RansomCloud هو برنامج فدية مصمم للتسلل إلى التخزين السحابي وتشفيره. إن مسؤولية أمان بياناتك ليست واضحة كما قد تظن. سنخبرك بما تحتاج إلى معرفته.
برامج الفدية وبرمجيات الفدية السحابية
برامج الفدية هي نوع من البرمجيات الخبيثة التي تصيب أجهزة الكمبيوتر والخوادم الخاصة بالضحية. وهي تقوم بتشفير الملفات والبيانات الموجودة على تلك الأجهزة مما يجعل الشبكة غير صالحة للعمل. ولعكس هذه العملية ــ المعروفة باسم فك التشفير ــ يتطلب الأمر مفتاح فك تشفير فريدًا. ويطلب مجرمو الإنترنت فدية مقابل المفتاح.
تعد برامج الفدية تجارة ضخمة. فمنذ بداية جائحة كوفيد-19، زادت هجمات برامج الفدية بنسبة 600%. وفي 67% من الحالات، تُستخدم رسائل التصيد الاحتيالي للإيقاع بالضحية. وهجمات التصيد الاحتيالي عبارة عن رسائل بريد إلكتروني مصممة لتقليد رسائل البريد الإلكتروني من مصادر موثوقة، مثل الخدمات عبر الإنترنت والبنوك ومنصات الدفع الأخرى مثل PayPal.
تحاول رسائل البريد الإلكتروني توليد شعور بالاستعجال. فهناك مشكلة تحتاج إلى التعامل معها الآن، أو أن عرضًا خاصًا سينتهي قريبًا — لا تفوت الفرصة! سيؤدي فتح مرفق ملوث إلى إصابة جهاز الكمبيوتر الخاص بك. سيؤدي النقر فوق رابط ضار إلى نقلك إلى موقع ويب مزيف يقوم بجمع بيانات اعتمادك أو تنزيل برامج ضارة على جهاز الكمبيوتر الخاص بك.
وفي الوقت نفسه، يستمر التحول إلى الحوسبة السحابية دون هوادة. ومن بين عوامل الجذب الملحوظة تحسين متانة التشغيل واستمرارية الأعمال المتفوقة. والبنية الأساسية التي تدعم العروض السحابية من مقدمي الخدمات مثل مايكروسوفت وجوجل وأمازون هي من الطراز العالمي. وإذا كان هناك من يعرف الأمن، فلا بد أن يكونوا عمالقة التكنولوجيا، أليس كذلك؟ هذا لا يعني أن هذه المنصات ــ أو أي منصة أخرى، في هذا الصدد ــ تأتي مع نظام أمان مرتب ومنظم. وكما قد تتوقع، فإن الأمر أكثر تعقيدا من ذلك.
بدأ مجرمو الإنترنت في استهداف منصات وخدمات السحابة بهجمات برامج الفدية، مما أدى إلى ظهور اسم “سحابة الفدية”. سواء كنت تتبنى سحابة عامة أو سحابة هجينة أو بنية تحتية متعددة السحابات، فإن مجرمو الإنترنت يريدون الوصول إلى بياناتك. وكلما زادت البيانات الموجودة لديك في مكان واحد، كلما أصبح هذا المكان هدفًا أكثر جاذبية. وإذا كانت نفس مساحة تخزين البيانات هذه تحتفظ بالبيانات للعديد من الشركات، فإن قيمتها بالنسبة لمجرمي الإنترنت تتصاعد.
أنواع هجمات RansomCloud
هناك ثلاثة أنواع من الهجمات التي يمكن أن تصيب التخزين السحابي.
الاستفادة من المزامنة
يتم إرسال معظم برامج الفدية عن طريق هجمات التصيد الاحتيالي. النوع الأول من هجمات الفدية السحابية يصيب الكمبيوتر المحلي للضحية. تعتمد رسائل التصيد الاحتيالي على إجراء من الضحية مثل محاولة فتح مرفق وهمي أو النقر فوق رابط. من غير المرجح أن يحمل المرفق البرامج الضارة نفسها. في أغلب الأحيان، يتم تشغيل برنامج صغير يسمى “البرنامج الناقل”. يعمل البرنامج الناقل في الخلفية ويقوم بتنزيل البرامج الضارة الفعلية وتثبيتها. يمكن أن يؤدي النقر فوق رابط إلى بدء التنزيلات أيضًا.
قد يعرض البرنامج الخبيث نافذة منبثقة للمستخدم تبدو وكأنها طلب إذن من برنامج موثوق. فبدلاً من منح إذن لبرنامج مكافحة الفيروسات الخاص بك، على سبيل المثال، بفحص جزء المستخدم من مساحة التخزين السحابية، فإنك بذلك تمنح البرنامج الخبيث حقوق الوصول عن غير قصد. ويمكن للبرنامج الخبيث الآن الوصول إلى تلك المساحة السحابية.
بمجرد إصابة جهاز الكمبيوتر الخاص بالضحية، قد ينتشر البرنامج الخبيث عبر الشبكة من جهاز إلى آخر ومن خادم إلى خادم. تبحث بعض برامج الفدية عن خدمة مزامنة الملفات التي تتواصل مع خدمة سحابية. وتستغل هذه الخدمة وتحصل على إمكانية الوصول إلى التخزين السحابي، مما يؤدي إلى إصابة البيانات وتشفيرها في السحابة.
بمجرد إنشاء الوصول إلى السحابة، يقوم برنامج الفدية بعد ذلك بتشغيل وتشفير أجهزة الكمبيوتر المحلية. وينتظر حتى يتمكن من التسلل بنجاح إلى السحابة – وهو ما لا يمكنه القيام به إذا قام بتشفير جميع أجهزة الكمبيوتر المحلية على الفور – أو يقرر أنه لا يوجد طريق إلى السحابة يمكنه اختراقه، ويستقر على عدوى محلية بحتة.
الاتصال عن بعد باستخدام بيانات اعتماد مسروقة
النوع الثاني من الهجمات يصيب الجهاز المحلي أو المحمول للضحية. فهو يسرق بيانات اعتماد المستخدم على السحابة من خلال مراقبة اتصالات الشبكة ومراقبة محاولات المصادقة. وقد يوجه المستخدم إلى بوابة ويب وهمية متنكرة في هيئة منصة سحابية حقيقية. وعندما يقوم الضحية بتسجيل الدخول إلى البوابة الاحتيالية، فإنه يحصد بيانات اعتماده.
من خلال تتبع ضغطات المفاتيح على الكمبيوتر المحلي المصاب، يمكن نسخ تفاصيل الاتصال بواسطة البرامج الضارة إلى كمبيوتر بعيد. يتم إدخال نفس بيانات الاعتماد تلقائيًا بواسطة الكمبيوتر البعيد. حتى إذا تم استخدام المصادقة الثنائية، فإن البرامج الضارة المحلية تلتقط ضغطات المفاتيح على جهاز الضحية وتنقلها إلى الكمبيوتر البعيد للمجرمين الإلكترونيين.
إن تسجيل الدخول المتزامن من كمبيوتر مجرم الإنترنت يعمل لأن معرف المستخدم وكلمة المرور اللذين تم التنصت عليهما من كمبيوتر الضحية صحيحان، كما أن التحقق من 2FA هو رمز التحقق الحالي والصالح. وبالتالي، أصبح لدى مجرمو الإنترنت الآن اتصال بسحابتك من جهاز الكمبيوتر الخاص بهم. وقد يكون ذلك من خلال تخزين البيانات، أو قد يكون من خلال البريد الإلكتروني للشركة.
مهاجمة مزود الخدمة السحابية
إن الهجوم الناجح على مزود خدمة سحابية يعد بمثابة ضربة كبيرة لمجرمي الإنترنت، كما أنه يمثل مكافأة كبيرة لهم. إذ يمكنهم اختراق المنصة بأكملها وابتزاز الفدية من بعض أو حتى جميع عملاء هذه الخدمة.
في أواخر أغسطس 2019، أبلغت شركة Digital Dental Record وPerCSoft عملائهما البالغ عددهم 400 عميل – جميع عيادات الأسنان – أن منصة DDS Safe السحابية الخاصة بأطباء الأسنان لقد تعرضت لهجوم من برامج الفديةتم تشفير بيانات حوالي 400 عيادة أسنان.
في 12 أغسطس 2021، تم إخطار شركة Microsoft بوجود ثغرة أمنية في قاعدة بيانات Azure Cosmos، البرنامج الذي يشكل جوهر عرض Azure السحابي. وقد أبلغهم بذلك أحد الباحثين الأمنيين. وقامت Microsoft على الفور بإصلاح الثغرة الأمنية. ولا يوجد دليل على استغلال الثغرة الأمنية.
كانت الثغرة موجودة في منتج مفتوح المصدر يسمى دفتر ملاحظات جوبيتر تم دمج هذا في قاعدة بيانات Cosmos، وتم تشغيله افتراضيًا. استجابت شركة Microsoft للإشعار الصادر من الباحث الأمني بإجراءات اللعب مقابل اللعب المعتادة، مما أدى إلى التحكم في الموقف وتخفيفه على الفور. كان الأمر بمثابة نجاة قريبة، ولكن لم يحدث خرق فعلي. لكنه يُظهر أن الجميع يمكن أن يكونوا عرضة للخطر.
من المسؤول عن أمن السحابة؟
إن المسؤولية مشتركة، بقدر ما يتحمل كل منكم مسؤوليات. ولكنكم مسؤولون عن أجزاء مختلفة من اللغز. فمزود الخدمة السحابية مسؤول عن ضمان عدم إمكانية الوصول إلى البيانات دون بيانات اعتماد شرعية. ومن واجبه ضمان عدم تعرض بياناتك للخطر بسبب ثغرة أمنية. وإذا استغل مجرم إلكتروني هذه الثغرة الأمنية، فإنه مسؤول عن الاختراق.
ومع ذلك، فهم ليسوا مسؤولين عن نقاط الضعف أو الثغرات التي تحدث نتيجة لكلمات مرور خاطئة أو افتراضية، أو برامج تم تكوينها بشكل خاطئ – حتى لو كانت برامج قدموها كجزء من خدمتهم لك – ولا عن الإخفاقات من جانب موظفيك. إذا وقع شخص ما في مؤسستك فريسة لهجوم تصيد، فإن مزود الخدمة السحابية الخاص بك ليس مسؤولاً.
تفترض بعض المؤسسات أن كل ما يتعلق بأمن السحابة يقع على عاتق مزود الخدمة السحابية. ولكن هذا ليس صحيحًا على الإطلاق. فمن المهم أن تفهم بالضبط أين تقع المسؤوليات، وأين تقع الحدود لكل طرف. وهذا هو المفتاح لتحقيق الأمان. يجب أن تفهم ما يقدمونه حتى تتمكن من معرفة ما تحتاج إلى تقديمه بالإضافة إلى ذلك. ومعرفة حدود المسؤولية هي الطريقة الوحيدة التي يمكنك من خلالها ضمان عدم وجود مناطق غير محمية أو مهملة في الهامش بينك وبين مزود الخدمة.
كيفية الدفاع عن بياناتك
اطلب التوضيح. سيكون لدى مقدمي الخدمات السحابية ذوي السمعة الطيبة خطة لكيفية التعافي من هجوم برامج الفدية وأنواع أخرى من الانقطاعات. وسوف يقومون بتوثيقها والتدرب عليها. قد لا يتمكنون من مشاركة الخطة – فقد يكشف ذلك عن معلومات مخصصة للاستخدام الداخلي فقط، وقد تضعف أمنهم بشكل كبير – ولكن يمكنك أن تسأل متى تم اختبارها أو مراجعتها آخر مرة. قد يتمكنون من مشاركة نتائج آخر جولة في الخطة معك.
كن واضحًا بشأن أين تنتهي مسؤولياتهم وأين تبدأ مسؤولياتك. اقرأ الحروف الصغيرة.
افترض أن الأسوأ قد يحدث، وخطط له. إذا تعطل مزود الخدمة السحابية الخاص بك، فكيف ستستمر في العمل؟ على سبيل المثال، قد تستفيد من أكثر من مزود خدمة سحابية وتتبنى استراتيجية السحابة المتعددة. ويمكن تحقيق نفس الشيء باستخدام استراتيجية هجينة، باستخدام خوادم محلية. أياً كانت خطتك، تأكد من أنها تعمل قبل الحاجة إليها.
احرص دائمًا على إجراء عمليات نسخ احتياطية وتخزينها في مواقع متعددة وإجراء عمليات استعادة تجريبية. قم بتحديث أنظمة التشغيل والبرامج والبرامج الثابتة لأجهزة الشبكة باستخدام تصحيحات الأمان وإصلاح الأخطاء. استخدم مجموعة أمان نقاط النهاية الرائدة في السوق، والتي تغطي برامج مكافحة الفيروسات والبرامج الضارة.
نظرًا لأن ما يقرب من 70% من هجمات برامج الفدية تبدأ من خلال رسائل البريد الإلكتروني الاحتيالية، فتأكد من حصول موظفيك على تدريب للتوعية بالأمن السيبراني وتزويدهم به بشكل دوري. يمنحك هجوم التصيد الاحتيالي الحميد مقياسًا لمدى تعرض القوى العاملة لديك لهذا النوع من الهندسة الاجتماعية. هناك خدمات عبر الإنترنت يمكنك استخدامها وشركات أمنية ستجري حملات تصيد احتيالي حميدة نيابة عنك.
إن القليل من التعليم قد ينقذك من الكثير من المتاعب، وربما من عملك أيضًا.