وايزر لوك
“علينا أن نختار ما بين الأمان والمراقبة، إما أن يتجسس الكل على الآخر، أو لا يتجسس أحد على أحد” …بروس شناير
أمن المعلومات

“Emotet”.. قصة البرنامج الضار البالغ الإيذاء

Emotet هو أحد البرامج الخبيثة التي تصيب الكمبيوتر، وتم تطويره في الأصل في صورة ما يعرف بحصان طروادة مصرفي. كان الهدف منه اختراق أجهزة الآخرين والتجسس على البيانات الخاصة والحساسة. وEmotet قادر على خداع برامج مكافحة الفيروسات الشائعة والاختباء منها. وبمجرد إصابته للأجهزة، ينتشر البرنامج الضار على طريقة الفيروسات المتنقلة ويحاول التسلل إلى أجهزة الكمبيوتر الأخرى المتصلة بالشبكة نفسها.

ينتشر Emotet بشكل أساسي من خلال رسائل البريد الإلكتروني العشوائي. يحتوي البريد الإلكتروني المعني على رابط ضار أو مستند مصاب يتضمن وحدات ماكرو نشطة؛ وإذا قمت بتنزيل المستند أو فتح الرابط، فسيتم تنزيل المزيد من البرامج الضارة تلقائيًّا على جهاز الكمبيوتر. تبدو رسائل البريد الإلكتروني كأنها حقيقية بالضبط.

كلمة Emotet‏

تم اكتشاف Emotet لأول مرة في عام 2014، عندما تأثر عملاء المصارف الألمانية والنمساوية بحصان طروادة. استطاع Emotet الوصول إلى بيانات تسجيل الدخول الخاصة بالعملاء. وفي الأعوام اللاحقة، استطاع ذلك البرنامج الضار أن ينتشر في أنحاء العالم أجمع.

ومنذ ذلك الحين، تطور Emotet كحصان طروادة من تهديد الخدمات المصرفية فحسب إلى حمل البرمجيات الضارة أيضًا. وتصبح هذه البرامج بعد ذلك مسؤولة عن الضرر الفعلي الذي يلحق بالنظام. في معظم الحالات، تشمل هذه البرامج:

  • Trickbot: حصان طروادة المهدد للخدمات المصرفية، والذي يحاول الوصول إلى بيانات تسجيل الدخول لحسابات المصارف.
  • Ryuk: يقوم حصان طروادة التشفيري – المعروف أيضًا باسم حصان طروادة أو برنامج طلب الفدية المشفر – بتشفير البيانات، وبذلك يمنع مستخدم الكمبيوتر من الوصول إليها، أو يقفل النظام بأكمله.

وغالبًا ما يكون هدف مجرمي الإنترنت من وراء Emotet هو ابتزاز الأموال من ضحاياهم. فهم على سبيل المثال يهددون بنشر البيانات المشفرة أو عدم الإفراج عنها مرة أخرى. ويُقصد بـ Emotet في المعتاد العملية الكاملة للإصابة والتنزيل الإضافي للبرامج الضارة وتوزيعها.

من أهداف Emotet؟

الأشخاص والشركات والمؤسسات والسلطات العامة. في عام 2018، اضطر مركز Fürstenfeldbruck السريري إلى إغلاق 450 جهاز كمبيوتر وتسجيل الخروج من مركز تنسيق الطوارئ بعد إصابته بـ Emotet. وفي سبتمبر 2019، على سبيل المثال، اخترق Emotet محكمة الاستئناف في برلين، Kammergericht، وتبعتها جامعة جيسن في ديسمبر 2019.

كما أصيبت كلية الطب بهانوفر وإدارة مدينة فرانكفورت أم ماين بفيروس Emotet. وفي الواقع، يقدر عدد الشركات المتضررة بأكبر من ذلك بكثير. ومن المفترض أن العديد من الشركات المصابة تحجم عن الإبلاغ عن الإصابة خوفًا على سمعتها وخشية التعرض لمزيد من الهجمات.

في بدايات إطلاق Emotet، كانت الشركات هي المستهدفة منه بشكل أساسي، لكن إن حصان طروادة الضار هذا صار يستهدف اليوم الأفراد بشكل أساسي.

ما الأجهزة المعرضة لخطر الإصابة بحصان طروادة Emotet؟

في البداية تم اكتشاف الإصابات بـ Emotet فقط في الإصدارات الأحدث من نظام التشغيل Microsoft Windows. لكن في أوائل عام 2019، وُجد أن أجهزة الكمبيوتر التي تصنعها شركة Apple أصيبت هي الأخرى بـ Emotet. استدرج الجناة المستخدمين إلى الفخ برسالة بريد إلكتروني مزيفة من فريق دعم Apple، زاعمين أن الشركة قامت “بتقييد الوصول إلى حساب العميل الخاص بك”. وكذلك أخير البريد الإلكتروني المستخدمين أنه يجب عليهم اتباع الرابط المحدد لمنع إلغاء تنشيط بعض خدمات Apple وحذفها.

كيف ينتشر حصان طروادة Emotet؟

ينتشر Emotet بشكل أساسي عبر عملية تعرف باسم حصاد Outlook. يقرأ حصان طروادة رسائل البريد الإلكتروني الحقيقية لدى المستخدمين الذين أصيب أجهزتهم به بالفعل، وينشئ محتوى مخادعًا يبدو أصيلاً. وهذا لتبدو رسائل البريد الإلكتروني هذه مشروعة وشخصية، ومن ثم يتميز عن رسائل البريد الإلكتروني العشوائية العادية. بعد ذلك، يقوم Emotet بإعادة توجيه رسائل البريد الإلكتروني المخادعة هذه إلى جهات الاتصال المحفوظة، أي الأصدقاء أو أفراد الأسرة أو زملاء العمل أو مديرك.

وعادةً ما تحتوي رسائل البريد الإلكتروني على مستند Word مصاب يجب تنزيله، أو رابط خطير. ويتم عرض الاسم الصحيح دائمًا بوصفه المرسِل. بهذه الطريقة، لا يستشعر المستلمون خطرًا، وينزلقون إلى إحساس زائف بالأمان لأن الرسالة تبدو كبريد إلكتروني عادي وشخصي من جهة حقيقية، ومن ثم يصبح من المرجح أن ينقروا على الرابط الخطير أو ينزلوا المرفق المصاب.

ويمكن أن ينتشر Emotet أكثر بمجرد وصوله إلى الشبكة. عند القيام بذلك، يحاول استخدام طريقة القوة الغاشمة لاختراق كلمات المرور إلى حساباتك. تشمل الطرق الأخرى التي ينتشر بها Emotet استغلال العيب الأمني في EternalBlue وثغرة DoublePulsar الأمنية في نظام Windows، لسماحهما تثبيت البرامج الضارة دون تدخل بشري. في عام 2017، تمكن حصان طروادة المبتز WannaCry من الاستفادة من محاولة استغلال EternalBlue لشن هجوم إلكتروني خطير وإحداث فوضى.

Emotet: يوم تحطمت البنية التحتية للبرامج الضارة

أول الغيث قطرة: في نهاية يناير 2021، أعلن مكتب المدعي العام في فرانكفورت أم ماين – المكتب المركزي لمكافحة جرائم الإنترنت (CIT) – والمكتب الجنائي الفيدرالي (FCO) أنه تم “الاستيلاء على البنية التحتية لشركة Emotet وتدميرها” كجزء من جهد دولي منسق. ولقد شاركت في العملية وكالات إنفاذ القانون من ألمانيا وهولندا وأوكرانيا وفرنسا وليتوانيا، وكذلك المملكة المتحدة وكندا والولايات المتحدة.

تدعي الوكالات أنها تمكنت من إلغاء تنشيط أكثر من 100 خادم للبنية التحتية الخاصة بشركة Emotet،‏ 17 منها في ألمانيا وحدها. ثم انهمر السيل… كانت وزارة الخارجية قد جمعت البيانات اللازمة، وبعد إجراء مزيد من التحليل، حددت مواقع خوادم أخرى في جميع أنحاء أوروبا.

ووفقًا لوزارة الخارجية البريطانية، تم تحطيم البنية التحتية للبرامج الضارة Emotet ونبذ الخطر منها. كما تمكنت السلطات في أوكرانيا من الاستيلاء على البنية التحتية، وكذلك على العديد من أجهزة الكمبيوتر والأقراص الصلبة والمال والسبائك الذهبية. تم تنسيق العملية برمتها من قبل اليوروبول وEurojust، وكالة الاتحاد الأوروبي للتعاون القضائي في المسائل الجنائية.

ومن خلال السيطرة على البنية التحتية لـ Emotet، حالت السلطات دون قدرة قدرة الجناة على استخدام البرمجيات الضارة الموجودة على أنظمة الضحايا الألمان. ولمنعهم من استعادة السيطرة، قامت فرق العمل بفرض الحجر على البرمجيات الضارة على أجهزة الضحايا. وبالإضافة إلى ذلك، قاموا بتعديل معلمات الاتصال الخاصة بالبرنامج بحيث يمكنه الاتصال بالبنية التحتية المعدة خصيصًا فقط للحفاظ على الأدلة. في هذه العملية، حصلت السلطات على معلومات حول أنظمة الضحايا المتضررة، مثل عناوين IP العامة. وتم نقل هذه إلى المعهد البريطاني للمعايير (BSI).

من الذي يدعم Emotet؟

يرى المكتب الفيدرالي لأمن المعلومات (FIS) أن “مطوري Emotet يؤجرون برمجياتهم وبنيتهم التحتية من الباطن لأطراف خارجية”. كما أنهم يعتمدون على برامج ضارة إضافية لتحقيق أهدافهم الخاصة. بينما يرى المعهد البريطاني للمعايير (BSI) أن دوافع المجرمين ذات طبيعة مالية وأن الجريمة الإلكترونية هي القضية وليس التجسس.

ويظل اللغز بلا إجابة، ويبدو أن أحدًا لا يعرف على وجه الدقة من الذي يدعم Emotet. تقول الشائعات أن مصدره روسيا أو أوروبا الشرقية، لكن لا يوجد دليل دامغ يدعم ذلك الافتراض.

Emotet: البرنامج الضار البالغ الإيذاء

انتهت وزارة الأمن الداخلي الأمريكية إلى أن Emotet برنامج مكلف بشكل خاص له قوة تدميرية هائلة، حيث تُقدَّر تكلفة التخلص منه ومحو آثاره بحوالي مليون دولار أمريكي لكل حادث. لهذا السبب، أطلق Arne Schönbohm، رئيس المكتب الفيدرالي لأمن المعلومات (FIS)، على Emotet لقب “ملك البرامج الضارة”.

يُعد Emotet بلا شك واحدًا من أكثر البرامج الضارة تعقيدًا وخطورةً في التاريخ؛ فهو برنامج متعدد الأشكال، مما يعني أن تعليماته البرمجية تتغير قليلاً في كل مرة يتم الوصول إليه. وهذا يجعل من الصعب على برامج مكافحة الفيروسات التعرف على البرنامج الضار، إذ يقوم العديد من برامج مكافحة الفيروسات بإجراء عمليات بحث تعتمد على الأثر المميز للبرنامج أو الفيروس. في فبراير 2020، اكتشف باحثون أمنيون من Binary Search أن Emotet يهاجم الآن شبكات Wi-Fi أيضًا! إذا تم توصيل جهاز مصاب بشبكة لاسلكية، يقوم Emotet بمسح جميع الشبكات اللاسلكية القريبة. وباستخدام قائمة كلمات المرور، يحاول الفيروس بعد ذلك الوصول إلى الشبكات ومن ثم إصابة الأجهزة الأخرى.

يحب مجرمو الإنترنت استغلال المخاوف المنتشرة بين الناس، لذلك ليس مستغربًا أن يتم استغلال الخوف من جائحة كوفيد-19 المنتشرة في جميع أنحاء العالم منذ ديسمبر 2019- من قِبل Emotet أيضًا. وكثيرًا ما يرسل مجرمو الإنترنت الداعمون لحصان طروادة رسائل البريد الإلكتروني المزيفة التي تدعي توفير معلومات بشأن كوفيد-19 وتثقيف الناس. لذلك، إذا وجدت مثل هذه الرسائل الإلكترونية في الصندوق الوارد الخاص بك، فتعامل بكل حرص بشكل خاص مع أي مرفقات أو روابط في تلك الرسائل!

كيف يمكنني حماية نفسي من Emotet؟

عند الحماية من Emotet وأحصنة طروادة الأخرى، لا يكفي الاعتماد فقط على برامج مكافحة الفيروسات؛ لأن مجرد اكتشاف البرامج الضارة المتعددة الأشكال ليس إلا المشكلة الأولى التي تواجه المستخدمين النهائيين. وبعبارة بسيطة، لا يوجد حل يوفر حماية بنسبة 100% ضد Emotet أو أي حصان طروادة قابل للتغيير. ويمكن للتدابير التنظيمية والتقنية الوقائية وحدها أن تقلل من خطر الإصابة. وفي ما يلي الاحتياطات التي يجب عليك اتخاذها لحماية نفسك من Emotet:

  • اعرف آخر الأنباء! ابق على اطلاع دائم بالتطورات المتعلقة بموضوع Emotet. هناك عدة طرق للقيام بذلك، مثل نشرة BSI الإخبارية، ونشرتنا الإخبارية من Kaspersky، أو عن طريق إجراء البحث بنفسك.
  • التحديثات الأمنية: احرص على تثبيت التحديثات المقدمة من الشركات المصنعة بأسرع ما يمكن، للتخلص من الثغرات الأمنية المحتملة. ينطبق هذا على أنظمة التشغيل مثل Windows وmacOS وكذلك أي برامج تطبيق ومتصفحات ووظائف إضافية للمتصفح وعملاء البريد الإلكتروني وبرامج Office وPDF.
  • ببرنامج مكافحة الفيروسات: تأكد من تثبيت برنامج لمكافحة فيروسات جيّد واجعله يفحص جهاز الكمبيوتر الخاص بك بانتظام بحثًا عن الثغرات الأمنية.
  • لا تقم بتنزيل المرفقات المشكوك في أمرها من رسائل البريد الإلكتروني أو النقر فوق الروابط المشبوهة. وإذا لم تكن متأكدًا مما إذا كانت رسالة البريد الإلكتروني زائفة، فلا داعي للمخاطرة، بل اتصل بالشخص الذي من المفترض أنه أرسلها! وإذا طُلب منك السماح بتشغيل وحدة ماكرو عند تنزيل ملف، فلا تفعل ذلك تحت أي ظرف من الظروف. بل قم بحذف الملف على الفور. بهذه الطريقة لن تمنح Emotet فرصة لاختراق جهاز الكمبيوتر الخاص بك من الأساس.
  • النسخ الاحتياطي: انسخ بياناتك احتياطيًا بانتظام على ناقل بيانات خارجي. وفي حال حدوث أي إصابة، سيكون لديك دائمًا نسخة احتياطية للرجوع إليها ولن تفقد جميع البيانات الموجودة على الكمبيوتر.
  • كلمات المرور: لا تستخدم إلا كلمات مرور قوية لجميع عمليات تسجيل الدخول (بما في ذلك الخدمات المصرفية عبر الإنترنت، وحساب البريد الإلكتروني، والتجارة عبر الإنترنت). بعبارة أخرى، لا تستخدم اسمك أو اسم حيوانك الأليف، بل أنشئ كلمة المرور من ترتيب عشوائي من حروف وأرقام وعلامات مميزة. يمكنك إما التوصل إلى هذه بنفسك أو إنشاءها باستخدام برامج مثل مديري كلمات المرور. وبالإضافة إلى ذلك، يوفر العديد من البرامج الآن خيار المصادقة الثنائية العناصر.
  • امتدادات الملفات: تأكد من عرض امتدادات الملفات على جهاز الكمبيوتر الخاص بك تلقائيًا. سيساعدك هذا في التعرف على الملفات المشبوهة مثل “Vacation snap123.jpg.exe.”

كيف يمكنني إزالة Emotet؟

أولاً: لا داعي للذعر إذا كنت تشك في أن جهاز الكمبيوتر الخاص بك قد يكون مصابًا بـ Emotet! أبلغ من حولك بحدوث الإصابة، حيث من المحتمل أيضًا أن تكون جهات اتصال البريد الإلكتروني والأجهزة الأخرى المتصلة بشبكتك معرضة للخطر.

بعد ذلك، تأكَّد من عزل جهاز الكمبيوتر الخاص بك إذا كان متصلاً بشبكة لتقليل مخاطر انتشار Emotet. يجب عليك بعد ذلك تغيير جميع بيانات الوصول إلى حساباتك، مثل حسابات البريد الإلكتروني ومتصفحات الويب وما إلى ذلك.

ونظرًا لأن برنامج Emotet الضار متعدد الأشكال ودائمًا ما تتغير تعليماته البرمجية بشكل طفيف في كل مرة يتم الوصول إليه، يمكن إعادة إصابة جهاز كمبيوتر تم تنظيفه بسرعة بمجرد توصيله بشبكة مصابة. لذلك يجب عليك تنظيف جميع أجهزة الكمبيوتر المتصلة بشبكتك واحدًا تلو الآخر. استخدم برنامج مكافحة فيروسات لمساعدتك في القيام بذلك. يمكنك أيضًا الاتصال بجهة تخصصية، مثل مزود برنامج مكافحة الفيروسات الخاص بك.

EmoCheck: هل تساعد هذه الأداة حقًّا في الحماية من Emotet؟

قام فريق الاستجابة للطوارئ الحاسوبية (CERT) الياباني بنشر أداة EmoCheck، والتي يمكنك استخدامها لفحص جهاز الكمبيوتر الخاص بك بحثًا عن إصابته بـ Emotet. نصيحة: استخدم الأداة لاكتشاف أي إصابة محتملة بالإصدارات المعروفة من Emotet. لكن توخَّ الحذر أيضًا! فنظرًا لأن Emotet متعدد الأشكال، لا يمكن لأداة EmoCheck التأكد بنسبة 100% من أن جهاز الكمبيوتر الخاص بك غير مصاب. يستخدم EmoCheck طريقة للتعرف على سلاسل الأحرف المميزة ومن ثم يحذرك من حصان طروادة. ومع ذلك، فإن القابلية للتغيير في البرامج الضارة تعني أنه لا يوجد ما يضمن أن جهاز الكمبيوتر الخاص بك نظيف بالفعل.

ملخص عن Emotet

يعد حصان طروادة Emotet أحد أخطر البرامج الضارة في تاريخ تكنولوجيا المعلومات، والجميع عرضة للإصابة به، سواء الأفراد أو الشركات أو حتى السلطات العامة. بمجرد أن يتسلل حصان طروادة إلى النظام، فإنه يقوم بتحميل برامج ضارة أخرى تتجسس على بيانات اعتماد الوصول وتشفير البيانات. وفي كثير من الأحيان، يتعرض ضحايا البرمجيات الضارة للابتزاز بطلب دفع فدية لاستعادة بياناتهم. ولسوء الحظ، لا يوجد حل يوفر حماية بنسبة 100% من الإصابة بـ Emotet. ومع ذلك، ومن خلال اتخاذ تدابير مختلفة، يمكنك تقليل مخاطر الإصابة. إذا كنت تشك في أن جهاز الكمبيوتر الخاص بك مصاب بـ Emotet، يجب عليك بدء الإجراءات المذكورة أعلاه لتنظيف جهاز الكمبيوتر الخاص بك من Emotet.

admin 341 المشاركات 0 تعليقات
اترك تعليقا