«الفيروس الجديد» ينتقي أهدافه بعناية.. ويركز على شبكات المؤسسات

خبراء يحددون 10 نقاط أساسية تتعلق بـ «الأرنب الشرير»

«الأرنب الشرير» ينتشر من خلال تحديث وهمي زائف لبرنامج «فلاش» عبر المواقع التي تمت السيطرة عليها. من المصدر

بعد ظهور فيروس الفدية «الأرنب الشرير»، في 24 من أكتوبر الجاري، والذي لايزال نشطاً ويواصل انتشاره عالمياً، حدد خبراء في أمن المعلومات 10 نقاط أساسية تتعلق بطبيعة هذا الفيروس وأسلوبه في الهجوم، وكيفية الحماية منه، وتفادي الوقوع ضحية له، حيث تبين من هذه النقاط أن «الأرنب الشرير» لا يهاجم عشوائياً، بل ينتقي أهدافه بعناية، ويركز بصفة أساسية على شبكات المؤسسات، كما أنه يتشابه كثيراً مع فيروس الفدية «بيتيا» الذي نشأ وانتشر خلال يونيو الماضي، لكنّ هناك أمراً برمجياً يمكن تنفيذه على الحاسبات يقلل من فرص الوقوع ضحية له، وربما يجعل المستخدم يتفادى الإصابة كلياً.

• الجهة التي تقف وراء «الأرنب الشرير» مجهولة.. و67% من شفرته تطابق «بيتيا».

• الفدية المطلوبة تبدأ من 285 دولاراً.. وأول ضحاياه 200 مؤسسة روسية.

وعمل خبراء شبكة «زد دي نت» المتخصصة في التقنية على تجميع تلك النقاط الـ10، التي تتضمن ما يلي:

حدود الانتشار

أوضح الخبراء أن الهجوم بفيروس «الأرنب الشرير» تركز في بدايته بمؤسسات في روسيا وأوروبا الشرقية، بالتزامن مع إصابة عدد صغير من الحاسبات في ألمانيا وتركيا وبولندا وكوريا الجنوبية، مشيرين إلى أن عدد المؤسسات التي تعرضت للإصابة في روسيا جاوز 200 مؤسسة.

وأكدت شركة أمن المعلومات الروسية «غروب آي بي» أن ثلاث مؤسسات إعلامية على الأقل في روسيا قد تعرضت للهجوم.

من جهته، قال المحلل في شركة «أفاست» لأمن المعلومات، جاكوب كروستيك، إن «مجمل الانتشار الذي حققه (الأرنب الشرير) حتى الآن يعتبر محدوداً».

«فيروس فدية»

وأشار خبراء «زد دي نت» إلى أن التداعيات المترتبة على الهجوم بينت أنه من نوع فيروسات الفدية، التي تشفر الملفات ووحدات التخزين، وتطلب فدية مقابل فك التشفير. وقالوا إنه عقب الإصابة، ظهرت رسائل للضحايا تفيد بأن ملفاتهم مشفرة، ولم يعد بالإمكان الوصول إليها أو استعادتها من دون خدمة فك التشفير التي تكلف نحو 285 دولاراً، وذلك لمن يدفعون خلال الـ40 ساعة التالية للإصابة، بينما الذين لا يدفعون قبل مرور الفترة المعروضة سيتعين عليهم دفع رسوم أعلى بعد ذلك.

أسلوب الحماية

وأضاف الخبراء أن من غير المعروف في هذه المرحلة ما إذا كان ممكناً فك تشفير الملفات التي يكودها «الأرنب الشرير» من دون دفع الفدية، ناصحين الضحايا بعدم دفع الفدية، لأنه سيتم عاجلاً أو آجلاً إتاحة أدوات مجانية لفك التشفير، فضلاً عن أن الدفع يشجع على نمو وزيادة هذا النوع من الهجمات.

بدورها، أفادت مؤسسة «كاسبرسكي» لأمن المعلومات بأن من يريدون الحماية وتجنب الإصابة بالفيروس يمكنهم غلق الملف التنفيذي الموجود في «ويندوز» بالمسار التالي: file ‘c: windows infpub.dat, C: Windows cscc.dat. لمنع الإصابة بالفيروس.

سلالة «بيتيا»

ولفت الباحثون الأمنيون إلى أن عمليات الفحص خلال الأيام الماضية، كشفت أن فيروس «الأرنب الشرير» مبني على سلالة فيروس «بيتيا» التي انتشرت في يونيو الماضي، موضحين أن التشابهات بين الفيروسين ليست فقط على المستوى الشكلي، لكنها تبدو متطابقة، إذ اكتشف محللون في مؤسسة «كراود ستاريك» الأمنية أن ملفات التشغيل «دي إل إل» الخاصة بفيروس «الأرنب الشرير» وسلالة «بيتيا» تستخدم الروابط الديناميكية نفسها، وتتشارك في نحو 67% من الشفرة أو الكود، الأمر الذي يشير إلى أن السلالتين متقاربتان جداً، وتم تطويرهما بمعرفة جهة واحدة.

طريقة الانتشار

وبين الباحثون أن «الأرنب الشرير» ينتشر من خلال تحديث وهمي زائف لبرنامج «فلاش» عبر المواقع التي تمت السيطرة والاستيلاء عليها، حيث إنه لا يقوم باستكشاف واستغلال نقاط ضعف أمنية، بل يطلب من ضحاياه أنهم بحاجة إلى تحديث برمجية «فلاش»، وبالطبع لا يكون هذا تحديثاً حقيقياً للبرمجية، لكنه فخ للوقوع في تثبيت البرمجية الخبيثة الخاصة بالفيروس. وذكروا أن المواقع المصابة موجودة بصفة رئيسة في روسيا وبلغاريا وتركيا، وتم الاستيلاء عليها من خلال غرس نصوص برمجية مكتوبة بلغة «جافا» داخل بنية «إتش تي إم إل» الخاصة بالمواقع.

انتشار عبر الشبكات

ووفقاً للخبراء، فإنه يمكن للفيروس أن ينتشر أفقياً عبر شبكات المعلومات، لأنه مزود بـ«روبوت» برمجي يخدع ضحاياه، ويجعله ينقل نفسه أفقياً عبر الشبكات المصابة، ويثبّت نفسه من دون أي تفاعل من جانب المستخدم.

وقال باحثون في شركة «سيسكو تالوس» الأمنية، إن «ما يدعم قدرة (الأرنب الشرير) على الانتشار، هي القوائم البسيطة من الأسماء وكلمات المرور الضعيفة التي يمكنه استغلالها لتقوم قوته باتخاذ طريقها عبر الشبكات»، لافتين إلى أن «قائمة كلمات المرور الضعيفة تتكون من عدد من التخمينات المعتادة لكلمات المرور مثل تركيبة الأرقام».

انتقائي وليس عشوائياً

وذكر الخبراء أن «الأرنب الشرير» لا يبدو عشوائياً في إصابة الأهداف، كما هي الحال مع «وانا كراي»، الذي أسقط مئات الآلاف من الحاسبات ضحايا له في عملية انتشار عشوائية خلال الساعات الأولى لظهوره، إذ إن «الأرنب الشرير» يبدو انتقائياً ومحدد الأهداف. وفي هذا السياق، أفاد بيان صادر عن «كاسبرسكي» بأنها تعتقد أن الهجمات تستهدف شبكات المؤسسات.

بدورهم، قال باحثون في مؤسسة «إي سيت» الأمنية إن التعليمات المكتوبة في النصوص البرمجية التي جرى غرسها بالمواقع المصابة يمكنها تحديد ما إذا كان الزائر مثيراً للاهتمام، ومن ثم إضافة المحتوى للصفحة إذا اعتبر أن الهدف مناسب للعدوى، مضيفين: «على أي حال فإنه في هذه المرحلة لا يوجد سبب واضح لماذا يتم استهداف المؤسسات الإعلامية والبنية التحتية في أوكرانيا وروسيا».

جهة غير معلومة

ومن غير الواضح الجهة أو المجموعة التي تقف وراء «الأرنب الشرير»، أو من يقوم بتوزيعه ولماذا، لكن التشابه بينه وبين «بيتيا» قاد بعض الباحثين للاعتقاد بأنه من صنع المجموعة المهاجمة نفسها التي شنت هجوم «بيتيا»، على الرغم من أن ذلك لا يساعد على تحديد المهاجم أو الدوافع الموجودة لديه، لأنه لم يتم تحديد هوية من شنوا هجمات يونيو حتى الآن، لكن ما يجعل هذا الهجوم خارج نطاق مجموعة يونيو أنه بدأ أولاً في روسيا وشرق أوروبا، وهذا سلوك يخالف ما تتبعه مجموعات الجريمة الإلكترونية في العادة، التي تميل إلى تتجنب مهاجمة الوطن الأم، وبالتالي يرجح أنه بعيد عن المجموعات الروسية، بحسب الباحثين الأمنيين.

هواة «لعبة العروش»

ورأى الباحثون أن من كان من يقف خلف فيروس «الأرنب الشرير»، يبدو أنه واحد من هواة «لعبة العروش»، مبينين أن كود الفيروس يحتوي على مراجع ومقاطع من هذه اللعبة، بما تحتويه من مخلوقات تظهر في المسلسلات التلفزيونية والروايات المبنية عليها، والواضح حتى الآن أن مؤلف كود «الأرنب الشرير» لم يفعل شيئاً لتغيير الصورة النمطية الخاصة بالقراصنة التي ظهرت في هذه الألعاب.

تويتر