يتعرض العالم حاليا لموجة واسعة النطاق من الهجمات التي يشنها القراصنة والمخترقون، بالبرمجية الخبيثة المعروفة باسم ” الذئب الارجواني”، التي تستهدف حاسبات وخادمات ويندوز، وتمارس أنشطة التخريب، وإفساد البيانات، والتحكم في الحاسبات من البعد، والسطو على البيانات الحساسة، الخاصة بالبيانات المصرفية وكلمات المرور وغيرها، وتمثل الأسابيع الثلاثة الأخيرة، ذروة الموجة، حيث بلغ معدل الهجمات خلالها 90 ألف هجمة حول العالم، بمعدل زيادة شهري بلغ 600% خلال مارس.
 |
ظهرت لأول مرة 2018 وعادت ثانية في مايوهدأت منذ نوفمبر وارتفعت في فبرايروصلت ذروتها في مارس بزيادة 600% |
كشف النقاب عن هذه الهجمة فريق من خبراء أمن المعلومات بشركة “جارديكور لاب” المتخصصة متابعة وفحص الهجمات الأمنية، التي يشنها القراصنة باستخدام البرمجيات الخبيثة، ونشرت احدث تقرير لها حول الهجمة أول أمس الثلاثاء على مدونتها الرسمية، مؤكدة خلاله أن هذه البرمجية، تعد سلالة جديدة أشد خطورة، مقارنة بالسلالة الجديدة التي ظهرت لأول مرة في عام 2018، وأنها بدأت الانتشار عالميا بصورة بطيئة وهادئة منذ مايو الماضي، وشهدت حالة اكثر هدوءا خلال الفترة من نوفمبر 2020 الي يناير 2021، ثم نشطت بصورة حادة خلال فبراير ومارس، لتسجل هجماتها أرقاما ضخمة، قدرها الخبراء بنحو 90 ألف هجمة حتي أول أمس.
ويعرف الخبراء برمجية الذئب الارجواني على أنها باب خلفي مدمج، يستخدم نقاط ضعف جذرية خفية، للقيام بمجموعة متنوعة من الأنشطة الضارة، منها استغلال الحاسب في أعمال تنجيم وتوليد العملات المشفرة، ونشر برامج الفدية والتجسس، كما يعمل كأدوات لتوصيل حمولات البرمجيات الضارة للحاسبات، بما في ذلك توصيل نفسه الي أهداف أخرى.
طريقة جديدة للانتشار
بحسب خبراء جارديكور لاب، فإن برمجية الذئب الارجواني الخبيثة، عبارة برنامج ضار، كان يعتمد على مجموعات الاستغلال ورسائل البريد الإلكتروني المخادعة للانتشار، لكنه غير من طريقة انتشاره خلال الموجة الحالية، وتحديدا خلال الأسابيع الماضية، وتقف طريقة الانتشار الجديدة، وراء الانتشار السريع الذي تسجله حاليا، وتتمثل الطريقة الجديدة في المسح العشوائي للمنافذ بأجهزة الحاسبات وشبكات المعلومات، واستغلال الخدمات المعروفة باسم “إس إم بي” المكشوفة، أو المحمية بكلمات مرور وتجزئة ضعيفة.
تستهدف البرمجية في هجماتها أجهزة مايكروسوفت ويندوز، سواء المكتبية أو المحمولة أو الخادمة، لكنها تتم عبر مراحل، تبدأ ـ كما يوضح خبراء جارديكور لاب ـ باستهداف مجموعة من الخوادم المعرضة للهجوم والاستغلال، وجعلها تستضيف حمولتها من البرامج الضارة الأولية، وكشفت عمليات الرصد أن أكثر الحاسبات إصابة هي العاملة بالإصدارات القديمة من ويندوز سيرفر آي آي إس، وعلي وجه الخصوص الإصدار رقم 7.5، وكذلك خوادم مايكروسوفت لنقل الملفات “إف تي بي”، وتبدأ سلسلة العدوي من خلال الخدمات التي تواجه الإنترنت والتي تحتوي على نقاط ضعف ، مثل خدمات إس إم بي ، أو عمليات استغلال المستعرض المرسلة عبر التصيد الاحتيالي ، أو هجمات القوة الغاشمة ، أو النشر عبر برامج “روت كيتس”، وحتي الآن تمكن المهاجمون من اختطاف والسيطرة على ما يقرب من 2000 حاسب خادم، بات باتت ملوثة بالملفات الضارة، التي تشغل شبكة روبوتات برمجية الذئب الوردي الخبيثة.
توسيع نطاق الهجمات
قال باحثو جارديكور لاب أنه بمجرد تسكين وتشغيل الكود الضار على جهاز مستهدف، تقوم البرمجية الخبيثة بإدارة عملية مستمرة لإعادة الانتشار والبحث عن ضحايا جدد، من خلال إنشاء خدمة جديدة تقوم بتكرار الأوامر وتسحب حمولات الذئب الارجواني من العناوين والمواقع الضارة، وعادة ما تتنكر برامج تثبيت هذه البرمجية في هيئة حزم الملفات الخاصة بتحديث ويندوز، ذات التجزئة المختلفة، وأطلق الباحثون على هذه الخاصية “الطريقة الرخيصة والبسيطة”، التي تجنب ملفات تثبيت البرامج الضارة الاتصال ببعضها البعض أثناء الفحص والتدقيق عن وجودها من عدمه، ما يضمن لها فرص أكبر للتخفي والانتشار.
3 حمولات ضارة
تعمل البرمجية من خلال ثلاث حمولات من الملفات الضارة، التي يتم تنزيلها شفرة على الحاسبات الضحية، ثم فك تشفيرها، واستخراجها من مكامنها، وبدء تشغيلها، الحمولة الأولي تعمل على العبث بقدرات برامج الجدران النارية المخصصة لحماية ويندوز، والثانية تتخصص في تصفية وحظر المنافذ التي تعمل من خلالها الحاسبات وشبكات المعلومات، وهي خطوة ماكرة، تقوم من خلالها البرمجية بتأمين وحماية الحاسب الذي سيطرت عليه، من الوقوع فريسة لأية برمجية ضارة أخري غيرها، ليظل تحت سيطرتها هي فقط بصورة خالصة، والحمولة الثالثة تقوم بتثبيت واجهة البروتوكول السادس للإنترنت ” آي بي في 6″، بغرض فحص المنافذ، وزيادة كفاء الانتشار في شبكات أي بي في 6 الفرعية، التي لا تخضع للمراقبة في العادة، ويتم تحميل برمجية الذئب الوردي عادة في ملف من نوع دي إل إل، داخل نظام التشغيل، ليتم تشغيله في مرحلة التمهيد لإطلاق نظام التشغيل، عند إعادة تشغيل الحاسب، وبعد ذلك تقوم البرمجية بإنشاء نطاقات عناوين رقمية، وتبدأ عمليات المسح عبر المنفذ رقم 445، بغرض الانتشار في حاسبات وأجهزة جديدة.
الوقاية والمنع
