اكتشف باحثون أمنيون نوعًا جديدًا من برامج الفدية الخبيثة التي تستخدم تنسيقًا غير معروف خاصًا بملفات جافا لجعل اكتشافها أصعب قبل تثبيت حمولتها التي تُشفِّر ملفات الضحايا.
وقالت وحدة الاستجابة للحوادث التابعة لشركة KPMG للأمن الإلكتروني: إنها استُدعيت لإجراء جهود التعافي في معهد تعليمي أوروبي لم يُذكر اسمه كان قد تعرض لهجوم ببرنامج فدية خبيث، ثم حلّلت وحدة أبحاث الأمن الإلكتروني التابعة لشركة بلاك بيري – التي تتشارك مع KPMG – البرامج الخبيثة ونشرت نتائجها اليوم الخميس.
وقال باحثو بلاك بيري: إن أحد المتسللين اخترق شبكة المعهد باستخدام خادم سطح مكتب بعيد متصل بالإنترنت، وأنشئ بابًا خلفيًا مستترًا ثابتًا من أجل الوصول بسهولة إلى الشبكة بعد مغادرتها. وبعد أيام قليلة من عدم النشاط لمنع الكشف، أعاد المتسلل الدخول إلى الشبكة مرة أخرى من خلال الباب الخلفي، وعطّل أي خدمة تعمل ضد البرامج الخبيثة، ونشر برامج الفدية عبر الشبكة، وثبَّت الحمولة التي شفَّرت ملفات كل حاسوب في الشبكة، ثم طالب بفدية لفك التشفير.
وقال الباحثون: إنها المرة الأولى التي يرون فيها برامج فدية خبيثة في تنسيق ملف جافا، أو JIMAGE. وتحتوي هذه الملفات على جميع المكونات اللازمة لتشغيل التعليمات البرمجية، فهي تشبه إلى حد ما تطبيقات جافا، ولكن نادرًا ما تفحصها محركات مكافحة البرامج الخبيثة.
يُشار إلى أنه عادةً ما يستخدم مشغلو برامج الفدية الخبيثة خوارزميات التشفير القوية الجاهزة للاستحواذ على ملفات الضحايا مقابل فدية، وغالبًا ما تُطلب الفدية بصورة عملة مشفرة. وبالنسبة لمعظم الضحايا، فإن خياراتهم الوحيدة هي أن يأملوا في الحصول على نسخة احتياطية، أو دفع الفدية.
ولكن الباحثين قالوا: إنه كان هناك أمل في أن يتمكن بعض الضحايا من استعادة ملفاتهم المشفرة دون دفع الفدية، وذلك بالنظر إلى أن الإصدارات الأولى من برنامج الفدية الخبيث – الذي أُطلق عليه اسم Tycoon – استخدم مفاتيح التشفير نفسها للتشويش على ملفات ضحاياهم. وقال الباحثون: إن هذا يعني أنه يمكن استخدام أداة واحدة لفك التشفير لاستعادة الملفات لضحايا متعددين. ولكن يبدو أن الإصدارات الأحدث من Tycoon قد أصلحت هذا الضعف.
وقال باحثان من شركة بلاك بيري لموقع TechCrunch: إنهما لاحظا نحو 12 إصابة “رفيعة المستوى” في الأشهر الستة الماضية، مما يشير إلى أن المتسللين يختارون ضحاياهم بعناية.