إنها الأخبار التي لا ترغب أي منظمة في سماعها - لقد كنت ضحية لـ الفدية الهجوم، والآن أنت تتساءل ماذا تفعل بعد ذلك. 

أول شيء يجب أن تضعه في الاعتبار هو أنك لست وحدك. أكثر من 17 بالمائة من جميع الهجمات الإلكترونية تتضمن برامج فدية-نوع من البرمجيات الخبيثة التي تحافظ على قفل بيانات الضحية أو جهازها ما لم تدفع الضحية للمتسلل فدية. ومن بين 1,350 منظمة شملها الاستطلاع في دراسة حديثة، 78% تعرضوا لهجوم فدية ناجح (الرابط موجود خارج ibm.com).

تستخدم هجمات برامج الفدية عدة طرق أو نواقل لإصابة الشبكات أو الأجهزة، بما في ذلك خداع الأفراد للنقر على الروابط الضارة باستخدام التصيد رسائل البريد الإلكتروني واستغلال نقاط الضعف في البرامج وأنظمة التشغيل، مثل الوصول عن بعد. عادةً ما يطلب مجرمو الإنترنت دفع فدية بعملة البيتكوين وغيرها من العملات المشفرة التي يصعب تتبعها، مما يوفر للضحايا مفاتيح فك التشفير مقابل الدفع لفتح أجهزتهم.

والخبر السار هو أنه في حالة وقوع هجوم ببرامج الفدية، هناك خطوات أساسية يمكن لأي مؤسسة اتباعها للمساعدة في احتواء الهجوم، وحماية المعلومات الحساسة، وضمان استمرارية الأعمال عن طريق تقليل وقت التوقف عن العمل.

الاستجابة الأولية

عزل الأنظمة المتضررة 

نظرًا لأن متغيرات برامج الفدية الأكثر شيوعًا تقوم بفحص الشبكات بحثًا عن الثغرات الأمنية للانتشار أفقيًا، فمن المهم عزل الأنظمة المتأثرة في أسرع وقت ممكن. افصل شبكة إيثرنت وقم بتعطيل WiFi وBluetooth وأي إمكانات شبكة أخرى لأي جهاز مصاب أو يحتمل أن يكون مصابًا.

خطوتان أخريان يجب مراعاتهما: 

• إيقاف مهام الصيانة. قم بتعطيل المهام التلقائية على الفور - على سبيل المثال، حذف الملفات المؤقتة أو تدوير السجلات - الأنظمة المتأثرة. قد تتداخل هذه المهام مع الملفات وتعيق التحقيق في برامج الفدية واستعادتها. 
• قطع الاتصال بالنسخ الاحتياطية. نظرًا لأن العديد من الأنواع الجديدة من برامج الفدية تستهدف النسخ الاحتياطية لجعل عملية الاسترداد أكثر صعوبة، فاحتفظ بالنسخ الاحتياطية للبيانات في وضع عدم الاتصال. قم بتقييد الوصول إلى أنظمة النسخ الاحتياطي حتى تقوم بإزالة العدوى.

تصوير مذكرة الفدية

قبل المضي قدمًا في أي شيء آخر، التقط صورة لمذكرة الفدية — من الأفضل تصوير شاشة الجهاز المصاب باستخدام جهاز منفصل مثل الهاتف الذكي أو الكاميرا. ستعمل الصورة على تسريع عملية الاسترداد والمساعدة عند تقديم تقرير للشرطة أو مطالبة محتملة لدى شركة التأمين الخاصة بك.

أبلغ فريق الأمن

بمجرد قيامك بفصل الأنظمة المتأثرة، قم بإخطارك بذلك أمن تكنولوجيا المعلومات فريق الهجوم. في معظم الحالات، يمكن لمحترفي أمن تكنولوجيا المعلومات تقديم المشورة بشأن الخطوات التالية وتنشيط مؤسستك استجابة الحادث الخطة، وتعني العمليات والتقنيات الخاصة بمؤسستك لاكتشاف الهجمات الإلكترونية والرد عليها.

لا تقم بإعادة تشغيل الأجهزة المتضررة

عند التعامل مع برامج الفدية، تجنب إعادة تشغيل الأجهزة المصابة. يعرف المتسللون أن هذه قد تكون غريزتك الأولى، وتلاحظ بعض أنواع برامج الفدية محاولات إعادة التشغيل وتسبب ضررًا إضافيًا، مثل إتلاف Windows أو حذف الملفات المشفرة. يمكن أن تؤدي إعادة التشغيل أيضًا إلى زيادة صعوبة التحقيق في هجمات برامج الفدية، حيث يتم تخزين الأدلة القيمة في ذاكرة الكمبيوتر، والتي يتم مسحها أثناء إعادة التشغيل. 

بدلاً من ذلك، قم بوضع الأنظمة المتأثرة في وضع الإسبات. سيؤدي هذا إلى حفظ جميع البيانات الموجودة في الذاكرة في ملف مرجعي على القرص الصلب بالجهاز، مع الاحتفاظ بها للتحليل المستقبلي.

استئصال 

الآن بعد أن قمت بعزل الأجهزة المتأثرة، فمن المحتمل أنك حريص على إلغاء قفل أجهزتك واستعادة بياناتك. في حين أن القضاء على إصابات برامج الفدية قد يكون أمرًا معقدًا في إدارتها، لا سيما السلالات الأكثر تقدمًا، إلا أن الخطوات التالية يمكن أن تضعك على طريق التعافي. 

تحديد متغير الهجوم

يمكن أن تساعد العديد من الأدوات المجانية في تحديد نوع برامج الفدية التي تصيب أجهزتك. يمكن أن تساعدك معرفة السلالة المحددة على فهم العديد من العوامل الرئيسية، بما في ذلك كيفية انتشارها، والملفات التي تقفلها، وكيف يمكنك إزالتها. ما عليك سوى تحميل عينة من الملف المشفر، وإذا كانت لديك، مذكرة فدية ومعلومات الاتصال الخاصة بالمهاجم. 

النوعان الأكثر شيوعًا من برامج الفدية هما خزائن الشاشة وبرامج التشفير. تعمل أدوات قفل الشاشة على قفل نظامك ولكنها تحافظ على أمان ملفاتك حتى تقوم بالدفع، في حين أن التعامل مع برامج التشفير أكثر صعوبة نظرًا لأنها تعثر على جميع بياناتك الحساسة وتقوم بتشفيرها ولا تقوم بفك تشفيرها إلا بعد دفع الفدية. 

البحث عن أدوات فك التشفير

بمجرد تحديد سلالة برامج الفدية، فكر في البحث عن أدوات فك التشفير. هناك أيضًا أدوات مجانية للمساعدة في هذه الخطوة، بما في ذلك مواقع مثل لا مزيد من فدية. ما عليك سوى إدخال اسم سلالة برامج الفدية والبحث عن فك التشفير المطابق. 

قم بتنزيل الدليل النهائي لبرامج الفدية

التعافى 

إذا كنت محظوظًا بما يكفي لإزالة فيروس الفدية، فقد حان الوقت لبدء عملية الاسترداد.

ابدأ بتحديث كلمات مرور النظام لديك، ثم قم باسترداد بياناتك من النسخ الاحتياطية. يجب أن تهدف دائمًا إلى الحصول على ثلاث نسخ من بياناتك بتنسيقين مختلفين، مع تخزين نسخة واحدة خارج الموقع. يتيح لك هذا الأسلوب، المعروف بقاعدة 3-2-1، استعادة بياناتك بسرعة وتجنب دفع الفدية. 

بعد الهجوم، يجب عليك أيضًا التفكير في إجراء تدقيق أمني وتحديث جميع الأنظمة. يساعد تحديث الأنظمة على منع المتسللين من استغلال الثغرات الأمنية الموجودة في البرامج القديمة، كما أن التصحيح المنتظم يبقي أجهزتك محدثة ومستقرة ومقاومة لتهديدات البرامج الضارة. قد ترغب أيضًا في تحسين خطة الاستجابة للحوادث الخاصة بك باستخدام أي دروس مستفادة والتأكد من إبلاغ الحادث بشكل كافٍ لجميع أصحاب المصلحة الضروريين. 

إخطار السلطات 

نظرًا لأن برامج الفدية تعتبر ابتزازًا وجريمة، يجب عليك دائمًا الإبلاغ عن هجمات برامج الفدية إلى مسؤولي إنفاذ القانون أو مكتب التحقيقات الفيدرالي. 

قد تتمكن السلطات من مساعدتك في فك تشفير ملفاتك إذا لم تنجح جهود الاسترداد. ولكن حتى لو لم يتمكنوا من حفظ بياناتك، فمن المهم بالنسبة لهم أن يقوموا بفهرسة أنشطة المجرمين الإلكترونيين، ونأمل أن يساعدوا الآخرين على تجنب المصائر المماثلة. 

قد يُطلب أيضًا من بعض ضحايا هجمات برامج الفدية قانونًا الإبلاغ عن حالات الإصابة ببرامج الفدية. على سبيل المثال، يتطلب الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA) بشكل عام من كيانات الرعاية الصحية الإبلاغ عن أي خرق للبيانات، بما في ذلك هجمات برامج الفدية، إلى وزارة الصحة والخدمات الإنسانية.

اتخاذ قرار بشأن الدفع 

اتخاذ القرار ما إذا كان سيتم دفع فدية هو قرار معقد. يقترح معظم الخبراء أنه يجب عليك عدم التفكير في الدفع إلا إذا جربت جميع الخيارات الأخرى وسيكون فقدان البيانات أكثر ضررًا من الدفع.

بغض النظر عن قرارك، يجب عليك دائمًا استشارة مسؤولي إنفاذ القانون ومتخصصي الأمن السيبراني قبل المضي قدمًا.

لا يضمن دفع الفدية استعادة إمكانية الوصول إلى بياناتك أو أن المهاجمين سيفيون بوعودهم - فغالبًا ما يدفع الضحايا الفدية، فقط دون أن يتلقوا مفتاح فك التشفير أبدًا. علاوة على ذلك، يؤدي دفع الفدية إلى إدامة نشاط المجرمين السيبرانيين ويمكن أن يزيد من تمويل الجرائم السيبرانية.

منع هجمات الفدية في المستقبل

تعد أدوات أمان البريد الإلكتروني وبرامج مكافحة البرامج الضارة ومكافحة الفيروسات بمثابة خطوط دفاع أولى مهمة ضد هجمات برامج الفدية.

تعتمد المؤسسات أيضًا على أدوات أمان نقطة النهاية المتقدمة مثل جدران الحماية والشبكات الافتراضية الخاصة (VPN) وغيرها المصادقة متعددة العوامل كجزء من استراتيجية أوسع لحماية البيانات للدفاع ضد خروقات البيانات.

ومع ذلك، لا يكتمل أي نظام للأمن السيبراني بدون أحدث إمكانات اكتشاف التهديدات والاستجابة للحوادث للقبض على مجرمي الإنترنت في الوقت الفعلي وتخفيف تأثير الهجمات الإلكترونية الناجحة.

يقوم IBM Security® QRadar® SIEM بتطبيق التعلم الآلي وتحليلات سلوك المستخدم (UBA) على حركة مرور الشبكة إلى جانب السجلات التقليدية لاكتشاف التهديدات بشكل أكثر ذكاءً ومعالجة أسرع. في دراسة حديثة أجرتها شركة Forrester، ساعد QRadar SIEM محللي الأمن على توفير أكثر من 14,000 ساعة على مدار ثلاث سنوات من خلال تحديد النتائج الإيجابية الخاطئة، وتقليل الوقت الذي يقضيه في التحقيق في الحوادث بنسبة 90%، وتقليل خطر تعرضهم لخرق أمني خطير بنسبة 60%.* مع QRadar تتمتع فرق SIEM، التي تعاني من شح الموارد، بالرؤية والتحليلات التي تحتاجها لاكتشاف التهديدات بسرعة واتخاذ إجراءات فورية ومستنيرة لتقليل آثار الهجوم.

تعرف على المزيد عن IBM QRadar SIEM

لا يتم تفعيل تبويبة التأثير الاقتصادي الإجماليTM لـ IBM Security QRadar SIEM هي دراسة تم إجراؤها بواسطة Forrester Consulting نيابة عن IBM، في أبريل 2023. استنادًا إلى النتائج المتوقعة لمنظمة مركبة تم تصميمها من 4 من عملاء IBM الذين تمت مقابلتهم. ستختلف النتائج الفعلية بناءً على تكوينات العميل وظروفه، وبالتالي، لا يمكن توفير النتائج المتوقعة بشكل عام.