د.جهاد عوده
رانسوم وير أو برنامج الفدية (بالإنجليزية: Ransomware) هو برنامج خبيث يقيد الوصول إلى نظام الحاسوب الذي يصيبه، ويطالب بدفع فدية لصانع البرنامج من أجل إمكانية الوصول للملفات. بعض أنواعه تقوم بتشفير الملفات على القرص الصلب للنظام وتعرض رسائل تطلب من المستخدم الدفع. كانت بداية انتشاره في روسيا، لكن استخدام هذا النوع من البرامج الخبيثة نمى في بقية دول العالم. في يونيو 2013، أصدرت شركة برامج مكافح الفيروسات مكافي بيانات تظهر أنها جمعت أكثر من 250,000 عينة فريدة من رانسوم وير في الربع الأول من عام 2013 أي أكثر من ضعف العدد الذي حصلت عليه في الربع الأول من عام 2012. فيروسات الفدية Ransomware هي نوع من الفيروسات التي تصيب أجهزة الكمبيوتر وبعدها تمنع المستخدم من الوصول إلى نظام التشغيل أو تشفر جميع البيانات المخزنة على جهاز الكمبيوتر، وتطلب من المستخدم “فدية” أو طلب خاص، في الغالب دفع مبلغ محدد من المال ~ 300 دولار في هجوم واناكراي الإلكتروني ~ مقابل فك تشفير الملفات أو السماح بالوصول مرة أخرى لنظام التشغيل. ابتداءً من عام 2012 تقريبًا، ذاع استعمال برامج الفدية عالميًا. جرى في أول ستة أشهر من عام 2018 وحدها 181.5 مليون هجوم ببرامج الفدية، وهو ارتفاع بنسبة 229% عن ستة الأشهر الأولى في عام 2017. في يونيو عام 2014، أصدرت شركة مكافي بياناتٍ تظهر أنها جمعت ضعفي عدد هجومات برامج الفدية هذا الربع السنوي، مقارنة بالربع نفسه من السنة الماضية. حقق كريبتولوكر خاصة نجاحًا كبيرًا، إذ جمع 3 ملايين دولار أمريكي تقريبًا قبل أن توقفه السلطات، أما كريبتووول، فقد قدر المكتب الفدرالي الأمريكي أنه جمع 18 مليون دولار أمريكي تقريبًا بحلول يونيو عام 2015.
اخترع يونغ ويونغ في جامعة كولومبيا مفهومَ برنامج الفدية المشفِّر وطبّقاه، وقد عُرض في مؤتمر الأمن والخصوصية الذي أقامته مؤسسة مهندسي الكهرباء والإلكترونيات في عام 1996. سُمي البرنامج ابتزازًا فيروسيًا مشفِّرًا، وكان مصدر إلهامه الطور الثاني من حياة الفضائي في فلم إيليَن (فضائي). الابتزاز الفيروسي المشفر هو اتباع استراتيجية من ثلاثة مراحل تنفذ بين المهاجم والضحية.
[المهاجم←الضحية] ينشئ المهاجم شفعًا من الرموز ويخزن الرمز العمومي المناسب في البرنامج الخبيث. ينتشر البرنامج الخبيث.
[الضحية←المهاجم] حتى ينفذ هجوم الابتزاز المشفر، ينشئ البرنامج الخبيث رمزًا عشوائيًا متماثلًا ويشفر بيانات الضحية به. يُستعمل الرمز العمومي في البرنامج الخبيث لتشفير الرمز المتماثل. يُسمى هذا تشفيرًا هجينًا وينتج عنه نص مشفر صغير غير متماثل ونص مشفر متماثل آخر من بيانات الضحية. يصفّر البرنامج الرمز المتماثل والنص الأصلي حتى يمنع المستخدم من استعادة البيانات. يُظهر البرنامج رسالة للضحية فيها النص المشفر غير المتماثل وطريقة دفع الفدية. ترسل الضحية النص المشفر غير المتماثل والمال الإلكتروني إلى المهاجم.
[المهاجم←الضحية] يتلقى المهاجم المال، ويفك تشفير النص المشفر غير المتماثل باستعمال الرمز الخاص للمهاجم، ويرسل الرمز المتماثل إلى الضحية. تفك الضحية تشفير البيانات باستعمال الرمز المتماثل، وهكذا ينتهي هجوم الابتزاز الفيروسي المشفر.
هذا الرمز المتماثل عشوائي ولا يستطيع فك تشفير بيانات الضحايا الأُخر. لا يظهر المهاجم لضحاياه رمزه الخاص أبدًا، ولا تحتاج الضحية إلا إلى إرسال نص مشفر صغير (هو الرمز المشفر المتماثل) إلى المهاجم.
تُنفذ هجومات برامج الفدية عادة باستعمال حصان طروادة، يدخل النظام من خلال مرفق بريدي أو رابط أو ثغرة في الخدمة الشبكية. يبدأ هذا البرنامج الهجوم، فيقفل النظام بطريقة أو بأخرى، أو يدعي أنه قفله ولكنه لم يفعل (برامج التخويف). قد يظهر الهجوم تحذيرًا مكذوبًا يزعم أنه من كيان مثل وكالة تطبيق القانون، فيدعي أن هذا النظام استُعمل في أنشطة غير قانونية، ويحوي محتويات إباحية مثلًا ووسائط مقرصَنة. تتكون بعض الهجومات من تطبيق مصمم لقفل أو حظر النظام حتى يتم الدفع، ويكون هذا عادة بحصر ويندوز شِل بها، أو بتغيير تسجيل الإقلاع الرئيس أو جدول التقسيمات لمنع إقلاع النظام حتى تدفع الفدية. أقوى الهجومات تشفر الملفات، وتستعمل تشفيرًا قويًا لتشفر البيانات على نحو لا يستطيع به إلا المهاجم أن يفك تشفيرها باستعمال رمز فك التشفير. يكون الدفع دائمًا هو الهدف الظاهر، ويُجبر الضحية على الدفع لبرنامج الفدية إما لتقديم برنامج يفك تشفير الملفات أو بإرسال رمز فك القفل يزيل ما فعله برنامج الفدية. ولئن كان في مقدور المهاجم أن يأخذ المال ولا يعيد للضحية ملفاته، فإن من مصلحته أن يفك التشفير ويعيد الملفات، إذ إن الضحايا لن يدفعوا له إن علموا أن الدفع لن يجدي نفعًا. من أهم ما يجب أن يُحافظ عليه لعمل برنامج الفدية نظام دفع مناسب يصعب التعقب فيه. استعملت عدة طرائق دفع من هذا القبيل، منها الحوالات البرقية، وبرامج المحادثة عالية المستوى، وخدمات القسائم المدفوعة مسبقًا مثل بيسيفكارد، والعملة الرقمية بيتكوين.
وتشير برامج الفدية RANMOMWARE إلى جريمة ذات دوافع مالية. سرقة ملايين الدولارات من خلال الابتزاز هي التعبير الحديث عن تكتيك أقدم بكثير من الأنظمة الرقمية التي ابتليت بها بشكل شائع. لكن التركيز على برامج الفدية كنشاط إجرامي يتجاهل القيمة الاستراتيجية الحقيقية التي يمكن أن توفرها هذه العمليات لأصحابها. يمكن استخدام برامج الفدية للتأثيرات التخريبية دون أي رغبة حقيقية لتحقيق مكاسب مالية ( مثلا حزب الله ) ، لتقديم الدعم المالي لبرامج الأسلحة الاستراتيجية ( مثلا كوريا الشمالية ) ، وكذلك للتغطية ، إن لم يكن التشغيل المباشر ، لجمع المعلومات الاستخباراتية. يستحق هذا التأثير الاستراتيجي الأخير اعتبارًا خاصًا حيث تعمل حكومة الولايات المتحدة وحلفاؤها على مكافحة عمليات برامج الفدية بعد الارتفاع الأخير في الحوادث المبلغ عنها على نطاق واسع . قد تفشل العديد من أدوات السياسة لتحسين الأنظمة الحكومية وأنظمة القطاع الخاص وملاحقة عصابات برامج الفدية الإجرامية في معالجة مخاطر الاستخبارات الاستراتيجية التي يمكن أن تشكلها عمليات برامج الفدية. يؤدي ذلك إلى خطر تسليم معلومات قيمة للخصوم من خلال مجموعات برامج الفدية التي تعمل نيابةً عنهم أو في بعض التنسيق. يمكن أن توفر المعلومات التي تم تسليمها رؤية تشغيلية ونفوذًا استراتيجيًا للأعداء في منافسة استخباراتية مستمرة مع الولايات المتحدة وحلفائها في الفضاء الإلكتروني. تم تصميم برنامج الفدية لتشفير بيانات الهدف حتى يدفع الضحية للمهاجم فدية مطلوبة مقابل فك تشفير البيانات. يبدو أن عمليات الفدية التي يتم الإبلاغ عنها علنًا ترتكب إلى حد كبير من قبل المنظمات الإجرامية ذات الدوافع المالية. تحتوي هذه العمليات على عائق تقني منخفض للدخول ، حيث لا تتطلب مجموعات برامج الفدية الطموحة معرفة فنية واسعة لنشر برامج الفدية ، ولكن بدلاً من ذلك ، يمكنها الاعتماد على سوق ناشئ لموفري برامج الفدية كخدمة لتوفير الأدوات والتشغيل الدعم. يقود هذا السوق مجموعة متطورة من برامج الفدية لأن نجاح مجموعة واحدة يولد التقليد والتطور والمزيد من النجاح من قبل الآخرين.
أحد هذه التطورات في السنوات الأخيرة هو ظهور فيروسات الفدية المزدوجة الابتزاز. لا يهدد هذا التكتيك تشفير البيانات فحسب ، بل يهدد أيضًا سرقة المعلومات و / أو تسريبها. من المعروف أن ما لا يقل عن 16 مجموعة من مجموعات برامج الفدية قد استخدمت أسلوب الابتزاز المزدوج في عام 2020 ، مقارنة بمجموعة واحدة فقط في عام 2019. ووفقًا لتقرير واحد لعام 2021 ، زادت حالات برامج الفدية للابتزاز المزدوج بنسبة 935٪ مقارنة بالعام السابق. تحرص بعض أجهزة الاستخبارات الأجنبية على تطوير شراكات منفصلة مع مجموعات برامج الفدية ، والتي يمكن أن توفر معلومات قيمة يتم جمعها في عملية عملياتها الإجرامية. أشارت البحوث أن جهاز الأمن الفيدرالي الروسي (FSB) وخدمة الاستخبارات الأجنبية (SVR) يستفيدان من علاقات العمل الوثيقة مع العديد من مجموعات برامج الفدية الروسية. يمكن لأجهزة الاستخبارات الأجنبية سرقة ثروة من المعلومات من عمليات برامج الفدية التي لها قيمة تشغيلية واستراتيجية. هذه العمليات قد لا تسمح جمع المباشر ضد جهة حكومية ناضجة ولكن توفر سهولة الوصول إلى كيانات أقل دافع جيدا من قيمة الشخصية الملموسة مثل المستشفيات ، العاملين في مجال الصحة العقلية ، البنوك ، مختبرات الأبحاث و متعاقدين مع الحكومة . هجوم أكتوبر 2021 ببرنامج الفديةفي منظمة الأبوة المخططة في لوس أنجلوس وتسريب المعلومات اللاحق أظهر الكم الهائل من البيانات الحساسة التي يمكن لعمليات الفدية أن تسحبها من الأهداف الصحيحة - تم الكشف عن 400000 من المعلومات الشخصية للمرضى ، بما في ذلك تفاصيل التشخيص والإجراءات والوصفات الطبية.
من الناحية التشغيلية ، يمكن أن تدعم هذه المعلومات عمليات الاستخبارات الإلكترونية أو البشرية المستقبلية. على سبيل المثال ، من خلال الحصول على معلومات حول عادات الهدف وإجراءاته ، ومحتويات الاتصال وأسلوبه ، والاستقرار المالي ، والمواد التي قد تكون عرضة للخطر ، يمكن لجهاز الاستخبارات الأجنبية أن يفهم بشكل أفضل وصول الفرد ، وقابليته للتأثر ، ومدى ملاءمته للتجنيد المحتمل كأصل استخباراتي. على المستوى الاستراتيجي ، يمكن للدول الاستفادة من هذه المعلومات لتشكيل سلوكها ، والمشاركة في حملات التأثير والحصول على الملكية الفكرية لتحفيز الابتكار. على الرغم من أن حملة Sunburst للتجسس الإلكتروني ليست مثالًا على برامج الفدية ، إلا أنها أظهرت سعي روسيا النشط للحصول على المعلومات التشغيلية والاستراتيجية من خلال العمليات الإلكترونية عبر القطاعين العام والخاص. كان الحل الوسط الذي تم الإعلان عنه جيدًا لبرنامج Orion الخاص بـ SolarWinds أحد المتجهات المتعددة التي استفاد منها SVR للوصول إلى الجائزة النهائية للوكالة - بيئات Microsoft Office 365 السحابية للأهداف ذات الاهتمام. من بين الأهداف التي تم اختراقها كان كبار المسؤولين الحكوميين وقادة الصناعة - وفي حالة واحدة على الأقل - مسؤول على مستوى مجلس الوزراء الأمريكي ، تم تفريغ رسائل البريد الإلكتروني والتقويمات والملفات الخاصة بهم في الحملة الانتخابية. في أكتوبر 2021 ، أشارت التقاريرأنه من خلال حملة Sunburst ، حصل SVR على معلومات تشغيلية واستراتيجية حول تحقيقات مكافحة التجسس الأمريكية وسياسة العقوبات ضد الأفراد الروس ، على التوالي.
توفر Ransomware مزايا جديدة مقارنة بالعمليات الإلكترونية القياسية لهذا النوع من المجموعات لأن قيمتها الاستخباراتية تضيع في ضجيج صانعي السياسات القلقين بشأن الاضطرابات والتداعيات الاقتصادية. تسلط إدارة بايدن الضوء في جهودها المستمرة لمكافحة برامج الفدية على (الطبيعة المدفوعة مالياً لهذه الأنشطة) ، مستشهدة بمئات الملايين من الدولارات التي تدفعها الشركات لدفع الفدية. لم تشر الإدارة العامة إلى تهديد سرقة البيانات ، أو قيمتها الاستخباراتية الاستراتيجية المحتملة للخصوم ، أو الجهود المبذولة لمواجهتهم. من بين المزايا الأخرى التي يمكن أن توفرها برامج الفدية للأعداء ، كما يتضح من برنامج NotPetya لعام 2017 في روسياالهجوم ، يمكن أن تكون طلبات الفدية بمثابة خدعة للتستر على النوايا الحقيقية لعملية ما ، وتشتيت انتباه المدافعين ، وإفساد التعافي الجنائي. قد يكون المستجيب للحوادث المنشغل بعملية تجسس إلكتروني يتنكر في شكل برنامج فدية أبطأ في إدراك الغرض الحقيقي من العملية. ولعل الأهم من ذلك ، أن هذه العمليات تشوش على عملية الإسناد ، مما يسمح للدول بالعمل من خلال مجموعات برامج الفدية بدلاً من المخاطرة بالتعرض من خلال الانخراط المباشر في العمليات.
في علاقة بين وكالات استخبارات الدولة وبرامج الفدية ، يمكن للدول أن تقدم دعمًا سلبيًا في شكل ملاذات آمنة تشغيلية ، بشرط ألا تستهدف المجموعات الكيانات داخل أراضي الولاية. قد تقدم الدول أيضًا مساعدة أكثر نشاطًا لمجموعات برامج الفدية خلال عملياتها ، مما يوفر التوجيه وحتى الدعم الفني - مما يؤدي إلى زيادة طمس الخط الفاصل بين العمليات التي ترعاها الدولة والعمليات غير الحكومية. يمكن للشراكات بين أجهزة الاستخبارات ومجموعات برامج الفدية أن توفر لدول مثل روسيا درجة من الفصل - والإنكار المعقول - عن العمليات التي قد تبدو إجرامية ظاهريًا.
لا تحتاج خدمة الاستخبارات الأجنبية بالضرورة إلى نشر برامج الفدية بشكل مباشر أو التعاون مع من يقومون بذلك. من خلال المراقبة المشابهة لـ ( جمع الطرف الرابع )- حيث يمكن لخدمة المخابرات جمع المعلومات بشكل نشط أو سلبي على خوادم التحكم الخاصة بجهاز استخبارات أجنبي آخر للتجسس على أنشطة الجواسيس الأجانب - يمكن لأجهزة المخابرات الأجنبية الحفاظ على درجة إضافية من الفصل من خلال زيارة بئر مجموعات برامج الفدية المطمئنة. هناك ، يمكنهم التطفل على عمليات نقل مجموعات برامج الفدية ، حيث تجد هذه المجموعات أهدافًا استخبارية ذات قيمة محتملة - وإن كان ذلك عن غير قصد.
اعتبر صانعو السياسات ، إلى حد كبير ، أن الزيادة في هجمات برامج الفدية تمثل تحديًا اقتصاديًا في الغالب مع آثار تخريبية. في حين أن العديد من عمليات برامج الفدية مدفوعة ماليًا وتسبب ضررًا لا يمكن إنكاره للمؤسسات الصغيرة والمتوسطة الحجم ، يمكن لحكومة الولايات المتحدة وحلفائها اتخاذ مزيد من الإجراءات للتخفيف من القيمة الاستخباراتية الاستراتيجية لبرامج الفدية للخصوم والمخاطر المصاحبة للتخلي عن النفوذ في الفضاء الإلكتروني. كما هو موضح في تقرير مجلس الأطلسي ، مكافحة برامج الفدية: الدروس المستفادة من اختطاف الطائرات ، يجب أن تتكون إجراءات التخفيف من تدابير أمنية سلبية ونشطة لإعطاء الأولوية للأمن عبر النظام البيئي مع فرض التكاليف والبحث عن جذر المشكلة. تمثل التكلفة المنخفضة والتأثيرات الملحوظة لبرامج الفدية مجموعة من التحديات لواضعي سياسات الأمن السيبراني. إن التعرف على القيمة الاستخباراتية الإستراتيجية المحتملة لعمليات برامج الفدية على الخصوم الرئيسيين والتفاعل معها من شأنه أن يساعد في تجنب فقد تهديد خبيث للتركيز المفرط على تهديد أعلى. ونتيجة لذلك ، ستتنافس حكومة الولايات المتحدة وحلفاؤها بشكل أكثر فاعلية وسط فترة من المنافسة الاستراتيجية المتزايدة.