BARADAI Ransomware

تتطور عمليات برامج الفدية الحديثة باستمرار، مما يجعل ممارسات الأمن السيبراني الاستباقية أكثر أهمية من أي وقت مضى. تواجه المؤسسات والمستخدمون الأفراد على حد سواء مخاطر مستمرة من جهات خبيثة تسعى إلى تشفير البيانات الحساسة، وتعطيل العمليات، وابتزاز الضحايا ماليًا. ومن الأمثلة الخطيرة على ذلك برنامج الفدية BARADAI، وهو نوع من البرامج الخبيثة المرتبطة بعائلة برامج الفدية MedusaLocker سيئة السمعة. يجمع هذا التهديد بين التشفير المتقدم وأساليب سرقة البيانات، مما يُسبب عواقب وخيمة على مستوى العمليات والمالية والسمعة للمؤسسات المتضررة.

داخل عملية برنامج الفدية باراداي

صُمم برنامج الفدية BARADAI لاختراق الأنظمة، وتشفير الملفات المهمة، والضغط على الضحايا لدفع فدية. بمجرد تشغيله على جهاز مخترق، يبدأ البرنامج بتشفير الملفات وإضافة لاحقة ".BARADAI" إلى أسماء الملفات المتأثرة. على سبيل المثال، يتحول اسم الملف "document.pdf" إلى "document.pdf.BARADAI"، مما يجعله غير قابل للوصول للمستخدمين الذين لا يملكون مفتاح فك التشفير الصحيح.

بعد اكتمال عملية التشفير، يُنشئ البرنامج الخبيث رسالة فدية بتنسيق HTML باسم 'read_to_decrypt_files.html'. تُعلم الرسالة الضحايا بأن شبكة شركتهم قد تم اختراقها وتشفيرها باستخدام خوارزميات التشفير RSA-4096 وAES-256. تُعتبر معايير التشفير هذه عالية الأمان، ويكاد يكون من المستحيل اختراقها باستخدام أساليب التخمين العشوائي.

كما تحذر رسالة الفدية الضحايا من استخدام برامج استعادة البيانات الخارجية أو تعديل الملفات المشفرة، مدعيةً أن مثل هذه الإجراءات قد تُلحق ضرراً دائماً بالبيانات. ورغم أن هذه التحذيرات تهدف في المقام الأول إلى تخويف الضحايا، إلا أن محاولات الاستعادة غير الصحيحة قد تُعقّد جهود استعادة البيانات في بعض حوادث برامج الفدية الخبيثة.

تزيد أساليب الابتزاز المزدوج من الضغط

يتبع برنامج باراداي الخبيث استراتيجية "الابتزاز المزدوج" الشائعة بشكل متزايد، والتي تستخدمها العديد من مجموعات برامج الفدية الحديثة. فإلى جانب تشفير الملفات، يدّعي المهاجمون سرقة معلومات حساسة من الشبكات المخترقة قبل نشر حمولة برنامج الفدية. ووفقًا لرسالة الفدية، قد تشمل البيانات المسروقة وثائق تجارية سرية، وسجلات مالية، ومعلومات شخصية.

يتعرض الضحايا للتهديد بنشر هذه المعلومات علنًا عبر وسائل الإعلام أو وسطاء البيانات في حال تجاهل مطالب الدفع. ويزيد هذا الأسلوب بشكل كبير من الضغط على المؤسسات، لا سيما تلك التي تتعامل مع معلومات العملاء الحساسة، أو البيانات الخاضعة للتنظيم، أو الملكية الفكرية الخاصة.

لتعزيز مصداقيتهم، يعرض المهاجمون فك تشفير عدة ملفات غير أساسية مجانًا. يهدف هذا العرض إلى إثبات إمكانية فك التشفير تقنيًا في حال دفع الفدية. تشمل قنوات التواصل المذكورة في الرسالة عناوين بريد إلكتروني، وبوابات تعتمد على شبكة تور، ومعرّف مراسلة qTox. كما يُشجع الضحايا على استخدام بروتون ميل للتواصل "الآمن"، بينما يُحاول تحديد مهلة 72 ساعة خلق شعور بالإلحاح من خلال التحذير من أن مطالب الفدية ستزداد بعد انقضاء هذه المدة.

لماذا تُعتبر باراداي خطيرة بشكل خاص؟

يمثل برنامج باراداي تهديدًا كبيرًا لأنه ينتمي إلى عائلة برامج الفدية ميدوسا لوكر، وهي مجموعة معروفة باستهداف الشركات والمؤسسات بدلًا من المستخدمين المنزليين العاديين. غالبًا ما تُخطط هذه العمليات بعناية وتُنفذ بعد أن يتمكن المهاجمون من اختراق شبكة الشركة بشكل كامل.

ينتشر برنامج الفدية عادةً عبر خدمات بروتوكول سطح المكتب البعيد (RDP) المخترقة. يبحث المهاجمون عن نقاط نهاية RDP المتصلة بالإنترنت والمحمية ببيانات اعتماد ضعيفة أو مُعاد استخدامها، ثم يستخدمون هجمات القوة الغاشمة للوصول غير المصرح به. وبمجرد دخولهم، ينتقلون بشكل جانبي عبر الشبكة، ويخترقون أنظمة إضافية، ويعطلون وسائل الحماية، وينشرون برنامج الفدية على أجهزة متعددة في وقت واحد.

لا تزال حملات التصيد الاحتيالي تشكل ناقلاً رئيسياً للعدوى. فقد يفتح الموظفون دون علمهم مرفقات خبيثة متنكرة في هيئة فواتير أو تقارير أو مراسلات عمل. غالباً ما تحتوي هذه الملفات على وحدات ماكرو خبيثة، أو نصوص برمجية مضمنة، أو روابط تؤدي إلى تنزيل برامج ضارة. كما تُستخدم الملفات المضغوطة، مثل ملفات ZIP أو RAR، بكثرة لتجاوز إجراءات الحماية الأساسية لفلترة البريد الإلكتروني.

تشمل طرق الإصابة الإضافية برامج التجسس الخبيثة، والبرامج المقرصنة، وأدوات التفعيل غير القانونية، وتحديثات البرامج المزيفة، ومنصات التنزيل غير الموثوقة. في الشبكات ذات الحماية الضعيفة، قد يؤدي إصابة جهاز واحد بسرعة إلى اختراق واسع النطاق في جميع أنحاء المؤسسة.

تحديات التشفير والاستعادة

استعادة الملفات المشفرة بواسطة برنامج الفدية BARADAI دون تعاون المهاجم أمر غير واقعي عمومًا. يستخدم هذا البرنامج آليات تشفير قوية يصعب اختراقها عمليًا دون الوصول إلى مفتاح فك التشفير الخاص الذي يتحكم به المهاجمون. ما لم يكن هناك خلل برمجي خطير في البرنامج نفسه، فمن غير المرجح وجود خيارات لفك التشفير مجانًا.

ينصح خبراء الأمن السيبراني بشدة بعدم دفع الفدية. فكثيراً ما يفشل المهاجمون في توفير أدوات فك تشفير فعّالة حتى بعد استلام الدفعة. وفي بعض الحالات، يصبح الضحايا أهدافاً متكررة لأن المهاجمين يعتبرونهم منظمات مستعدة للاستجابة لمطالب الابتزاز.

على الرغم من أن إزالة برامج الفدية من الأنظمة المصابة أمرٌ ضروري لمنع أي عمليات تشفير إضافية، إلا أن إزالة البرامج الضارة وحدها لا تكفي لاستعادة الملفات المقفلة. وتبقى استراتيجية الاستعادة الأكثر موثوقية هي استخدام نسخ احتياطية نظيفة مخزنة خارج الإنترنت أو ضمن بنية تحتية بعيدة ومؤمنة بشكل صحيح ومعزولة عن الشبكة الرئيسية.

تعزيز الدفاعات ضد باراداي والتهديدات المماثلة

بإمكان المؤسسات الحدّ بشكل كبير من تعرضها لبرامج الفدية الخبيثة من خلال تطبيق ضوابط أمنية متعددة الطبقات والالتزام بممارسات الأمن السيبراني المنضبطة. ويتطلب الدفاع الفعال كلاً من الضمانات التقنية وتوعية الموظفين.

تشمل التدابير الوقائية الرئيسية ما يلي:

• تطبيق سياسات كلمات مرور قوية ومصادقة متعددة العوامل، خاصة لبروتوكول سطح المكتب البعيد (RDP) وخدمات الوصول عن بعد الأخرى.
• تقييد أو تعطيل الوصول إلى بروتوكول سطح المكتب البعيد (RDP) المكشوف كلما أمكن ذلك.
• الحفاظ على نسخ احتياطية منتظمة غير متصلة بالإنترنت ونسخ احتياطية قائمة على السحابة معزولة عن أنظمة الإنتاج.
• تطبيق التحديثات الأمنية على الفور على أنظمة التشغيل والتطبيقات وأجهزة الشبكة.
• استخدام حلول موثوقة لحماية نقاط النهاية ومراقبة الشبكة قادرة على اكتشاف السلوك المشبوه.
• تقسيم الشبكات للحد من الحركة الجانبية أثناء عملية التسوية.
• تدريب الموظفين على التعرف على رسائل البريد الإلكتروني الاحتيالية، والمرفقات الخبيثة، وأساليب الهندسة الاجتماعية.

إلى جانب هذه التدابير، ينبغي للمؤسسات تبني استراتيجية استباقية للاستجابة للحوادث. فالمراقبة المستمرة، واكتشاف التهديدات، وتقييم الثغرات الأمنية، واختبار الاختراق، كلها أمور تساعد في تحديد نقاط الضعف قبل استغلالها من قبل المهاجمين. كما أن وضع خطة للاستجابة للحوادث والتدرب عليها يمكّن فرق الأمن من الاستجابة بفعالية أكبر أثناء هجمات برامج الفدية، مما يقلل من اضطراب العمليات وفقدان البيانات.

المشهد المتنامي للتهديدات

يُظهر برنامج باراداي كيف تطورت عمليات برامج الفدية إلى مؤسسات إجرامية إلكترونية منظمة وذات تأثير كبير. فمن خلال الجمع بين التشفير القوي وسرقة البيانات والضغط النفسي وتعدد أساليب الإصابة، يُعظّم المهاجمون احتمالية تحقيق مكاسب مالية مع إلحاق أضرار جسيمة بالضحايا.

مع استمرار مجموعات برامج الفدية في تطوير أساليبها، يصبح الحفاظ على مستوى عالٍ من الأمن السيبراني أمرًا بالغ الأهمية للمؤسسات من جميع الأحجام. وتظل التدابير الأمنية الوقائية، وتوعية الموظفين، والنسخ الاحتياطية الموثوقة، وقدرات الاستجابة السريعة للحوادث، أقوى وسائل الدفاع ضد تهديدات مثل برنامج الفدية BARADAI ونظام MedusaLocker الأوسع نطاقًا.