16 مارس 2023
أعلنت كاسبرسكي عن اطلاقها أداةً جديداً من برمجيات فك التشفير لمساعدة ضحايا تعديل برامج الفدية، وذلك بالاعتماد على كود المصدر “كونتي” الذي تم تسريبه في الآونة الأخيرة. وتهيمن “كونتي” التي تعدّ إحدى أهم عصابات برمجيات الفدية منذ العام 2019، وتم تسريب بياناتها، بما في ذلك كود المصدر في مارس 2022 بعد صراع داخلي نجم عن الأزمة الجيوسياسية في أوروبا. ونُشر التعديل المكتشف من قبل مجموعة غير معروفة لبرامج الفدية، وتم استخدامه ضد الشركات والمؤسسات الحكومية.
وفي أواخر فبراير من العام الجاري 2023، كشف خبراء كاسبرسكي عن جزء جديد من البيانات المسربة المنشورة على المنتديات. وبعد تحليل تلك البيانات التي احتوت على 258 مفتاحاً خاصاً، إضافة إلى كود المصدر وبعض برامج فك التشفير التي جرى جمعها سابقاً، طرحت كاسبرسكي أداةً جديداً من برنامج فك التشفير لمساعدة ضحايا تعديل برمجيات الفدية من عصابة “كونتي”.
ظهر “كونتي” في أواخر عام 2019 وكان نشطًا للغاية طوال عام 2020 ، حيث يمثل أكثر من 13 ٪ من جميع ضحايا برامج الفدية خلال هذه الفترة. ومع ذلك، قبل عام، بمجرد تم تسريب الكود المصدري، قامت عصابات إجرامية مختلفة بإنشاء تعديلات متعددة لبرمجيات الفدية “كونتي “واستخدمتها في هجماتها.وفي شهر ديسمبر من العام الماضي 2022، تمكن الخبراء المتخصصون في كاسبرسكي من اكتشاف هذا النوع من البرمجيات الخبيثة التي تم تسريب مفاتيحها، حيث كانت هذه السلالة تستخدم في العديد من الهجمات ضد الشركات والمؤسسات الحكومية.
وتوجد المفاتيح الخاصة المسربة في 257 حقبة ، علماً أن مجلداً واحداً منها فقط يحتوي على مفتاحين، كما يشتمل بعضها على برامج فك تشفير تم تطويرها سابقاً، فضلاً عن وجود العديد من الملفات العادية، مثل المستندات والصور وغيرها، والتي يفترض أن تكون عبارة عن ملفات اختبارية، ويقصد بذلك قيام الضحية بإرسال عدد من الملفات إلى المهاجمين للتأكد من إمكانية فك تشفير الملفات.
وحدّدت أربعة وثلاثون من هذه الحقائب أسماء شركات وهيئات حكومية. ولو افترضنا أن حقيبة واحدة موجّه لضحية واحدة، وأن برامج فك التشفير تم انشائها للضحايا الذين دفعوا الفدية، يمكن الاستنتاج أن 14 من أصل 257 ضحية قد دفعوا الفدية بالفعل للمهاجمين.
وبعد تحليل تلك البيانات، أصدر الخبراء نسخة جديدة من برنامج فك التشفير لمساعدة ضحايا التعديل من برمجيات الفدية “كونتي”. وتمت إضافة كود فك التشفير وجميع المفاتيح البالغ عددها 258 إلى أحدث إصدار من الأداة المساعدة التي تحمل اسم (RakhniDecryptor 1.40.0.00) من كاسبرسكي. ونشرت أيضاً حل فك التشفير على موقع No Ransom التابع لكاسبرسكي (https://noransom.kaspersky.com).
وقال فيدور سينيتسين، كبير محللي البرمجيات الضارة في كاسبرسكي: “يستخدم مجرمو الشبكة برامج الفدية كأداة تهديد رئيسية منذ سنوات عديدة، لكن بعد قيامنا بدراسة الطرق والتقنيات والإجراءات التي تنتهجها مختلف العصابات التي تعتمد على هذا النوع من التهديدات، اكتشفنا أن العديد منها يعمل بطرق مماثلة، وبالتالي أصبح من السهل علينا التصدّي لهجماتها. وتوجد في الوقت الحالي أداة فك التشفير للتعديل الجديد الذي أدخل على برمجيات الفدية من “كونتي”، وقمنا بنشرها بالفعل على صفحة No Ransom في موقعنا. ومع ذلك، يجب التأكيد على حقيقة مهمة، وهي أن أفضل استراتيجية للحماية تتمثل في تقوية الخطوط الدفاعية، ووقف المهاجمين في المراحل الأولى من اقتحامهم، وكبح محاولات نشر برمجيات الفدية، والتقليل من الأضرار التي قد تترتب على تلك الهجمات”.
وحتى تتمكن من حماية نفسك وعملك من هجمات برمجيات الفدية، قم بإتباع الإجراءات التالية من كاسبرسكي:
لا تعرض خدمات سطح المكتب البعيدة (مثل منفذ بروتوكول سطح المكتب البعيد “RDP”) على الشبكات العامة ما لم يكن ذلك ضرورياً جداً، واستخدم كلمات مرور قوية لها بصورة دائمة.
- قم على الفور بتثبيت التصحيحات المتاحة لحلول الشبكة الخاصة الافتراضية (VPN) التي توفر لموظفي الشركة إمكانية الدخول عن بُعد، والعمل كبوابات في شبكتك.
- ركز استراتيجيتك الدفاعية على الكشف عن الحركات الجانبية وسحب البيانات إلى الإنترنت. وانتبه تحديداً للحركات الصادرة حتى تتمكن من اكتشاف الاتصالات التي يقوم بها المجرمون على الشبكة العالمية.
- قم بتوفير نسخ احتياطية للبيانات بانتظام، وتأكد من قدرتك على الوصول إليها بسرعة في حالات الطوارئ عند الحاجة.
- استخدم حلولاً مثل Endpoint Detection and Response Expert من كاسبرسكي، وخدمة Managed Detection and Response من الشركة ذاتها للمساعدة على تحديد الهجمات الإلكترونية وإيقافها في مراحلها المبكرة، قبل أن يتمكن المهاجمون من الوصول إلى أهدافهم النهائية.
- استخدم أحدث معلومات التهديدات لتظل مطلعاً بصورة دائمة على الطرق والتقنيات والإجراءات الفعلية المستخدمة في التهديدات من قبل العصابات النشطة والفاعلة على الشبكة. وتعتبر بوابة معلومات التهديدات التابعة لشركة كاسبرسكي محطة لتوفير المعلومات التي يحتاج إليها عملاؤها، للحصول منها على البيانات المتعلقة بالهجمات الإلكترونية والرؤى والأفكار التي جمعها فريقنا على مدار 25 عاماً. وحرصاً منها على مساعدة الشركات وتمكين دفاعاتها الفعالة في هذه الأوقات الصعبة، أتاحت كاسبرسكي الوصول بالمجان إلى معلومات مستقلة يتم تحديثها باستمرار بالاعتماد على مصادر عالمية حول الهجمات الإلكترونية والتهديدات المستمرة. ويمكن طلب الوصول إلى هذا العرض من هنا www.kaspersky.com