تعد هجمات برمجيات الفدية من أخطر أنواع الهجمات الإلكترونية التي تواجه المؤسسات والأفراد على مستوى العالم. وتتمثل فكرة هذا النوع من الهجمات في تشفير ملفات الضحية ومن ثم المطالبة بدفع فدية مالية مقابل استعادة البيانات. وأعلنت كاسبرسكي عن إطلاقها أداة جديدة من برمجيات فك التشفير لمساعدة ضحايا تعديل برامج الفدية، وذلك بالاعتماد على كود المصدر “كونتي” الذي تم تسريبه في الآونة الأخيرة.
وتهيمن “كونتي” التي تعدّ إحدى أهم عصابات برمجيات الفدية منذ العام 2019، وتم تسريب بياناتها، بما في ذلك كود المصدر في مارس 2022 بعد صراع داخلي نجم عن الأزمة الجيوسياسية في أوروبا.
ونُشر التعديل المكتشف من قبل مجموعة غير معروفة لبرامج الفدية، وتم استخدامه ضد الشركات والمؤسسات الحكومية. وفي أواخر فبراير 2023، كشف خبراء كاسبرسكي عن جزء جديد من البيانات المسربة المنشورة على المنتديات. وبعد تحليل تلك البيانات التي احتوت على 258 مفتاحاً خاصاً، إضافة إلى كود المصدر وبعض برامج فك التشفير التي جرى جمعها سابقاً، طرحت كاسبرسكي أداةً جديدة من برنامج فك التشفير لمساعدة ضحايا تعديل برمجيات الفدية من عصابة “كونتي”.
وظهر “كونتي” في أواخر عام 2019 وكان نشطًا للغاية طوال عام 2020، حيث يمثل أكثر من 13 في المئة من جميع ضحايا برامج الفدية خلال هذه الفترة. ومع ذلك، قبل عام، بمجرد أن تم تسريب الكود المصدري قامت عصابات إجرامية مختلفة بإنشاء تعديلات متعددة لبرمجيات الفدية “كونتي“ واستخدمتها في هجماتها.
وفي شهر ديجنبر 2022، تمكن الخبراء المتخصصون في كاسبرسكي من اكتشاف هذا النوع من البرمجيات الخبيثة التي تم تسريب مفاتيحها، حيث كانت هذه السلالة تستخدم في العديد من الهجمات ضد الشركات والمؤسسات الحكومية.
وتوجد المفاتيح الخاصة المسربة في 257 حقبة، علماً أن مجلداً واحداً منها فقط يحتوي على مفتاحين، كما يشتمل بعضها على برامج فك تشفير تم تطويرها سابقاً، فضلاً عن وجود العديد من الملفات العادية، مثل المستندات والصور وغيرها، والتي يفترض أن تكون عبارة عن ملفات اختبارية، ويقصد بذلك قيام الضحية بإرسال عدد من الملفات إلى المهاجمين للتأكد من إمكانية فك تشفير الملفات. وحدّدت أربع وثلاثون من هذه الحقائب أسماء شركات وهيئات حكومية.
ولو افترضنا أن حقيبة واحدة موجّهة لضحية واحدة، وأن برامج فك التشفير تم إنشاؤها للضحايا الذين دفعوا الفدية، يمكن الاستنتاج أن 14 من أصل 257 ضحية قد دفعوا الفدية بالفعل للمهاجمين.
وبعد تحليل تلك البيانات، أصدر الخبراء نسخة جديدة من برنامج فك التشفير لمساعدة ضحايا التعديل من برمجيات الفدية “كونتي”. وتمت إضافة كود فك التشفير وجميع المفاتيح البالغ عددها 258 إلى أحدث إصدار من الأداة المساعدة التي تحمل اسم “راكهين ديكربتور 1.40.0.00” من كاسبرسكي. ونشرت أيضاً حل فك التشفير على موقع “ناو رونسون” التابع لكاسبرسكي.
وقال فيدور سينيتسين كبير محللي البرمجيات الضارة في كاسبرسكي “يستخدم مجرمو الشبكة برامج الفدية كأداة تهديد رئيسية منذ سنوات عديدة، لكن بعد قيامنا بدراسة الطرق والتقنيات والإجراءات التي تنتهجها مختلف العصابات التي تعتمد على هذا النوع من التهديدات، اكتشفنا أن العديد منها يعمل بطرق مماثلة، وبالتالي أصبح من السهل علينا التصدّي لهجماتها. وتوجد في الوقت الحالي أداة فك التشفير للتعديل الجديد الذي أدخل على برمجيات الفدية من ‘كونتي’، وقمنا بنشرها بالفعل على صفحة ‘ناو رونسون’ في موقعنا”.
وتنصح كاسبرسكي المستخدمين بتوفير نسخ احتياطية للبيانات بانتظام، والتأكد من قدرتهم على الوصول إليها بسرعة في حالات الطوارئ عند الحاجة. وتؤكد على استخدام أحدث معلومات التهديدات لتظل مطلعا بصورة دائمة على الطرق والتقنيات والإجراءات الفعلية المستخدمة في التهديدات من قبل العصابات النشطة والفاعلة على الشبكة العنكبوتية.