أصدرت وكالة الأمن السيبراني الهندية تحذيرًا ضد فيروس “Royal ransomware” الذي يهاجم قطاعات مهمة مثل الاتصالات والرعاية الصحية والتعليم وحتى الأفراد ويسعى للحصول على عوائد في عملات البيتكوين لعدم تسريب البيانات الشخصية في المجال العام.
ذكر فريق الاستجابة لطوارئ الكمبيوتر الهندي أو CERT-In في أحدث نصيحة أن برنامج الفدية المنتشر عبر الإنترنت يتسلل من خلال رسائل البريد الإلكتروني المخادعة والتنزيلات الضارة وإساءة استخدام RDP (بروتوكول سطح المكتب البعيد) وأشكال أخرى من الهندسة الاجتماعية. قال خبراء الإنترنت إن برنامج الفدية هذا تم اكتشافه لأول مرة في يناير 2022 ونشط في وقت ما في سبتمبر من العام الماضي حتى عندما أصدرت السلطات الأمريكية تحذيرات ضد انتشاره.
تستهدف Royal ransomware العديد من قطاعات البنية التحتية الحيوية ، بما في ذلك التصنيع والاتصالات والرعاية الصحية والتعليم وما إلى ذلك ، أو الأفراد. يقوم برنامج الفدية بتشفير الملفات الموجودة على نظام الضحية ويطلب المهاجمون دفع فدية بعملة البيتكوين “.
وقال التحذير “المهاجمون يهددون أيضا بتسريب البيانات في المجال العام إذا رفضوا الدفع”.
CERT-In هو ذراع التكنولوجيا الفيدرالية لمكافحة الهجمات الإلكترونية وحماية الفضاء الإلكتروني من هجمات التصيد والقرصنة والهجمات المماثلة عبر الإنترنت.
وقال الاستشارة إن “الجهات الفاعلة في التهديد اتبعت العديد من التكتيكات لتضليل الضحايا من أجل تثبيت برنامج الوصول عن بعد كجزء من التصيد الاحتيالي لمعاودة الاتصال ، حيث يتظاهرون بأنهم مختلفون من مقدمي الخدمات”. تصيب برامج الفدية “باستخدام أسلوب محدد لتشفير الملفات حسب حجم المحتوى”. “سوف يقسم المحتوى إلى جزأين أي مشفر وغير مشفر. قد تختار البرامج الضارة كمية صغيرة من البيانات من ملف كبير لتشفيرها لزيادة فرص تجنب الحذر أو الكشف. ويضيف 532 بايت في نهاية الملف. ملف مشفر لكتابة مفتاح مشفر تم إنشاؤه عشوائيًا ، وحجم ملف الملف المشفر ، ومعلمة النسب المئوية للتشفير ، “قال CERT-In.
يمكن قياس مدى فتك هذا الفيروس من حقيقة أنه قبل بدء تشفير البيانات التي يهاجمها ، يقوم برنامج الفدية بفحص حالة الملفات المستهدفة ويحذف النسخ الاحتياطية “لمنع الاسترداد” من خلال الخدمة. بعد التطفل على الشبكة ، يحاول البرنامج الضار إجراء حركات مستمرة وجانبية في الشبكة. حتى بعد الوصول إلى وحدة تحكم المجال ، يقوم برنامج الفدية بتعطيل بروتوكولات مكافحة الفيروسات. علاوة على ذلك ، فإن برنامج الفدية يخرج كمية كبيرة من البيانات قبل التشفير ، كما جاء في الاستشارة.
لقد لوحظ ، كما ورد ، أن “ Royal ransomware ” لا تشارك معلومات مثل مبلغ الفدية ، وأي تعليمات ، وما إلى ذلك في ملاحظة مثل برامج الفدية الأخرى ، بل إنها تتصل بالضحية مباشرةً عبر مسار عنوان URL. المتصفح).
واقترحت الوكالة بعض الإجراءات المضادة وبروتوكولات نظافة الإنترنت للحماية من هجوم رانسوم وير وغيره من مثل هذه الهجمات.
احتفظ بنسخة احتياطية من البيانات دون اتصال بالإنترنت ، واحتفظ بالنسخ الاحتياطي والاستعادة بانتظام لأن هذه الممارسة ستضمن عدم مقاطعة المنظمة بشدة والحصول على بيانات لا يمكن استرجاعها.
من المستحسن أيضًا أن تكون جميع بيانات النسخ الاحتياطي مشفرة وغير قابلة للتغيير (أي لا يمكن تغييرها أو حذفها) تغطي البنية التحتية لبيانات المنظمة بأكملها ، على حد قولها.
يجب على المستخدمين تمكين الملفات المحمية في نظام التشغيل Windows لمنع التغييرات غير المصرح بها للملفات الهامة ويجب عليهم تعطيل اتصالات سطح المكتب البعيد ، واستخدام الحسابات الأقل امتيازًا ، والحد من المستخدمين الذين يمكنهم تسجيل الدخول باستخدام أجزاء سطح المكتب البعيد من وضع سياسة تأمين الحساب. تم اقتراح عدد من أفضل الممارسات الأخرى من قبل الوكالة ، بما في ذلك الممارسات الأساسية مثل وجود برنامج مكافحة فيروسات محدث في أنظمة الكمبيوتر وعدم النقر على رسائل البريد الإلكتروني غير المرغوب فيها من روابط غير معروفة.
