عصابة من أوروبا الشرقية تقف خلفها وتستخدم تكتيك «صيد الحيوانات الكبيرة»

مقاطعة أميركية تنهار أمام هجمة فيروسات.. وتدفع فدية بقيمة 400 ألف دولار

مجرمو الإنترنت أصابوا مقاطعة «جاكسون» بشلل تام في أنظمتها وإداراتها. غيتي

انتهت أخيراً أزمة مقاطعة «جاكسون»، التابعة لولاية جورجيا الأميركية، مع هجمة فيروسات الفدية التي ضربت كل أجهزة المدينة وهيئاتها المحلية، وجعلتها تنهار تماماً، بعدما شفرت جميع ملفاتها وبياناتها وجعلتها في وضع أشبه بـ«الرهينة الثمنية» لمدة أسبوع، إذ رضخت المقاطعة في 11 مارس الجاري أمام المهاجمين ودفعت مبلغ 400 ألف دولار فدية، مقابل الحصول على مفاتيح فك تشفير الملفات التي سيطرت عليها فيروسات المهاجمين.

وعاد العمل لأجهزة وهيئات المقاطعة مرة أخرى، بعد أسبوع من الشلل التام، لتسجل هذه الواقعة ثاني أكبر حالة رضوخ تام أمام مجرمي الإنترنت الذين يشنون هجماتهم بفيروسات «الفدية»، إذ حدثت الواقعة الأولى مع شركة كورية متخصصة في خدمات استضافة مواقع الإنترنت تدعى «نايانا»، وتعرضت لهجوم مماثل، أدى إلى انهيار نظمها بصورة كاملة، فاضطرت في النهاية لإعلان استسلامها ودفع 1.3 مليار وون كوري (نحو 1.14 مليون دولار).

تعطيل الأنظمة

وقال عمدة المقاطعة، جانيس مانجو، إن الهجوم وقع خلال عطلة نهاية الأسبوع، في وقت لم يكن موظفو المقاطعة يمارسون أعمالهم، وعند عودتهم من العطلة وجدوا أن جميع الملفات التي يعملون عليها مشفرة، وجرت محاولات للتعامل مع الموقف ولم تفلح، فنشرت المقاطعة بيانات عبر «فيس بوك» أخبرت السكان، الذين يبلغ تعدادهم 64 ألف شخص، بأن خدمات البريد الإلكتروني للمقاطعة تم تعطيلها، وأن أنظمة المعلومات في جميع الأجهزة والإدارات والدوائر الحكومية المحلية التابعة للمقاطعة تم تعطيلها بفعل الهجوم، باستثناء نظام الطوارئ 911.

وأوضح مانجو أن كل ما لدى المقاطعة من نظم معلومات انهار أمام الهجوم، ما جعل المقاطعة تعود للعمل بطريقة ما قبل ظهور أجهزة الكمبيوتر.

وعيّن مسؤولو المقاطعة مستشاراً للأمن الإلكتروني للتفاوض مع مشغلي فيروس الفدية، وانتهى الأمر بدفع 400 ألف دولار لهم.

جدل كبير

أثار قرار عمدة المقاطعة الموافقة على دفع الفدية جدلاً بين جهات عدة، على اعتبار أن الدفع في كثير من الأحيان يعد مكافأة للمهاجمين، وتحقيقاً لأغراضهم، ما يجعلهم يتمادون في شن مثل هذه الهجمات مستقبلاً، كما أن المقاطعة كان من الممكن أن تتعرض للخديعة، حيث يحدث كثيراً أن يحصل الضحية على مفاتيح فك تشفير غير صالحة للعمل بعد الدفع، ومن ثم يدخل في دورات لا تنتهي من الابتزاز.

لكن عمدة المقاطعة دافع عن قراره بالقول إن أنظمة معلومات المقاطعة كانت ستظل لفترة أطول معطلة وخارج العمل إلى حين إعادة بنائها، أو الوصول لحل يتم من خلاله التعامل مع الملفات المشفرة، وهذا أمر قد يستغرق أسابيع وربما أشهراً، بكلفة مادية تجاوز كثيراً ما تم دفعه للمهاجمين.

وأشار في هذا السياق إلى ما حدث مع مدينة أتلانتا التي تعرضت لهجوم مماثل، ورفضت دفع الفدية، واستغرق الأمر لديها أسابيع عدة قبل إعادة أنظمتها للعمل، وتضخمت كلفة الحل من الكلفة المبدئية المقدرة لها وهي 2.6 مليون دولار لتصل إلى 17 مليون دولار في نهاية المطاف.

تحليل الهجوم

وقد تابعت أربع شركات متخصصة في أمن المعلومات هي: «كرود سترايك» و«فاير آي» و«مكافي» و«كراي بوتس»، هذا الهجوم، وخلصت إلى أن العصابة الإجرامية المعروفة باسم «ريوك» هي من تقف وراءه، وهي عصابة تعمل من منطقة أوروبا الشرقية وروسيا، وركزت على استهداف الحكومات والإدارات المحلية والرعاية الصحية والمؤسسات الكبيرة.

وتستخدم العصابة تكتيكاً يُعرف باسم «صيد الحيوانات الكبيرة»، إذ تشن هجماتها باستخدام برمجيات خبيثة تعرف باسم «تريك بوت» و«إيموتيت». ووفقاً لما قاله خبراء شركة «كرود سترايك» فإن فيروس الفدية المستخدم في الهجوم تم الحصول عليه من قبل مجموعة «جريم سبايدر» أو «العنكبوت جريم»، التي يعتقد أنها اشترته بدورها من منتدى للقراصنة يعرف باسم «هيرمز لبرمجيات الفدية»، ثم تعديله لمتطلباتهم الخاصة حتى أصبح يعرف الآن باسم «فيروس ريوك للفدية».

وبحسب تقارير الشركات الأربع، فإنه منذ ظهور فيروس «ريوك»، تمكنت الجهات التي تقف وراءه من إتمام 52 هجمة ناجحة انتهت بصفقات مالية، جمعوا من ورائها ما يقدر بـ3.7 مليارات دولار، جاء معظمها من هجمات ركزوا خلالها على العملات الرقمية المشفرة وفي مقدمتها عملة «بيتكوين».

فيروسات الفدية

تعتبر فيروسات الفدية فئة من البرمجيات الخبيثة، التي يزرعها المهاجمون على أجهزة كمبيوتر الضحايا، فتشفر ما عليها من ملفات، بحيث يكون من المستحيل فتحها وتشغيلها، إلا من خلال مفتاح يفك التشفير. وبعد الانتهاء من التشفير يرسل المهاجمون للضحية إشعاراً مفاده إما أن يدفع لافتداء ملفاته وإعادتها، أو يفقدها للأبد في حال عدم الدفع.

وفيروسات الفدية مصممة لتمكث داخل الكمبيوتر ثم تنطلق في عملها فجأة لتقوم بعملية التشفير.

طباعة