سلالة جديدة من برامج الفدية تُدعى GodDamn تتصدر العناوين بسبب تقنية ينبغي أن تقلق أي شخص يفترض أن برنامج مكافحة الفيروسات لديه الكلمة الفصل فيما يعمل على جهازه. وفقًا لتقرير من Dark Reading، يستخدم المهاجمون خلف GodDamn برنامج تشغيل نواة خبيثًا وقّعته Microsoft بنفسها، محولين شهادة رقمية موثوقة إلى سلاح ضد أدوات الأمان التي يُفترض أن توقفه. هذا مثال نموذجي على هجوم BYOVD، وهو اختصار لـ "إحضار برنامج التشغيل الضعيف الخاص بك"، ويصبح أحد أكثر الحيل الموثوقة في كتيب مشغلي برامج الفدية.

ماذا حدث

يضرب برنامج الفدية GodDamn الشركات الأمريكية عن طريق نشر برنامج تشغيل على مستوى النواة يحمل توقيع Microsoft شرعي. نظرًا لأن Windows يثق في برامج التشغيل الموقّعة للعمل في أعماق نظام التشغيل، تمكن برنامج التشغيل هذا من التسلل متجاوزًا الدفاعات وإنهاء برامج الأمان قبل تنفيذ حمولة الفدية على الإطلاق. بمجرد تعطيل حماية نقطة النهاية، يصبح المهاجمون أحرارًا في تشفير الملفات والتحرك عبر الشبكة دون اكتشافهم إلى حد كبير. التفصيلة الأكثر إثارة هنا هي أن Microsoft وقّعت برنامج التشغيل في المقام الأول: هذا يعني أن الشيفرة الخبيثة لم تكن بحاجة لاستغلال خلل في Windows بقدر ما استغلت الثقة الموضوعة في عملية التوقيع نفسها.

كيف يتجاوز BYOVD حزمة الأمان الخاصة بك

تعمل برامج تشغيل النواة على أعلى مستوى امتياز في جهاز Windows، أي فعليًا تحت الطبقة التي تعمل بها معظم أدوات مكافحة الفيروسات واكتشاف نقطة النهاية. وهذا بالضبط ما يجعل المهاجمين يريدونها. لا يُثير برنامج التشغيل الذي يحمل توقيعًا صالحًا نفس التدقيق الذي يُثيره ملف تنفيذي غير موقّع أو غير معروف، لذا يمكنه التحميل بهدوء ثم يُستخدم لتعطيل أو إعماء أو إنهاء عمليات الأمان الأخرى التي تعمل على النظام.

هذا الأمر يتجاوز مكافحة الفيروسات التقليدية. برامج عملاء VPN، وأدوات تصفية DNS، وغيرها من تطبيقات الخصوصية أو الأمان تعمل أيضًا كعمليات على نفس نظام التشغيل، ويمكن أن تكون عرضة بنفس القدر للإغلاق من قبل مهاجم على مستوى النواة يمتلك هذا المستوى من السيطرة مسبقًا. شبكة VPN تشفّر حركة مرورك ويمكن أن تساعد في منع أنواع معينة من التجسس الشبكي، لكنها لم تُصمم أبدًا لمنع برنامج تشغيل خبيث من تعطيل برامج الأمان على مستوى نظام التشغيل. بمجرد أن يحصل المهاجم على وصول إلى النواة، فإنه يعمل تحت مستوى ما تستطيع معظم أدوات الأمان الاستهلاكية والمؤسسية رؤيته، وهذا بالضبط سبب أهمية الدفاع متعدد الطبقات بدلًا من الاعتماد على أي أداة واحدة.

تقنية BYOVD ليست جديدة، لكنها أصبحت تقنية مفضلة تحديدًا لأنها تنجح بشكل جيد ضد الدفاعات الحديثة. يقوم مشغلو برامج الفدية على نحو متزايد ببناء هذه القدرة مباشرة في برمجياتهم الخبيثة بدلًا من التعامل معها كأداة منفصلة تُنشر مسبقًا، مما يُسرّع الهجمات ويجعل الاكتشاف أصعب. النمط الأوسع للمهاجمين الذين يتحركون بسرعة بمجرد أن يجدوا شيئًا يعمل واضح عبر مشهد برامج الفدية حاليًا. أظهرت مجموعات الابتزاز أيضًا استعدادًا للضرب بسرعة ضد البنى التحتية الحيوية، كما حدث عندما هاجمت SpaceBears مشغل اتصالات فرنسي في وقت سابق من هذا العام، وعمليات سرقة البيانات واسعة النطاق مثل تلك التي ادعتها ShinyHunters ضد الرابطة الوطنية لمفوضي التأمين (NAIC) تظهر حجم البيانات المعرضة للخطر بمجرد فشل الدفاعات الأولية.

لماذا يهم هذا أمان جهازك

الدرس الأساسي من GodDamn لا يتعلق ببرامج الفدية بمعزل عن غيرها، بل يتعلق بهشاشة نماذج الأمان القائمة على الثقة. الشيفرات الموقّعة، والشهادات الموثوقة، وموافقة البائع كلها تهدف إلى الإشارة إلى الأمان، لكن المهاجمين يستمرون في إيجاد طرق لإساءة استخدام هذه الإشارات بالذات. السرعة عامل أيضًا. تمامًا كما تحرك المهاجمون بسرعة لاختراق عشرات الآلاف من الخوادم بعد الكشف عن ثغرة تجاوز المصادقة في cPanel الحرجة، فإن عصابات برامج الفدية تسارع إلى تفعيل أي تقنية، بما في ذلك برامج التشغيل الخبيثة الموقّعة، تمنحهم أفضلية على المدافعين.

للمستخدمين العاديين ومديري تكنولوجيا المعلومات على حد سواء، هذا يعزز نقطة بسيطة: طبقة أمان واحدة، سواء كانت مكافحة فيروسات، أو VPN، أو جدار حماية، ليست كافية بمفردها. الدفاع المتعمق، أي حمايات متعددة متداخلة، يظل الطريقة الأكثر واقعية لتقليل المخاطر عندما يجد المهاجمون بنشاط طرقًا حول أي وسيلة تحكم منفردة.

ماذا يعني هذا بالنسبة لك

إذا كنت تدير أنظمة Windows، سواء في المنزل أو في بيئة الأعمال، فإن حملة برنامج الفدية GodDamn هي تذكير بالحفاظ على فرض توقيع برامج التشغيل، واكتشاف نقطة النهاية، وإدارة التصحيحات محدثة. يمتلك Windows آليات لمنع برامج التشغيل المعروفة بأنها ضارة، والحفاظ على تحديث هذه الدفاعات ضروري لأن المهاجمين يعتمدون على قوائم حظر قديمة لتسلل برامج التشغيل الضعيفة متجاوزة الاكتشاف.

تظل شبكة VPN جزءًا قيّمًا من مجموعة أدوات الخصوصية والأمان الخاصة بك، خاصةً لتشفير حركة المرور على الشبكات غير الموثوقة والحد من التعرض لأشكال معينة من المراقبة، لكن ينبغي فهمها كطبقة واحدة من بين عدة طبقات بدلًا من كونها دفاعًا كاملًا ضد البرمجيات الخبيثة المتطورة. الجمع بين VPN ذات سمعة جيدة وبرنامج مكافحة فيروسات محدّث، وتصحيحات نظام التشغيل في الوقت المناسب، والتعامل الحذر مع التنزيلات ومرفقات البريد الإلكتروني يمنحك وضعًا عامًا أقوى بكثير من الاعتماد على أي أداة واحدة.

نصائح عملية قابلة للتطبيق

حافظ على تحديث Windows وجميع برامج الأمان بالكامل، لأن Microsoft تحدّث دوريًا قائمة حظر برامج التشغيل الضعيفة لسد فجوات كهذه. فعّل ميزات تكامل الذاكرة والعزل الأساسي في إعدادات أمان Windows حيثما كانت مدعومة، إذ يمكن أن تجعل هجمات BYOVD أصعب تنفيذًا. قم بنسخ البيانات الحيوية احتياطيًا بانتظام وخزّن النسخ دون اتصال، حتى لا يستطيع تشفير برنامج الفدية احتجاز ملفاتك كرهائن. تعامل مع VPN كجزء من استراتيجية أمان أوسع بدلًا من درع قائم بذاته، وادمجها مع حماية نقطة النهاية وعادات تصفح آمنة. وأخيرًا، ابق على اطلاع دائم بتقنيات BYOVD وبرامج الفدية الناشئة، لأن فهم كيفية تجاوز المهاجمين للدفاعات القائمة على الثقة هو الخطوة الأولى نحو سد تلك الفجوات قبل أن تصل إليك.