كشف خبراء الأمن السيبراني عن تطور جديد في هجمات برنامج فدية ميدوسا (Medusa RaaS)، حيث بدأ القراصنة باستخدام برنامج تشغيل خبيث يُدعى ABYSSWORKER لتعطيل أنظمة الكشف عن التهديدات والاستجابة (EDR). هذه التقنية المتقدمة تمثل تصعيداً خطيراً في أساليب المجرمين الإلكترونيين.
كيف تعمل هذه الهجمات؟
- تقنية BYOVD (إحضار برنامج التشغيل الضعيف الخاص بك):
- يستغل المهاجمون ثغرات في برامج تشغيل معروفة
- يحقنون برنامج ABYSSWORKER الخبيث في النظام
- يقوم البرنامج بإنهاء عمليات برامج الحماية بشكل خفي
- التوقيعات الرقمية المسروقة:
- يستخدم البرنامج شهادات رقمية مسروقة من شركات صينية
- رغم إلغاء هذه الشهادات، إلا أنها تمكن البرنامج من تجاوز الحماية الأولية
- استغلال منصة Microsoft Trusted Signing:
- يقوم القراصنة بالتوقيع على برامجهم الضارة بشهادات صالحة لمدة 3 أيام فقط
- هذه الشهادات قصيرة الأجل تصعب عملية التعرف على البرمجيات الخبيثة
لماذا تعتبر هذه الهجمات خطيرة بشكل خاص؟
✔ تعطيل أنظمة الحماية: تجعل الجهاز بلا حماية ضد التهديدات الأخرى
✔ الانتشار السريع: استخدام شهادات موثوقة يسهل اختراق الأنظمة
✔ صعوبة الاكتشاف: التوقيعات الشرعية تجعل البرنامج يبدو قانونياً
✔ تأثير واسع النطاق: يمكن أن تستهدف الشركات الكبرى والبنية التحتية الحيوية
نصائح أمنية عاجلة للحماية:
🔒 تحديث أنظمة التشغيل وبرامج مكافحة الفيروسات باستمرار
🔒 تنشيط ميزة التوقيع الصارم لبرامج التشغيل (Driver Signature Enforcement)
🔒 مراقبة عمليات النظام لاكتشاف أي سلوك غير عادي
🔒 تنفيذ سياسة صارمة لتثبيت البرامج والبرامج التشغيلية
🔒 استخدام حلول أمنية متقدمة قادرة على اكتشاف هجمات BYOVD
استجابة مايكروسوفت والإجراءات المضادة:
أعلنت مايكروسوفت عن عدة إجراءات لمواجهة هذه التهديدات:
- تعزيز آليات التحقق من الشهادات الرقمية
- تحسين أنظمة اكتشاف إساءة استخدام منصة Trusted Signing
- تطوير آليات جديدة لاكتشاف برامج التشغيل الضارة
خلفية عن برنامج فدية ميدوسا:
- يعمل بنموذج Ransomware-as-a-Service (RaaS)
- ظهر لأول مرة في عام 2021
- اشتهر بهجماته على قطاعات التعليم والرعاية الصحية
- يستخدم تقنيات متطورة لتفادي الاكتشاف
ماذا تفعل إذا تعرضت للهجوم؟
- عزل الأنظمة المصابة فوراً لمنع انتشار الهجوم
- استعادة البيانات من نسخ احتياطية نظيفة
- تغيير جميع كلمات المرور والاعتمادات الأمنية
- إبلاغ السلطات المختصة بالإختراق
- طلب مساعدة خبراء الأمن السيبراني المتخصصين
مستقبل التهديدات الإلكترونية:
يشير هذا التطور إلى أن المجرمين الإلكترونيين أصبحوا أكثر تطوراً في أساليبهم. يجب على المنظمات:
- زيادة ميزانيات الأمن السيبراني
- تدريب الموظفين باستمرار
- تبني استراتيجيات أمنية متعددة الطبقات
- الاستثمار في أنظمة الذكاء الاصطناعي لاكتشاف التهديدات الناشئة
