وقع اليوم الثلاثاء هجوم إلكتروني من نوع انتزاع الفدية، وصف بأنه الأول من نوعه ولم يسبق له مثيل، على أجهزة الحاسب في أكبر شركة نفط روسية ومصارف في البلاد، بالإضافة إلى مطار أوكرانيا الدولي، وكذلك شركة الشحن العالمي “أي.بي. مولر مايرسك” A.P. Moller-Maersk.

 

وقالت شركة الأمن السيبراني “جروب آي بي” Group IB، التي تتخذ من موسكو مقرًا لها، إن القراصنة استغلوا الشيفرة التي طورتها وكالة الأمن القومي الأمريكية NSA والتي تم تسريبها على الإنترنت ثم استُخدِمت في هجوم الفدية الشهير “وانا كراي” WannaCry الذي تسبب فى اضطراب عالمي في شهر أيار/مايو الماضي.

وقال أحد ضحايا الهجوم السيبراني اليوم الثلاثاء، وهي شركة إعلامية أوكرانية، إن أجهزة الحاسب الخاصة بها قد تم حظرها وأنها تلقت طلبًا بقيمة 300 دولار أمريكي من العملة المشفرة بيتكوين لاستعادة إمكانية الوصول إلى ملفاتها.

ووفقًا للقطات شاشة نُشرت من قبل قناة أوكرانيا 24، جاء في رسالة القراصنة: “إذا كنت ترى هذا النص، فإن ملفاتك لم تعد متاحة، لأنها قد شُفرِّت. ربما أنت مشغول الآن في البحث عن وسيلة لاستعادة ملفاتك، ولكن لا تضيع وقتك. لا أحد يستطيع استعادة ملفاتك دون خدمة فك التشفير خاصتنا”.

يُذكر أن ذات الرسالة ظهرت على أجهزة الحاسب في مكاتب ميرسك في روتردام، وذلك وفقًا للقطات شاشة نشرت على وسائل الإعلام المحلية. وقالت شركة الشحن الدنماركية إنها قد تأثرت في مناطق متعددة بسبب انقطاع الخدمة الحاسوبية. وقالت المتحدثة باسم الشركة: “يمكننا تأكيد أن الانهيار ناجم عن هجوم سيبراني”.

وشملت قائمة الشركات الأخرى التي قالت إنها تعرضت لهجوم إلكتروني مفترض كلًا من شركة صناعة المعادن الروسية “ايفراز” Evraz، وشركة مواد الإنشاءات الفرنسية “سانت غوبين” Saint Gobain وأكبر وكالة إعلان عالمية WPP، ومع ذلك ليس من الواضح ما إذا كانت مشكلاتها ناجمة عن نفس الفيروس.

وسارعت شركات الأمن السيبراني لفهم نطاق تأثير الهجمات، والسعي لتأكيد شكوك بأن القراصنة قد استغلوا نفس النوع من أداة القرصنة الخاصة بوكالة الأمن القومي الأمريكية واستُغلت من قبل وانا كراي، وتحديد سبل وقف الهجوم.

وأطلق باحثون من شركات متعددة اسم “بيتيا” Petya على برمجية انتزاع الفدية، وهي برمجية خبيثة تجعل أجهزة الحاسب غير صالحة للتشغيل عن طريق تشفير محركات الأقراص الصلبة وتطالب بفدية في مقابل مفتاح رقمي لاستعادة الوصول.

ويقول ميكو هيبونين، رئيس قسم الأبحاث في شركة “إف-سيكيور” F-Secure: “إنها مثل وانا كراي مرة أخرى ومن البداية”. وأضاف أنه من المحتمل جدًا أن يكون الهجوم قد استغل أداة القرصنة التي طورتها وكالة الأمن القومي الأمريكية، وتوقع أن يتم الإبلاغ عن تفشي الفيروس في الأمريكتين قريبًا، حيث تحول العمال إلى أجهزة ضعيفة، مما يسمح للفيروس بالهجوم.

وأردف هيبونين قائلًا: “لا شيء يوقف بيتيا الآن، وهذا قد يصيب الولايات المتحدة على نحو سيء للغاية”.

وظهرت التقارير الأولى عن الاضطراب من روسيا وأوكرانيا، مع وصف رئيس الوزراء الأوكراني فولوديمير غروسمان الهجمات على بلاده بأنها “لم يسبق لها مثيل”. وقال مستشار لوزير الداخلية الأوكراني أن الفيروس دخل إلى أنظمة الحاسب عن طريق رسائل “تصيد” كُتبت باللغتين الروسية والأوكرانية بهدف جذب الموظفين لفتحها.

وفى روسيا، قالت روزنيفت، وهي أحد أكبر منتجي النفط في العالم، أن إنتاجها الخام لم يتأثر بالانقطاع. وتوقف موقع الشركة لمدة ساعتين على الأقل، لكنه عاد للعمل في تمام الساعة 14:50 بتوقيت جرينتش. وقالت الشركة على موقع تويتر: “إن هجوم القرصنة قد يؤدي الى عواقب وخيمة ولكن الشركة انتقلت إلى نظام تجهيز الإنتاج الاحتياطي ولم يتم وقف إنتاج النفط ولا تكريره”.

وفي أوكرانيا، قال يفهن ديخن، مدير مطار بوريسبيل في العاصمة، إن المطار تعرض للهجوم أيضًا. وذكر في منشور له على موقع فيس بوك: “فيما يتعلق بالوضع غير النظامي، فإن بعض التأخير فى الرحلات ممكن الحدوث”. وقال نائب رئيس الوزراء الأوكراني بافلو روزينكو إن شبكة الحاسب الحكومية قد توقفت ونشر صورة على تويتر لشاشة حاسب مع رسالة خطأ.

وقال البنك المركزي الأوكراني إن عددًا من البنوك والشركات، بما فى ذلك الشركة الوطنية للطاقة الكهربائية، أُصيب بهجوم سيبراني عطل بعض العمليات. وذكر البنك في بيان: “نتيجة لهذه الهجمات السيبرانية، تواجه هذه البنوك صعوبات في خدمات العملاء والقيام بعمليات مصرفية”.

قراصنة يشنون هجوم فدية على عشرات الآلاف من الحاسبات في نحو 100 دولة

أدى هجوم إلكتروني عالمي مستفيدًا من أدوات قرصنة يُعتقد أنها طُورت من قبل وكالة الأمن القومي الأمريكية NSA إلى إصابة عشرات الآلاف من أجهزة الحاسب في ما يقرب من 100 دولة، مما أدى إلى تعطيل النظام الصحي البريطاني وشركة الشحن الدولية “فيديكس” FedEX.

وفي الهجوم، الذي وُصف بأنه هجوم الفدية العالمي الأكبر من نوعه على الإطلاق، خدع القراصنة الضحايا وأغروهم بفتح مرفقات تحتوي على برمجيات خبيثة أُرسلت مع رسائل غير مرغوب فيها “سبام” يبدو أنها تضمنت فواتير، وعروض مهمة، وتحذيرات أمنية، وغيرها من الملفات المشروعة.

وبعد فتح البرمجية الخبيثة، التي تنتمي إلى برمجيات الفدية الخبيثة، قامت بتشفير البيانات على أجهزة الحاسب، مطالبةً الضحايا بدفع فدية تراوحت بين 300 و 600 دولار أمريكي لاستعادة الوصول إلى البيانات المشفرة.

وقال باحثون أمنيون إنهم لاحظوا أن بعض الضحايا يدفعون عن طريق العملة الرقمية بيتكوين، على الرغم من أنهم لا يعرفون ما النسبة المئوية التي أعطيت للابتزاز. وذكر باحثون من شركة “أفاست” Avast المتخصصة في تطوير البرمجيات الأمنية أنهم لاحظوا نحو 57 ألف حالة إصابة في 99 دولة، أكثرها في روسيا وأوكرانيا وتايوان.

ولم تعلن الدول الآسيوية عن وقوع أي خروقات كبيرة اليوم السبت، بيد أن المسؤولين فى المنطقة كانوا يتدافعون للتحقق والحرص على كتمان مدى تأثير الضرر لبعض الوقت. وذكرت وكالة أنباء الصين الجديدة “شينخوا” أن بعض المدارس الثانوية والجامعات تأثرت بالهجمة دون الكشف عن هويتها وعددها.

وقد تم الإبلاغ عن معظم الهجمات المدمرة في بريطانيا، حيث اضطرت المستشفيات والعيادات يوم أمس الجمعة إلى صرف ورد المرضى بعد أن فقدوا إمكانية الوصول الى أجهزة الحاسب الخاصة بها. كما قالت شركة الشحن الدولية “فيديكس” إن بعض أجهزة الحاسب خاصتها العاملة بنظام ويندوز أُصيب أيضًا. وأضافت في بيان: “نحن نتخذ التدابير العلاجية بأسرع وقت ممكن”.

وقال فيكرام ثاكور، مدير الأبحاث لدى شركة تطوير البرمجيات الأمنية سيمانتيك، إن عددًا قليلًا فقط من الشركات التي تتخذ من الولايات المتحدة مقرًا لها أصيبت، لأنه يبدو أن القراصنة بدأوا حملتهم من خلال استهداف شركات في أوروبا.

وأضاف ثاكور أنه بحلول الوقت الذي حولوا فيه انتباههم إلى الولايات المتحدة، كانت مرشحات البريد المزعج قد تعرفت على التهديد الجديد وحددت رسائل البريد الإلكتروني المحملة ببرمجيات الفدية الخبيثة على أنها خبيثة.

وقالت وزارة الأمن الداخلي الأمريكية فى وقت متأخر من يوم الجمعة إنها على علم بتقارير هجمات برمجيات الفدية الخبيثة، وأكدت أنها مستعدة لتبادل المعلومات مع الشركاء المحليين والأجانب، ولتقديم الدعم الفني.

وكانت شركة الاتصالات السلكية واللاسلكية “تيليفونيكا” Telefonica من بين العديد من الأهداف في إسبانيا، على الرغم من أن الهجوم كان يقتصر على بعض أجهزة الحاسب على شبكة داخلية ولم تؤثر على العملاء أو الخدمات. كما أعلنت شركة الاتصالات البرتغالية تليكوم وتيليفونيكا الأرجنتين أنها كانت أيضًا من بين المستهدفين.

وحددت شركات الأمن الخاصة برمجية الفدية الخبيثة المستخدمة كصيغة جديدة من برمجية “واناكري” WannaCry التي تمتلك  القدرة على الاانتشار تلقائيًا عبر شبكات كبيرة من خلال استغلال ثغرة معروفة في نظام التشغيل ويندوز من مايكروسوفت.

وقال باحثون من العديد من شركات الأمن السيبراني الخاصة إنه من المحتمل أن يكون القراصنة، الذين لم يُتعرف عليهم أو يعلن أحدهم المسؤولية عن الهجوم، جعلوا برمجياتهم “دودة”، أو برمجية خبيثة ذاتية الانتشار من خلال استغلال جزء من شفرة طورتها وكالة الأمن القومي الأمريكية باسم Eternal Blue، وقد نُشرت على الإنترنت في الشهر الماضي من قبل مجموعة قراصنة معروفة باسم “وسطاء الظل” Shadow Brokers.

ومن جانبها، قالت شركة مايكروسوفت إنها أطلقت تحديثًا تلقائيًا لنظام ويندوز لحماية عملائها من برمجية “وانا كراي” WannaCry. وكانت قد أطلقت يوم 14 آذار/مارس الماضي تحديثًا لحماية المستخدمين من ثغرة Eternal Blue.

ويُعتقد أن انتشار برمجية الفدية الخبيثة يأتي في توقيت حساس، إذ إنه يأتي بعد أسبوع من الاضطرابات السيبرانية فى أوروبا التي بدأت الأسبوع الماضي عندما نشر القراصنة مجموعة من وثائق الحملة الانتخابية المرتبطة بالمرشح الفرنسي ايمانويل ماكرون قبيل تصويت الإعادة التي، مع ذلك، اُنتخب فيها رئيسًا لفرنسا.

وفي يوم الأربعاء الماضي، عطل قراصنة مواقع العديد من شركات الإعلام الفرنسية وعملاقة الفضاء إيرباص. كما تأتي الهجمات الجديدة قبل أربعة أسابيع من الانتخابات العامة البريطانية التي تعد فيها مسألة الأمن الوطني وإدارة الخدمات الصحية الوطنية التي تديرها الدولة NHS من القضايا الهامة.