كيف كشف خبراء الأمن عن برامج الفدية

يستخدم المتسللون برامج الفدية لملاحقة كل صناعة، ويتقاضون أكبر قدر ممكن من المال لإعادة الوصول إلى ملفات الضحية. إنه عمل مربح. ففي الأشهر الستة الأولى من عام 2023، اختلست عصابات برامج الفدية 449 مليون دولار من أهدافها، على الرغم من أن معظم الحكومات تنصح بعدم دفع فدية. على نحو متزايد، يتعاون متخصصو الأمن مع جهات إنفاذ القانون لتوفير أدوات مجانية لفك التشفير - وتحرير الملفات المقفلة والقضاء على إغراء الضحايا.

هناك طريقتان رئيسيتان تستخدمهما برامج فك تشفير برامج الفدية للتوصل إلى الأدوات: الهندسة العكسية للأخطاء، والعمل مع جهات إنفاذ القانون، وجمع مفاتيح التشفير المتاحة للجمهور. يختلف طول العملية اعتمادًا على مدى تعقيد التعليمات البرمجية، ولكنها تتطلب عادةً معلومات عن الملفات المشفرة والإصدارات غير المشفرة من الملفات ومعلومات الخادم من مجموعة القرصنة. "إن مجرد الحصول على ملف مشفر للإخراج عادة ما يكون عديم الفائدة. قال جاكوب كروستيك، مدير أبحاث البرامج الضارة في شركة مكافحة الفيروسات Avast، “أنت بحاجة إلى العينة نفسها، الملف القابل للتنفيذ”. الأمر ليس سهلاً، ولكنه يؤتي ثماره للضحايا المتأثرين عندما ينجح.

أولا، علينا أن نفهم كيف يعمل التشفير. للحصول على مثال أساسي للغاية، لنفترض أن جزءًا من البيانات ربما بدأ كجملة يمكن التعرف عليها، ولكنها تظهر مثل "J qsfgfs dbut up epht" بمجرد تشفيرها. إذا علمنا أن إحدى الكلمات غير المشفرة في "J qsfgfs dbut up epht" من المفترض أن تكون "cats"، فيمكننا البدء في تحديد النمط الذي تم تطبيقه على النص الأصلي للحصول على النتيجة المشفرة. في هذه الحالة، إنها مجرد الأبجدية الإنجليزية القياسية مع تحريك كل حرف للأمام مكانًا واحدًا: A يصبح B، وB يصبح C، وتصبح عبارة "أنا أفضل القطط على الكلاب" سلسلة من الهراء أعلاه. يعد الأمر أكثر تعقيدًا بالنسبة لأنواع التشفير التي تستخدمها عصابات برامج الفدية، لكن المبدأ يظل كما هو. يُعرف نمط التشفير أيضًا باسم "المفتاح"، ومن خلال استنتاج المفتاح، يمكن للباحثين إنشاء أداة يمكنها فك تشفير الملفات.

بعض أشكال التشفير، مثل معيار التشفير المتقدم لمفاتيح 128 أو 192 أو 256 بت، تكون غير قابلة للكسر فعليًا. في مستواه الأكثر تقدمًا، يتم وضع أجزاء من البيانات "النص العادي" غير المشفرة، مقسمة إلى أجزاء تسمى "كتل"، خلال 14 جولة من التحويل، ثم يتم إخراجها في شكلها المشفر - أو "النص المشفر". وقال جون كلاي، نائب رئيس استخبارات التهديدات في شركة تريند مايكرو للبرمجيات الأمنية: "ليس لدينا بعد تكنولوجيا الحوسبة الكمومية التي يمكنها كسر تكنولوجيا التشفير". ولكن لحسن الحظ بالنسبة للضحايا، لا يستخدم المتسللون دائمًا أساليب قوية مثل AES لتشفير الملفات.

في حين أن بعض مخططات التشفير غير قابلة للفك فعليًا، إلا أنه من الصعب إتقانها من الناحية العلمية، ومن المرجح أن يرتكب المتسللون عديمو الخبرة الأخطاء. إذا لم يطبق المتسللون مخططًا قياسيًا، مثل AES، واختاروا بدلاً من ذلك إنشاء نظام خاص بهم، فيمكن للباحثين بعد ذلك البحث عن الأخطاء. لماذا يفعلون هذا؟ في الغالب الأنا. وقال يورنت فان دير فيل، الباحث في مجال الأمن السيبراني في كاسبرسكي: "إنهم يريدون القيام بشيء ما بأنفسهم لأنهم يحبون ذلك أو يعتقدون أنه أفضل لأغراض السرعة".

على سبيل المثال، إليك كيفية قيام Kaspersky بفك تشفير سلالة Yanluowang Ransomware. لقد كانت سلالة مستهدفة تستهدف شركات محددة، مع قائمة غير معروفة من الضحايا. استخدم Yanluowang تشفير تيار Sosemanuk لتشفير البيانات: وهي عملية مجانية للاستخدام تقوم بتشفير ملف النص العادي برقم واحد في كل مرة. ثم قام بتشفير المفتاح باستخدام خوارزمية RSA، وهو نوع آخر من معايير التشفير. ولكن كان هناك خلل في النمط. تمكن الباحثون من مقارنة النص العادي بالنسخة المشفرة، كما هو موضح أعلاه، وإجراء هندسة عكسية لأداة فك التشفير المتوفرة الآن مجانًا. في الواقع، هناك الكثير من الملفات التي تم اختراقها بالفعل بواسطة مشروع No More Ransom.

سيستخدم خبراء فك تشفير برامج الفدية معرفتهم بهندسة البرمجيات والتشفير للحصول على مفتاح برنامج الفدية، ومن هناك، إنشاء أداة فك التشفير، وفقًا لكروستك. قد تتطلب عمليات التشفير الأكثر تقدمًا إما التأثير الغاشم أو إجراء تخمينات مدروسة بناءً على المعلومات المتاحة. يستخدم المتسللون أحيانًا منشئ أرقام عشوائية زائفة لإنشاء المفتاح. سيكون RNG الحقيقي عشوائيًا، لكن هذا يعني أنه لن يكون من السهل التنبؤ به. قد يعتمد نموذج RNG الزائف، كما أوضح فان دير فيل، على نمط موجود لكي يظهر عشوائيًا عندما لا يكون كذلك في الواقع - قد يعتمد النمط على وقت إنشائه، على سبيل المثال. وإذا عرف الباحثون جزءًا من ذلك، فإنهم سيتمكنون من ذلك حاول قيمًا زمنية مختلفة حتى تستنتج المفتاح.

لكن الحصول على هذا المفتاح يعتمد غالبًا على العمل مع جهات إنفاذ القانون للحصول على مزيد من المعلومات حول كيفية عمل مجموعات القرصنة. إذا تمكن الباحثون من الحصول على عنوان IP الخاص بالمتسلل، فيمكنهم أن يطلبوا من الشرطة المحلية الاستيلاء على الخوادم والحصول على تفريغ محتوياتها من الذاكرة. أو، إذا استخدم المتسللون خادمًا وكيلاً لإخفاء موقعهم، فقد تستخدم الشرطة محللي حركة المرور مثل NetFlow لتحديد أين تذهب حركة المرور والحصول على المعلومات من هناك، وفقًا لفان دير فيل. تجعل اتفاقية بودابست بشأن الجرائم الإلكترونية هذا الأمر ممكنًا عبر الحدود الدولية لأنها تسمح للشرطة بطلب صورة خادم في بلد آخر بشكل عاجل أثناء انتظار مرور الطلب الرسمي.

يوفر الخادم معلومات عن أنشطة المتسلل، مثل الأشخاص الذين قد يستهدفونهم أو عملية ابتزاز فدية. يمكن أن يخبر هذا برامج فك تشفير برامج الفدية بالعملية التي مر بها المتسللون من أجل تشفير البيانات أو التفاصيل حول مفتاح التشفير أو الوصول إلى الملفات التي يمكن أن تساعدهم على إجراء هندسة عكسية للعملية. يقوم الباحثون بالتدقيق في سجلات الخادم للحصول على التفاصيل بنفس الطريقة التي قد تساعد بها صديقك في البحث عن تفاصيل حول تاريخ Tinder الخاص به للتأكد من صحتها، ويبحثون عن أدلة أو تفاصيل حول الأنماط الضارة التي يمكن أن تساعد في اكتشاف النوايا الحقيقية. قد يكتشف الباحثون، على سبيل المثال، جزءًا من ملف النص العادي لمقارنته بالملف المشفر لبدء عملية الهندسة العكسية للمفتاح، أو ربما سيجدون أجزاء من RNG الزائف التي يمكن أن تبدأ في شرح نمط التشفير.

ساعد العمل مع جهات إنفاذ القانون شركة Cisco Talos في إنشاء أداة فك تشفير لبرنامج الفدية Babuk Tortilla. استهدف هذا الإصدار من برامج الفدية الرعاية الصحية والتصنيع والبنية التحتية الوطنية، وقام بتشفير أجهزة الضحايا وحذف النسخ الاحتياطية القيمة. لقد قام Avast بالفعل بإنشاء برنامج فك تشفير بابوك عام، ولكن ثبت أن سلالة التورتيلا يصعب اختراقها. عملت الشرطة الهولندية وشركة Cisco Talos معًا للقبض على الشخص الذي يقف وراء الضغط، وتمكنت من الوصول إلى أداة فك تشفير Tortilla في هذه العملية.

ولكن غالبًا ما تكون أسهل طريقة للتوصل إلى أدوات فك التشفير هذه تنبع من عصابات برامج الفدية نفسها. ربما يتقاعدون، أو يشعرون بالكرم فحسب، لكن المهاجمين أحيانًا ما يطلقون مفتاح التشفير الخاص بهم علنًا. يمكن لخبراء الأمن بعد ذلك استخدام المفتاح لإنشاء أداة فك التشفير وإصدارها ليستخدمها الضحايا في المستقبل.

بشكل عام، لا يمكن للخبراء مشاركة الكثير حول العملية دون إعطاء الدعم لعصابات برامج الفدية. إذا كشفوا عن أخطاء شائعة، فيمكن للمتسللين استخدام ذلك لتحسين محاولاتهم التالية لبرامج الفدية بسهولة. إذا أخبرنا الباحثون عن الملفات المشفرة التي يعملون عليها الآن، فسوف تعرف العصابات أنهم يتوصلون إليها. لكن أفضل طريقة لتجنب الدفع هي أن تكون استباقيًا. وقال كلاي: "إذا قمت بعمل جيد في عمل نسخة احتياطية لبياناتك، فلديك فرصة أكبر بكثير لعدم الاضطرار إلى الدفع".

المصدر: بوابة الوفد