برنامج الفدية SamSam
لا تزال البرمجيات الخبيثة تُمثل أحد أكثر التهديدات إلحاحًا للأفراد والمؤسسات على حد سواء. يبتكر مجرمو الإنترنت باستمرار، ويطورون استراتيجيات هجومية جديدة مصممة لاستغلال الثغرات الأمنية والوصول غير القانوني إلى البيانات الحساسة. من بين هذه التهديدات، يبرز برنامج الفدية SamSam كنوع خطير للغاية، ويرجع ذلك أساسًا إلى انحرافه عن أساليب الإصابة المعتادة القائمة على التصيد الاحتيالي. يُعد فهم آلية عمله وتطبيق تدابير أمنية فعّالة أمرًا أساسيًا للحفاظ على أمان أنظمتكم.
جدول المحتويات
ما هو SamSam Ransomware؟
اكتُشف برنامج SamSam Ransomware، المعروف أيضًا باسم Samas أو SamsamCrypt، لأول مرة بين أواخر عام 2015 وأوائل عام 2016، وسرعان ما اكتسب شهرة واسعة بفضل هجماته المُستهدفة على قطاعات حيوية، بما في ذلك الرعاية الصحية والنقل والتعليم والحكومات المحلية. بخلاف حملات برامج الفدية التقليدية التي تعتمد على أساليب الهندسة الاجتماعية، يستخدم SamSam استغلالًا مباشرًا للشبكات.
على الرغم من الاعتقاد في البداية أن أصل البرنامج الخبيث هو أوروبا الشرقية، إلا أن التحقيقات ربطت لاحقًا البرنامج الخبيث بمجرمي الإنترنت الإيرانيين، حيث تم توجيه الاتهام إلى شخصين في عام 2018. وكان تأثيره عالميًا، مع هجمات موثقة في الولايات المتحدة والمملكة المتحدة وفرنسا والبرتغال وأستراليا وكندا والشرق الأوسط.
حملات الهجوم سيئة السمعة
وزارة النقل في كولورادو
في فبراير 2018، واجهت وزارة النقل في كولورادو اضطرابًا كبيرًا عندما قامت شركة SamSam بتشفير أنظمتها وطلبت الدفع بعملة البيتكوين. ورفضت الوزارة الامتثال، وأنفقت ما يُقدر بـ 1.7 مليون دولار على جهود الاسترداد.
الحكومة المحلية في أتلانتا
في مارس 2018، شُلَّت مدينة أتلانتا إثر هجوم SamSam، الذي شُن عبر اختراق قوي لبروتوكول سطح المكتب البعيد (RDP). تأثرت خدماتٌ متنوعة، من المرافق العامة إلى النظام القضائي. طالب المهاجمون بفدية قدرها 51,000 دولار أمريكي بعملة بيتكوين، لكن المدينة رفضت، وأنفقت في النهاية 2.7 مليون دولار أمريكي على إصلاح الخلل.
نجاحات قطاع الرعاية الصحية
أثّر SamSam بشكل خاص على قطاع الرعاية الصحية، حيث كان من بين ضحاياه البارزين أطباء ميشيانا المتحدون، وهانكوك هيلث، وأولسكريبتس. في عام ٢٠١٨ وحده، شكّل قطاع الرعاية الصحية ربع جميع هجمات SamSam المعروفة.
كيف يعمل برنامج SamSam Ransomware؟
بخلاف برامج الفدية المنتشرة عبر رسائل التصيد الاحتيالي أو المرفقات الضارة، يستغل SamSam الأنظمة الضعيفة وبيانات الاعتماد المسروقة. ووفقًا لوكالة الأمن السيبراني وأمن البنية التحتية (CISA)، يستغل المهاجمون نقاط الضعف في خوادم Windows ويحصلون على وصول عن بُعد عبر:
- اتصالات RDP المكشوفة أو غير المرقعة
- بيانات اعتماد تسجيل الدخول المشتراة أو المخترقة
بمجرد دخولهم، يُعزز المهاجمون امتيازاتهم، وينشرون البرمجيات الخبيثة يدويًا، ويُشفّرون الملفات المهمة. يتيح هذا النهج العملي استهدافًا دقيقًا وإلحاق أضرار واسعة النطاق داخل الشبكات المُخترقة.
مذكرة الفدية وتكتيكات الدفع
بعد إتمام التشفير، يترك مشغلو SamSam رسالة فدية تُلزم الضحايا بالتواصل عبر بوابة تعتمد على Tor. يُطلب الدفع بعملة البيتكوين، ورغم حصول بعض الضحايا على مفاتيح فك التشفير بعد الدفع، لا يوجد ما يضمن التزام المهاجمين بالاتفاق.
هل لا يزال SamSam يشكل تهديدًا؟
رغم تراجع الهجمات المعلنة بعد عام ٢٠١٨ واعتقال مشغليها الرئيسيين، لا يوجد دليل على القضاء على برنامج الفدية. لا توجد أداة فك تشفير رسمية، مما يعني أن SamSam لا يزال يُشكل خطرًا نشطًا.
تعزيز دفاعاتك: أفضل ممارسات الأمان
يتطلب منع الإصابة بـ SamSam استراتيجية أمنية استباقية تُركز على سد الثغرات التي يستغلها. إليك خطوات أساسية ينبغي على كل مؤسسة تطبيقها:
- تأمين ومراجعة الوصول إلى RDP
- قم بتعطيل RDP إذا لم تكن هناك حاجة لذلك.
- بالنسبة لخدمات RDP الضرورية، قم بفرض مصادقة قوية وتقييد الوصول إلى عناوين IP الموثوقة.
- قم بتطبيق أحدث تصحيحات الأمان على الفور للقضاء على العيوب القابلة للاستغلال.
- تطبيق مبدأ الحد الأدنى من الامتيازات
- قم بتقييد أذونات المستخدم للوظائف الأساسية فقط.
- استخدم التحكم في الوصول المستند إلى الأدوار لمنع حدوث أضرار واسعة النطاق من حساب واحد مخترق.
- اعتماد سياسات قوية لكلمات المرور والمصادقة
- يجب أن تتضمن استراتيجية كلمة المرور القوية ما يلي:
- مزيج من الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة.
- تغيير كلمة المرور بشكل منتظم ومنع إعادة استخدامها.
- الأخطاء الشائعة التي يجب تجنبها:
- مشاركة بيانات الاعتماد مع الآخرين.
- تعطيل المصادقة متعددة العوامل (MFA).
- تخزين كلمات المرور في ملفات غير آمنة.
- الحفاظ على النسخ الاحتياطية بانتظام
- احتفظ بالنسخ الاحتياطية دون اتصال بالإنترنت أو على شبكات مجزأة.
- اختبار إجراءات الترميم بشكل دوري للتأكد من فعاليتها.
الأفكار النهائية
يُذكرنا برنامج الفدية SamSam بشدة بأن هجمات برامج الفدية لا تعتمد دائمًا على خداع المستخدمين، بل غالبًا ما تستغل نقاط ضعف تقنية. تُصبح المؤسسات التي تفشل في تأمين اتصالات RDP، أو تطبيق إجراءات مصادقة قوية، أو الاحتفاظ بنسخ احتياطية سليمة، معرضة لأن تصبح عنوانًا رئيسيًا في الأخبار. وتظل اليقظة، وضوابط الأمن المتعددة الطبقات، والقوى العاملة المتعلمة، أفضل دفاع ضد التهديدات الإلكترونية المتطورة.
رسائل
تم العثور على الرسائل التالية المرتبطة بـ برنامج الفدية SamSam:
|
What happened to your files? All your files encrypted with RSA-2048 encryption, for more information search in Google “RSA encryption” How to recover files? RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key. How to get private key? You can get your private key in 3 easy steps: 1) You must send us 0.8 Bitcoin for each affected PC or 4.5 Bitcoins to receive all private keys for all affected PCs. 2) After you send us 0.8 Bitcoin, leave a comment on our site with this detail: just write your host name in your comment 3) We will reply to your comment with a decryption software, you should run it on your affected PC and all encrypted files will be recovered With buying the first key you will find that we are honest |
