لقد تم تشفير ملفاتكم .. ادفعوا أولا!

شن قراصنة مجهولو الهوية هجماتٍ متزامنة ضد أنظمة الحاسب الآلي في جميع أنحاء العالم، واستولوا على معلوماتٍ حيوية بهدف الحصول على فدية، فيما دخل الآلاف من الوكالات الحكومية والشركات والمستشفيات وغيرها في حالة من الفوضى.
وبحسب وكالة الأنياء الألمانية (د ب أ) فقد تم تسجيل أكثر من 200 ألف هجوم في ما يصل إلى 150 بلدا.
وسطاء الظل

ويبدو أنّ القراصنة استغلوا عيبًا في نظام تشغيل نظام ويندوز التابع لشركة مايكروسوفت، والذي اكتشفته وكالة الأمن القومي الأمريكية أولًا، وكانت مجموعة من القراصنة باسم «وسطاء الظل» قد استولت على معلوماتٍ حول الخلل وأداة استغلاله ونشرتها بشكلٍ عام في فضاء الإنترنت مع برمجيات خبيثة في أبريل الماضي.
مستشفيات أصيبت من جراء الهجمات، الأمر الذي منع الأطباء من الوصول إلى ملفات المرضى وأدى إلى تحويل غرف طوارئ المرضى إلى مستشفياتٍ أخرى, وواجه العاملون في تلك المستشفيات، وفي شركة وأماكن أخرى عديدة رسالة على شاشاتهم، جاء فيها: «أووبس، تم تشفير ملفاتكم»، مع طلب 300 دولار أمريكي على هيئة عملات بيتكوين، وهي عملة رقمية افتراضية فضلها المجرمون، لأنّ معاملاتها تكون مجهولة.
ولم تسلم حتى وزارة الداخلية الروسية من الهجوم إذ قالت في بيانٍ لها إنّ ألفًا من أجهزة الحاسب الخاصة بها أصيبت جراء الهجوم, وقال متحدثٌ باسم شركة فيديكس للنقل السريع عن الهجوم: «مثل العديد من الشركات الأخرى، تشهد فيديكس تداخلًا مع بعض أنظمتنا المستندة إلى نظام ويندوز، ناجمة عن برمجيات خبيثة، ونحن نقوم بتنفيذ خطوات المعالجة بأسرع ما يمكن، ونأسف لأي إزعاجٍ يواجه عملاءنا».
وتعرف خبراء الأمن السيبراني على البرمجيات الخبيثة باعتبارها نسخة بديلة عن «رانسوم وير» (برنامج خبيث للحصول على فدية)، معروفة باسم “ونا كراي” (أريد البكاء).
وجدت تقارير العام الماضي أنّ بعض المستشفيات التي تديرها الدولة في بريطانيا لم تنفق شيئًا على الدفاع السيبراني، وكانت تقوم بتشغيل برامج قديمة على أنظمتها, ما جعلها فريسة سهلة للهجوم.

رانسوم وير
كيف يتم الهجوم الفيروسي؟ المعتاد أن يرسل القراصنة إلى ضحاياهم بريدًا إلكترونيًا يتضمن رابطًا إلى ما يبدو أنّه عنوان موقع إلكتروني غير ضار أو مرفق بريد إلكتروني، أما في هذه الحالة الأخيرة، فيبدو أنّ المهاجمين قد أرسلوا إلى ضحاياهم ملفات مضغوطة مشفرة في المرفقات، تهدف إلى جعل الأمر أكثر صعوبة للكشف عن غرضهم.
وبمجرد نقر الضحايا على هذا المرفق، يجدون أجهزة الحاسب الآلي الخاصة بهم مصابة سريعًا.
ويقوم البرنامج بتشفير الملفات والمجلدات ومحركات الأقراص الصلبة على الحاسب، وربما على الشبكات التي ترتبط بها بأكملها، ويقول مكتب التحقيقات الفيدرالي الأمريكي: «لا يدرك المستخدمون والمنظمات عمومًا أنّهم قد أصيبوا إلا حين لا يعود بإمكانهم الوصول إلى بياناتهم أو حتى يبدأ ظهور الرسائل التي تخبرهم بالهجوم وتطالبهم بدفع فدية مقابل مفتاح فك التشفير».
وتتضمن الرسائل التي يتلقاها الضحايا توجيهاتٍ لدفع فدية للمهاجمين، وعادةً ما يطلب الدفع، كما حدث في الهجمات الأخيرة، بعملة البيتكوين.
وقد أقرت مايكروسوفت في مارس الماضي بوجود عيب محتمل في خوادمها سمح لبرامج رانسوم وير وغيرها من البرامج الخبيثة بالانتشار على الشبكات.
وتعرض مستشفى في لوس أنجلوس لهجومٍ مماثلٍ في فبراير من العام الماضي، ودفعت فدية بعملة البيتكوين تعادل حوالي 17 ألف دولار للقراصنة الذين استخدموا البرمجيات الخبيثة للإبقاء على نظام الحاسب كرهينة.
تسريب البيانات
لكن من الذي يقف وراء هذا الهجوم؟
ليس من الواضح من الذي نظم هجمات الجمعة الماضية، كما أنّه ليس من الواضح من هم قراصنة «وسطاء الظل».
في البداية، حامت الشكوك حول متسلل من الداخل في وكالات الأمن القومي الأمريكي أو المخابرات الأمريكية كان يشتبه في أنّه قد سرب أدوات القرصنة خارج الوكالة، لكنّ القرصنة استمرت بعد القبض على ذلك الشخص.
وكان المتعاقد السابق بوكالة الأمن القومي الأمريكية إدوارد سنودن, المتهم بتسريب وثائق أمريكية سرية, قد ألقى باللوم على الوكالة بخصوص الهجمات الإلكترونية التي اجتاحت عددا من دول العالم، بواسطة برنامج معلوماتي خبيث. واعتبر سنودن أن البرنامج الخبيث الذي اعتمد عليه القراصنة في شن الهجوم كان متاحا على الإنترنت في 14 أبريل الماضي، عبر جماعة القرصنة التي تطلق على نفسها اسم (وسطاء الظل)، والتي ادعت العام الماضي أنها استولت على أسلحة إلكترونية من وكالة الأمن القومي الأمريكية.
ويعيش سنودن في موسكو في إطار اتفاق لجوء، بعد أن سرب معلومات سرية عام 2013، أثارت غضبا دوليا بشأن نطاق عمليات التجسس الأمريكية.
وقال سنودن: « لو أن وكالة الأمن القومي كشفت عن الخلل الذي يمكن أن يُستغل لمهاجمة مستشفيات (كما حدث في بريطانيا) عندما اكتشفته لا عندما فقدت الأسلحة الإلكترونية, لكان من الممكن ألا يحدث الهجوم».
وكتب «سنودون» مغردا في موقع تويتر: قرار وكالة الأمن القومي الأمريكية صناعة وسائل هجوم ضد البرمجيات الأمريكية يهدد حاليا حياة المرضى في المستشفيات.
وحث «سنودن» الكونجرس الأمريكي للتحقق من درجة ضعف أنظمة التشغيل المستخدمة في المستشفيات الأمريكية، على خلفية الهجمات على المرافق الطبية في بريطانيا, وكتب في تغريدة: «في ضوء هجمات اليوم، يجب على الكونجرس معرفة ما إذا كانت وكالة الأمن القومي الأمريكية تعرف نقاط الضعف المحتملة في أنظمة التشغيل المستخدمة في مستشفياتنا».
فيما قال خبراء أمن إنّ توقيت تسريب القراصنة للبيانات غالبًا ما يتماشى مع المصالح السياسية الروسية، وعلى سبيل المثال، حدث أحد التسريبات من قبل «وسطاء الظل» بعد قصف الولايات المتحدة لسوريا, واستشهد القراصنة بالقصف كجزء من الدوافع لتسريبهم الأخير.
وقال خبراء أمنيون إنّ الذين سقطوا بالفعل ضحايا للفدية يوم الجمعة الماضية قد لا يكون لديهم سوى القليل من الدراية بهذه الأمور.
وقال «جيسون ريبهولز»، المدير البارز في مجموعة كريبسيس، المتخصصة في «رانسوم وير»، إنه يمكن للضحايا محاولة البحث على شبكة الإنترنت عن خدمة فك التشفير، ولكن توجد احتمالات أنّ في هجومٍ متطورٍ مثل هذا، يكون من المرجح أنّ مجرمي الإنترنت قد اتخذوا بالفعل خطواتٍ لتحصين التشفير من مثل هذه الخدمات.
هل تعرض أحدٌ لأذى؟
لقد تعطلت غرف طوارئ ومكاتب أطباء وسيارات الإسعاف بلدان، وتأثرت الاتصالات في بلدانٍ أخرى, ومن غير المعروف ما إذا كان هناك أي شخصٍ قد تعرض لإصاباتٍ أو مات بسبب هذا الهجوم.
وقال خبراء في الأمن المعلوماتي إن نحو 150 دولة من بينها بريطانيا وروسيا والهند والصين وإيطاليا وإسبانيا وأستراليا وفرنسا وألمانيا والمكسيك ومصر وعدد من دول الخليج أبرزها السعودية وصل لها الهاكرز، واختارات دول أخرى دس رأسها في الرمال لتجنب المساءلة القانونية .
وتثير هذه الموجة من الهجمات الإلكترونية العالمية قلق خبراء أمن المعلومات الذين لفتوا الانتباه إلى أن القراصنة قد يكونون استفادوا من ثغرة أمنية في أنظمة ويندوز، كشفت النقاب عنها وثائق سرية خاصة بوكالة الأمن القومي الأمريكية تمت قرصنتها.
وقد طال الهجوم القارات الخمس لكنه تركز في أوروبا وآسيا وخصوصًا في الصين، في حين كانت قارة أفريقيا أقل المناطق تعرُّضا للهجوم الإلكتروني.
وأظهرت الخريطة الدول العربية التي تعرضت للهجمات مثل مصر ودول الخليج العربي؛ السعودية والإمارات والكويت وعمان، باستثناء قطر والبحرين.
وبحسب محللي (فورس بوينت سيكيوريتي لابس) فإن الهجوم كان ذا بعد عالمي وتمثل في حملة كبيرة من الرسائل الالكترونية المؤذية.
وذكر موقع ويكيليكس أنه كان قد حذر سابقا من انتشار غير منضبط للبرمجيات الخبيثة من قبل الاستخبارات الأمريكية، وذلك في سلسلة نشراته “Vault 7”.