القاهرة : الأمير كمال فرج.

نفذت عصابة سيئة السمعة للجرائم الإلكترونية المعروفة باسم REvil أكبر هجوم فدية شهده العالم، أصاب مليون جهاز حول العالم، وطلبت فدية 70 مليون دولار .

كتب  ديفي ويندر في تقرير نشرته مجلة Forbes أن "هجوم عطلة نهاية الأسبوع في يوم الاستقلال استهدف مزودي الخدمات المُدارة (MSPs) ، وهي المؤسسات التي توفر خدمات إدارة البنية التحتية لتكنولوجيا المعلومات عن بُعد للعديد من العملاء ، من خلال استهداف موفر أدوات برامج MSP ، وهو  كاسيا Kaseya".

والخدمات المدارة هي الاستعانة بمصادر خارجية للحفاظ على مجموعة من العمليات والوظائف لتحسين العمليات وخفض النفقات.

تعرض بعض عملاء كاسيا Kaseya هي شركة برمجيات أمريكية تقوم بتطوير برامج لإدارة الشبكات والأنظمة والبنية الأساسية لتكنولوجيا المعلومات لحزمة تحديث مخترقة لمستخدمي منصة VSA للمراقبة عن بعد من Kaseya.

نظرًا لأن هؤلاء العملاء كانوا مزودي الخدمات المُدارة MSPs ولهم العديد من العملاء ، سرعان ما بدأت الأرقام في التضاعف. لذلك ، في حين اقتصرت الإصابة الأولية ببرنامج الفدية على بضع عشرات من عملاء Kaseya ، فإن طبيعة سلسلة التوريد تعني أن كل من هؤلاء الضحايا الأوليين الذين تتراوح أعمارهم بين 30 و 40 ضحية لديه القدرة على إصابة المزيد. سرعان ما أصبح واضحًا أننا كنا نتحدث عن تأثر آلاف الشركات الصغيرة وإغلاق عشرات الآلاف من الأنظمة.

أحد الإيجابيات القليلة هنا هو أنه لا يبدو أن هناك أي دليل على أن البيانات تم سرقتها قبل حدوث التشفير، لذلك لن تواجه المؤسسات هذه المشكلة الإضافية.

تأثر مليون نظام

على الرغم من أنني أميل إلى عدم تلقي ادعاءات مجرمي الإنترنت حرفيًا، إلا أن منشورًا قامت به مجموعة REvil على موقع الويب المظلم الذي تديره زعم أن "أكثر من مليون نظام أصيبوا" من خلال "الهجوم على موفري خدمات MSP". بالطبع ، يجب أن يؤخذ الاختلاف بين الأنظمة وشركات العملاء ومقدمي الخدمات MSP في الاعتبار هنا. ومع ذلك ، من المؤكد أنه ينظر في هذه المرحلة إلى أن هذا قد يكون هجومًا من برمجيات الفدية لم يسمع به من قبل.

قال روس ماكيرشار ، كبير مسؤولي أمن المعلومات في Sophos وهي شركة برامج وأجهزة أمنية بريطانية "هذه واحدة من أبعد هجمات برامج الفدية الإجرامية التي شهدتها Sophos على الإطلاق.

في هذا الوقت، تُظهر أدلتنا أن أكثر من 70 من مقدمي الخدمات المُدارة قد تأثروا ، مما أدى إلى في أكثر من 350 منظمة متأثرة أخرى. نتوقع أن يكون النطاق الكامل لمنظمات الضحايا أعلى مما يتم الإبلاغ عنه من قبل أي شركة أمنية فردية. ينتشر الضحايا في مجموعة من المواقع في جميع أنحاء العالم مع وجود معظمها في الولايات المتحدة وألمانيا وكندا وغيرها في أستراليا والمملكة المتحدة ومناطق أخرى ".

70 مليون دولار فدية

في حين كشفت المعلومات الاستخبارية أن هناك طلبات فدية قدرها 45000 دولار لكل جهاز مشفر حيث لا يكون "مرتبطًا بالمجال" و 5 ملايين دولار لنطاق كامل، سرعان ما تراجعت REvil عن الرقم الأكثر أهمية الذي سيظهر. شهدت شركة Bleeping Computer بعض المفاوضات مع عصابة  REvil ، وتم إخبار ضحية لديها عشرات الامتدادات المشفرة بدفع فدية قدرها 500 ألف دولار.

قال آدم مايرز، نائب الرئيس الأول لشركة CrowdStrike Intelligence ، "لا تخطئ ، فإن توقيت هذا الهجوم وهدفه ليسا من قبيل الصدفة. إنه يوضح ما نعرِّفه على أنه هجوم Big Game Hunting"، "تم إطلاقه ضد هدف لتعظيم التأثير والربح من خلال سلسلة التوريد خلال عطلة نهاية الأسبوع عندما تنخفض الدفاعات التجارية. ما نراه الآن من حيث الضحايا هو على الأرجح مجرد قمة جبل الجليد ".

الآن قامت عصابة  REvil بتحريك الأهداف مرة أخرى: ذكرت نفس مدونة الويب المظلمة أن المجموعة ستكون على استعداد للتفاوض بشأن إصدار مفتاح فك تشفير عالمي ، واحد من شأنه أن يفتح كل آلة يتم ضربها في جميع أنحاء العالم خلال عطلة نهاية الأسبوع ، مقابل 70 مليون دولار، وهذا عرض مذهل جريء من جماعة مجرمي الإنترنت مرتبطة بروسيا تبدو على قناعة بأنه لا يمكن المساس بها.

تم الإبلاغ عن أن ضحايا منتشرون في 17 دولة على الأقل. في السويد ، على سبيل المثال ، أُجبر ما يصل إلى 500 من متاجر السوبر ماركت البالغ عددها 800 التي تديرها الجمعية السويدية على الإغلاق عندما توقفت عمليات الخروج عن العمل.

التحقيق في صلات مع روسيا

قال الرئيس بايدن إن التحقيق الأولي هو أن "الحكومة الروسية ليس لها صلة بالهجوم" ، لكنه أضاف أنه لم يكن متأكدًا بعد وأن وكالات المخابرات الأمريكية بدأت التحقيق.

لذلك، قد يأتي هذا بنتائج عكسية على عصابة REvil، نظرًا لأننا نتحدث عن عصابة إجرامية هنا بدلاً من مجموعة تجسس ترعاها الدولة. علاوة على ذلك ، في حين أنه من المعروف أن مشغلي عصابة  REvil يتحدثون الروسية ، فإن هذا لا يماثل التأكيد على أن REvil تعمل تمامًا خارج روسيا أو في الواقع ، محمية بطريقة ما من قبل الدولة الروسية.

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إرشادات لكل من مزودي الخدمات المُدارة  MSPs والعملاء المتأثرين بهجوم برامج الفدية. تقوم كاسيا، التي استجابت بشكل مثير للإعجاب تحت ضغط مثل هذا الحادث من خلال التصرف بسرعة لإيقاف الخدمات في وضع عدم الاتصال لمنع المزيد من الضرر والقيام بذلك بطريقة شفافة للغاية ، بإصدار تحديثات .