كاسبرسكي تكشف عن هجوم فدية خبيث جديد باسم Bad Rabbit

36

قالت شركة كاسبرسكي لاب إن هجومًا خطيرًا من نوع هجمات الفدية الخبيثة، التي انتشرت على نطاق واسع ومدمر في عام 2017، أصاب عددًا من المؤسسات الإعلامية في روسيا.

وقالت الشركة الروسية الرائدة في مجال أمن المعلومات في منشور على مدونتها: “في سنة 2017 انتشرت هجمات الفدية الخبيثة بشكل واسع، بالطبع نتحدث عن الهجمات الشهيرة و WannaCry و Expter”، وأضافت: “يبدو أن هناك هجومًا ثالثًا يلوح في الأفق”.

وأوضحت كاسبرسكي أن البرمجية الخبيثة الجديدة تسمى “باد رابيت” Bad Rabbit، وهو الاسم المستخدم في رسالة دفع الفدية، كما أن “المعلومات التي تم تأكيدها إلى هذه اللحظة أن هذه البرمجية الخبيثة أصابت العديد من المؤسسات الإعلامية في روسيا، منها وكالة Interfax الإخبارية و Fontanka.ru”.

ووفقًا للشركة، فقد تأكد إصابة شبكة معلومات مطار أوديسا ببرمجية خبيثة، ولكن لم يتم التبين من كون هذه البرمجية هي “باد رابيت” أم لا. هذا ويطلب المخترقون الذين يقفون خلف هذا الهجوم 0.05 بتكوين كفدية. وهو ما يقابل نحو 280 دولارًا أمريكيًا.

وذكرت كاسبرسكي أن تحليلها وجدت أن الهجمات لم تستخدم ثغرة معينة، وإنما عن طريق الهجوم على نحو مباشر، إذ يقوم الضحايا بتنزيل برنامج Adobe Flash مزيف. ويوجد هذا الملف على العديد من المواقع المصابة ومن ثم يقوم الضحايا بتنزيل وتثبيت الملف، مما يصيب أجهزتهم على الفور. وأضافت: “وجد باحثونا عددًا لا بأس به من المواقع المخترقة. كلها مواقع إعلامية ومواقع إخبارية”.

وأشارت الشركة إلى أن احتمالية حصول الضحايا على ملفاتهم مرة أخرى، سواء عن طريق دفع الفدية أو عن طريق ثغرة في شفرة البرمجية الخبيثة، ليست معروفة حتى الآن. ولكن خبراء كاسبرسكي يبحثون الآن في هذا الأمر.

وبحسب المعلومات الواردة لدى كاسبرسكي، فإن معظم الضحايا من روسيا. ولكن وقعت بعض من هذه الهجمات في أوكرانيا، وتركيا، وألمانيا. وقد وقعت هذه الهجمات عن طريق مواقع إلكترونية لوكالات إعلامية وإخبارية روسية.

ووفقًا للتحقيق الذي قامت به الشركة، فإن هذه الهجمات استهدفت شبكات الشركات وكانت تستخدم طرقًا شبيهة بالطرق المستخدمة في هجوم ExPetr “ولكن لا يمكننا ربط الهجمات الحالية بهجوم ExPetr”.

وتوصي كاسبرسكي المستخدمين الذين يخشون الوقوع ضحيةً لـ “باد رابيت”، بمنع الامتدادين: c:\windows\infpub.dat و c:\Windows\cscc.dat، من أجهزتهم، إضافة إلى إيقاف خدمات WMI لمنع البرمجية الخبيثة من الانتشار في شبكاتهم.

وتنصح الشركة أيضًا بأخذ نسخة احتياطية لجميع البيانات، كما تنصح بعدم الرضوخ لطلبات المخترقين ودفع الفدية.