تحذير من FBI – يجب على مستخدمي Gmail وOutlook وVPN الحذر من برامج الفدية
حذر مكتب التحقيقات الفيدرالي بضرورة تفعيل المصادقة الثنائية لخدمات البريد الإلكتروني مثل Gmail وOutlook، بالإضافة إلى شبكات VPN، وبأسرع وقت ممكن. إليك ما تحتاج إلى معرفته.
حذّر مكتب التحقيقات الفيدرالي (FBI) مؤخرًا من تهديدات غريبة لهجمات برامج الفدية، يتم إرسالها عبر خدمة البريد الأمريكية – نعم، هذا صحيح – إلى جانب حملة خطيرة من برامج الفدية التي يشنها ما يُعرف باسم “المهاجمون الأشباح”. كما تم رصد بعض من أكثر التهديدات تطورًا التي تستهدف مستخدمي Gmail على الإطلاق.
في السابق، نصح مكتب التحقيقات الفيدرالي المستخدمين بتفعيل المصادقة الثنائية (2FA) للتخفيف من تأثير هذه الهجمات. والآن، في تنبيه صناعي جديد نُشر حديثًا، تم دمج نصائح الحماية ضمن تحذير واحد مع استمرار الهجمات التي يشنها فريق “ميدوسا” لبرامج الفدية.
عناوين المقال
حذر مكتب التحقيقات الفيدرالي بضرورة تفعيل المصادقة الثنائية لخدمات البريد الإلكتروني مثل Gmail وOutlook، بالإضافة إلى شبكات VPN، وبأسرع وقت ممكن. إليك ما تحتاج إلى معرفته.
مكتب التحقيقات الفيدرالي ووكالة الأمن السيبراني والبنية التحتية تصدران تحذيرًا مشتركًا بشأن “ميدوسا”
يُعد “ميدوسا/Medusa” أحد أخطر مقدمي خدمات برامج الفدية كخدمة (RaaS)، حيث تسببت هجماته في التأثير على ما لا يقل عن 300 ضحية من قطاع البنية التحتية الحيوية منذ أن تم رصد الحملة لأول مرة في يونيو 2021. يُعرف هذا التهديد باستخدامه لأساليب الهندسة الاجتماعية واستغلال الثغرات الأمنية غير المُصححة أثناء الهجمات.
نشرت مجلة فوربس مقالاً يوضح أنه في تحقيقات أجريت مؤخرًا في فبراير، تمكّن مكتب التحقيقات الفيدرالي من جمع ملف استخباراتي يتضمن تكتيكات وأساليب وإجراءات هذا التهديد، بالإضافة إلى مؤشرات الاختراق وطرق الكشف عنه.
وبالتعاون مع وكالة الأمن السيبراني والبنية التحتية (CISA) في الولايات المتحدة، أصدر مكتب التحقيقات الفيدرالي في 12 مارس تنبيهًا مشتركًا للأمن السيبراني ضد هجمات مجموعة “ميدوسا” لبرامج الفدية. يحتوي التنبيه الكامل لمكتب التحقيقات الفيدرالي، الذي يحمل الرمز AA25-071A، على تفاصيل فنية عميقة حول عمليات “ميدوسا”. لذلك، من الضروري أن يقرأ جميع المدافعين عن الأمن السيبراني هذا التقرير.
ولكن، في هذا المقال، سأركز على النصائح التي قدمها مكتب التحقيقات الفيدرالي للتخفيف من تأثير هذه الهجمات.
رؤى الخبراء بعد تحذير مكتب التحقيقات الفيدرالي بشأن حملات برامج الفدية “ميدوسا”
لا تزال برامج الفدية كخدمة (RaaS) نشطة وقوية، وهذا هو الاستنتاج الرئيسي من تحذير مكتب التحقيقات الفيدرالي. قال تيم موريس، المستشار الأمني الرئيسي في شركة Tanium:
“ميدوسا هو اسم مناسب لهذا الهجوم نظرًا لتأثيراته المتعددة والواسعة النطاق على مختلف الصناعات.”
وأضاف موريس أن “ميدوسا” متطورة وفعالة في الاستغلال والتمركز والاستمرار في الأنظمة، إضافة إلى التنقل الجانبي وإخفاء الأنشطة، مما يجعل من الضروري أن تدير المؤسسات أصولها بشكل صحيح، وتعرف أماكن مواردها، وتضمن وجود آليات دفاع قوية وعميقة.
من جانبه، قال جون ميلر، الرئيس التنفيذي والمؤسس المشارك لشركة Halcyon:
“يركز مشغلو برامج الفدية مثل ميدوسا على اكتساب نفوذ يمكنهم من ابتزاز المنظمات، مما يجعل الكيانات المرتبطة بالبنية التحتية الحيوية أهدافًا رئيسية نظرًا لدوافعها القوية للحفاظ على استمرارية خدماتها دون انقطاع.”
وأوضح ميلر أن هذه المجموعات تستغل الثغرات الأمنية للتحرك داخل الشبكة، ورفع الامتيازات، وسرقة البيانات الحساسة، وأخيرًا تنفيذ برامج الفدية. وتابع:
“بمجرد الوصول إلى الشبكة، تستخدم ميدوسا استراتيجيات متطورة لتعظيم تأثيرها.”
على وجه التحديد، تقوم المجموعة بتنفيذ أوامر مشفرة بتنسيق Base64 عبر PowerShell لتجنب الاكتشاف، كما تستخدم أدوات مثل Mimikatz لاستخراج بيانات الاعتماد من الذاكرة، مما يمكنها من تعريض الشبكة للخطر بشكل أكبر.
تحذير ميلر:
“تعتمد ميدوسا أيضًا على برامج الوصول عن بُعد الشرعية، مثل AnyDesk وConnectWise، بالإضافة إلى أدوات مثل PsExec وRDP، للتنقل عبر الشبكة.”
تم تصميم “ميدوسا” لإحداث اضطراب تشغيلي كبير، حيث يمكنها إيقاف أكثر من 200 خدمة وعملية في نظام ويندوز، بما في ذلك الخدمات المرتبطة ببرامج الأمان.
آلية التشفير في “ميدوسا”
يعتمد تشفير “ميدوسا” على تشفير AES-256، بالإضافة إلى تشفير المفاتيح العامة RSA لضمان تشفير الملفات بشكل آمن.
وأضاف ميلر:
“لإعاقة جهود استعادة البيانات، تتخذ ميدوسا إجراءات مثل حذف نسخ الظل (Volume Shadow Copies)، وتعطيل خيارات الاسترداد عند بدء التشغيل، وإزالة النسخ الاحتياطية المحلية.”
كيف يمكن مواجهة تهديد “ميدوسا”؟
أوصى ميلر بأن تعمل المؤسسات المرتبطة بالبنية التحتية الحيوية على تعزيز دفاعاتها للتصدي لهجمات برامج الفدية دون اللجوء إلى دفع الفدية أو الاعتماد فقط على النسخ الاحتياطية.
وختم قائلاً:
“القضاء على الحافز لدفع الفدية أمر بالغ الأهمية في تعطيل النموذج المالي لصناعة برامج الفدية.”
الحد من تهديد “ميدوسا”—مكتب التحقيقات الفيدرالي يوصي بتمكين المصادقة الثنائية لحسابات البريد الإلكتروني و VPN فورًا
بالنسبة للإجراءات الفورية التي يجب على جميع المؤسسات اتخاذها الآن للحد من حملات هجمات برامج الفدية “ميدوسا”، أوصى مكتب التحقيقات الفيدرالي (FBI) بالتالي:
- تفعيل المصادقة الثنائية (2FA) لجميع الخدمات الممكنة، وخاصة للبريد الإلكتروني عبر الويب مثل Gmail وOutlook، وكذلك الشبكات الافتراضية الخاصة (VPN) وأي حسابات يمكنها الوصول إلى الأنظمة الحيوية.
- استخدام كلمات مرور طويلة ومعقدة لجميع الحسابات التي تعتمد على تسجيل الدخول بكلمة مرور، مع تجنب إجبار المستخدمين على تغيير كلمات المرور بشكل متكرر، حيث يمكن أن يضعف ذلك الأمان.
- الاحتفاظ بعدة نسخ احتياطية من البيانات الحساسة أو الخاصة والخوادم في مواقع منفصلة وآمنة ومجزأة عن الشبكة الأساسية.
- تحديث جميع أنظمة التشغيل والبرامج والبرمجيات الثابتة (firmware) بانتظام، مع إعطاء الأولوية لإصلاح الثغرات الأمنية المستغلة في الأنظمة المتصلة بالإنترنت.
- رصد وكشف وتحليل الأنشطة غير العادية ومحاولات الاختراق المحتملة عبر استخدام أدوات مراقبة الشبكة.
- مراقبة عمليات المسح غير المصرح بها ومحاولات الوصول إلى الشبكة.
- تصفية حركة مرور الشبكة عن طريق منع أي مصادر غير معروفة أو غير موثوقة من الوصول إلى الخدمات عن بُعد داخل الأنظمة الداخلية.
- تدقيق حسابات المستخدمين الذين لديهم صلاحيات إدارية، وتطبيق مبدأ “أقل قدر من الامتيازات” لتقييد الوصول إلى الحد الأدنى الضروري.
- تعطيل الأنشطة والأذونات المتعلقة بالأوامر النصية والبرمجة النصية لمنع تنفيذ التعليمات البرمجية الضارة.
- إغلاق المنافذ غير المستخدمة لمنع استغلالها من قبل المهاجمين.
رغم تحذيرات FBI وCISA، القراصنة قد يكونون يضحكون!
من جهة أخرى، صرح دان لاتيمر، نائب الرئيس المساعد في Semperis، بأن هذا التحذير من مكتب التحقيقات الفيدرالي يجب أن يكون بمثابة تذكير جديد بأن “ميدوسا” برنامج فدية شديد الخطورة وله القدرة على التأثير على مئات إن لم يكن آلاف المؤسسات.
وقال لاتيمر:
“فرق الدفاع الأمني تواجه تحديات كبيرة في التعامل مع تهديد ميدوسا، لكن تنفيذ توصيات التخفيف، مثل نشر تحديثات البرامج، وتجزئة الشبكة، وحظر الوصول إلى الخدمات من مصادر غير معروفة أو غير موثوقة، سيساعد المؤسسات على تعزيز مرونتها التشغيلية.”
وأضاف لاتيمر أن اعتماد استراتيجية “الاختراق المفترض” قد يكون أمرًا مكررًا، لكنه لا يزال فعالًا، حيث يجب على المؤسسات أن تعمل على أساس أن أنظمتها قد تم اختراقها أو ستتعرض للاختراق، مما يحول التركيز من منع الاختراقات إلى اكتشافها والاستجابة لها والتعافي منها بسرعة.
استهداف “Active Directory” يمثل خطرًا كبيرًا
وأشار لاتيمر إلى أن 90% من هجمات برامج الفدية تستهدف أنظمة الهوية، وعلى رأسها “Active Directory”، وهو المسؤول عن المصادقة والتفويض للوصول إلى التطبيقات والبيانات، مما يجعله “المفتاح الرئيسي” للأنظمة داخل أي مؤسسة.
وحذر لاتيمر قائلاً:
“إذا تمكن المهاجمون من اختراق Active Directory، فبإمكانهم التحكم في أي موارد داخل المؤسسة.”
تحذير مكتب التحقيقات الفيدرالي لا يذهب بعيدًا بما فيه الكفاية
لا يتفق الجميع مع النصائح التي قدمها مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) بشأن تهديد مجموعة برامج الفدية “ميدوسا”.
على سبيل المثال، روجر غرايمز، المتخصص في الدفاع القائم على البيانات في شركة KnowBe4، يرى أن هذه التوصيات تتبع نمطًا طويل الأمد من التحذير بشأن برامج الفدية التي تنتشر عبر الهندسة الاجتماعية، ولكن دون اقتراح التدريب على الوعي الأمني كوسيلة رئيسية لمكافحتها.
وأضاف غرايمز أن 70% – 90% من جميع الهجمات الإلكترونية الناجحة تتضمن عنصر الهندسة الاجتماعية، وفقًا لبيانات شركة KnowBe4. ومع ذلك، لم يتم ذكر الوعي الأمني ضمن قائمة التوصيات الـ 15 التي حددتها السلطات، على الرغم من الإشارة إلى أن الهندسة الاجتماعية هي إحدى الوسائل الأساسية لنشر تهديدات برامج الفدية.
وقال غرايمز:
“إنه يشبه معرفة أن اللصوص يدخلون منزلك دائمًا عبر النوافذ، ثم تأتي التوصيات بتعزيز الأقفال على الأبواب!”
وحذر من أن هذا التناقض المستمر بين الأساليب التي يستخدمها المهاجمون في الهجمات، وبين الطرق التي يُطلب منا استخدامها للدفاع عن أنفسنا، يسمح للقراصنة بالاستمرار في النجاح.
واختتم قائلاً:
“القراصنة لا بد أنهم يضحكون!”
لا تدفع الفدية، مكتب التحقيقات الفيدرالي وجهات أخرى تحذر
حذر مكتب التحقيقات الفيدرالي سابقًا من عدم دفع الفدية للمهاجمين.
وكشف دان لاتيمر أن تحليلًا حديثًا أجرته Semperis حول برامج الفدية أظهر أن معظم الهجمات ليست حدثًا لمرة واحدة، حيث تعرض 75% من المؤسسات لهجمات متعددة خلال الـ 12 شهرًا الماضية، وأجبر أكثر من 70% منها على دفع فديات عدة مرات.
وقال لاتيمر:
“لا يُنصح بدفع الفدية إلا في حالات تهدد الحياة أو عندما تعتقد الشركة أنه ليس لديها خيار آخر.”
وأضاف أن دفع الفدية لا يضمن استعادة العمليات التشغيلية بشكل طبيعي، حيث أظهرت تحليلات البيانات الداخلية أن 35% من الضحايا الذين دفعوا الفدية لم يحصلوا على مفاتيح فك التشفير، أو حصلوا على مفاتيح تالفة وغير صالحة للاستخدام.
مكتب التحقيقات الفيدرالي في دنفر يحذر من تهديدات جديدة لبرامج الفدية
أصدر مكتب التحقيقات الفيدرالي في دنفر تحذيرًا جديدًا لجميع المستخدمين بشأن حملة احتيال حديثة تتضمن استخدام أدوات تحويل المستندات المجانية عبر الإنترنت، والتي تنتهي بإصابة الأجهزة ببرامج الفدية.
وقال مارك ميخالِك، الوكيل الخاص المسؤول في FBI دنفر:
“أفضل طريقة لردع هؤلاء المحتالين هي تثقيف الناس حتى لا يقعوا ضحية لهم في المقام الأول.”
ولهذا، إليك ما يجب الحذر منه:
- المواقع التي تعرض تحويل الملفات مجانًا، خصوصًا عند تحويل ملفات .doc إلى .pdf.
- في حين أن هذه الأدوات قد تعمل كما هو معلن، إلا أن الملف الناتج قد يحتوي على برامج ضارة مخفية.
- استخدم فقط الأدوات من المواقع والخدمات الموثوقة لتجنب المخاطر الأمنية.
