أن تحميها من أن تتعرض للإبطال من طرف المجرمين السبريانيين.

   • عدم تعريض خدمات المكتب عن بعد (مثل بروتوكول سطح المكتب عن بعد) للشبكات المفتوحة للعموم، إلا عند الضرورة القصوى، مع استعمال كلمات سر جد صعبة لولوج هذه الخدمات.

   • الإسراع بتثبيت التصحيحات البرمجية لحلول الشبكات الخاصة الافتراضية (VPN) التجارية التي توفر الولوج للمستخدمين عن بعد والتي تعمل كأبواب دخول على الشبكة. 

   • الحرص على التحيين الدائم للبرمجيات على جميع التجهيزات المستخدمة لمنع فيروسات الفدية من استغلال نقاط الضعف المحتملة.

   • تركيز استراتيجية الدفاع حول رصد واكتشاف التحركات الجانبية وتسريب المعطيات عبر الأنترنيت. إيلاء أهمية بالغة لرصد التدفقات الخارجة من أجل كشف روابط المجرمين السيبرانيين. تحفيظ المعطيات بشكل منتظم. الحرص على أن تكون المعطيات المحفظة متاحة بسرعة في حالة التعرض لمشاكل. استعمال آخر معطيات خدمة كاسبارسكي للاستعلامات حول التهديدات السيبرانية (Threat Intelligence) للاطلاع على آخر التكتيكات والتقنيات والإجراءات (TTPs) المستعملة حاليا من طرف القراصنة.

   • استعمال الحلول من قبيل Kaspersky Endpoint Detection and Response والخدمات مثل Kaspersky Managed Detection and Response التي تساعد على كشف الهجمات منذ إرهاصاتها الأولى والقضاء عليها في المهد، قبل أن يحقق المهاجمون هدفهم النهائي.

   • حماية محيط الشركة وتربية المستخدمين. ويمكن للتكوينات الخاصة أن تساعد بهذا الصدد، مثل التكوينات المقترحة من طرف منصة Kaspersky Automated Security Awareness Platform.  وللإشارة فإن درسا مجانيا حول كيفية الحماية من فيروسات الفدية متوفر على هذه المنصة.