برامج الفدية على نظام التشغيل Linux
شركة تشيك بوينت للأبحاث عامة دراسة مقارنة حول هجمات برامج الفدية على نظامي التشغيل Linux وWindows وفي هذا يظهر اتجاه مهم وهو تزايد الهجمات على أنظمة لينكس.
في دراستهم الأخيرة، CPR يكشف عن اتجاه ملحوظ نحو التبسيط داخل عائلات برامج الفدية التي تستهدف Linux، مع تقليل الوظائف الأساسية إلى عمليات التشفير الأساسية التي تسمح بأن تكون هذه التهديدات غير محسوسة ويصعب اكتشافها.
انتي زيادة هجمات برامج الفدية على Linux في السنوات الأخيرة (خاصة على أنظمة ESXi)، وتحدد الدراسة مقارنات بين التقنيات تم الكشف عن التشفير بين Windows وLinux وتفضيل خوارزميات ChaCha20/RSA وAES/RSA في برامج الفدية على Linux.
في الوقت الحاضر إن قراءة أو سماع أخبار حول هجوم برامج الفدية على Linux ليس أمرًا شائعًا، كما هو الحال تاريخيًا، ركزت تهديدات برامج الفدية بشكل أساسي على بيئات Windows. وليس لأن Linux آمن بنسبة 100% (لأنه في الواقع ليس كذلك ولن يكون هناك أي نظام كذلك)، ولكن لأن Windows هو نظام "أكثر تجارية" ويهيمن على سوق أنظمة سطح المكتب، فعادةً ما يكون ذلك هدفًا رئيسيًا للمتسللين.
ومع ذلك، مع تطور المشهد، برنامج الفدية Linux يكتسب المزيد من الأرض. هذا ما يخبرنا به CPR في دراستها، والتي تذكر أنها قامت بتحليل 12 عائلة من برامج الفدية التي تستهدف أنظمة Linux مباشرة أو لديها إمكانات مشتركة بين الأنظمة الأساسية تسمح لها بإصابة كل من Windows وLinux.
إحدى ميزات برامج الفدية على Linux هي بساطتها النسبية مقارنة بنظيراتها في Windows. تركز العديد من تهديدات Linux هذه على OpenSSL.
الصورة 1: عائلات برامج الفدية لنظام التشغيل Linux.
الصورة 2: عائلات برامج الفدية لنظام التشغيل Windows
في الصور التي شاركتها CPR، يمكننا ملاحظة التطور التاريخي لبرامج الفدية، حيث يعود تاريخ أول عينة يمكن التعرف عليها إلى عام 1989 وتأثرت بنظام Windows. لم يكن الأمر كذلك حتى عام 2015، مع Linux.Encoder.1، الذي اكتسبت فيه برامج الفدية على Linux قوة جذب.
التحليل الإنعاش القلبي الرئوي يكشف عن ميل واضح نحو التبسيط من عائلات برامج الفدية على Linux. هذه الظاهرة ويتميز بتقليص الوظائف الأساسية لعمليات التشفير الأساسية، ويعتمد بشكل كبير على التكوينات والبرامج النصية الخارجية. هذه الإستراتيجية لا تجعل اكتشافها صعبًا فحسب، بل تعني أيضًا قضاء وقت كبير في التعرف عليها. تسلط الدراسة الضوء على استراتيجيات معينة، خاصة فيما يتعلق بأنظمة ESXi، مع الإشارة إلى أن نقاط الضعف في الخدمات المكشوفة تشكل ناقلات الهجوم الرئيسية.
تظهر برامج الفدية التي تستهدف Linux اختلافات ملحوظة من حيث الأهداف والضحايا مقارنة بنظرائهم الذين يعملون بنظام Windows. بينما يهيمن Windows على أجهزة الكمبيوتر الشخصية ومحطات العمل للمستخدمين، فإن Linux يسود في العديد من تطبيقات الخوادم. في هذا السياق، تتركز برامج الفدية على Linux في الغالب على الخوادم التي يمكن الوصول إليها بشكل عام أو تلك الموجودة على الشبكة الداخلية، غالبًا ما يستغل نقاط الضعف الناتجة عن العدوى في أنظمة Windows.
ويعكس هذا الوضع اتجاهاً واضحاً: تم تصميم برامج الفدية على Linux بطريقة استراتيجية للغاية للشركات المتوسطة والكبيرة، على عكس التهديدات الأكثر انتشارًا التي تشكلها برامج الفدية على نظام التشغيل Windows. تؤثر الهياكل الداخلية المحددة لكلا النظامين أيضًا على أساليب المهاجمين في اختيار المجلدات والملفات التي سيتم تشفيرها. غالبًا ما تحذف عينات Linux الدلائل الحساسة لمنع تلف النظام. وهذا يؤكد الطبيعة المعقدة والمحددة لبرامج الفدية على Linux مقارنةً بنظيراتها في Windows.
الأهداف الرئيسية للدراسة الإنعاش القلبي الرئوي كان لفهم أفضل منها الرئيسية دوافع تطوير برامج الفدية التي تستهدف Linux بدلاً من Windowsوالذي كان دائما الهدف الرئيسي حتى الآن. كما هدفت إلى التعرف على أوجه التشابه والاختلاف الرئيسية بين برامج الفدية التي طورتها هذه العائلات ومقارنتها ببرامج الفدية التي تم تطويرها لأنظمة مايكروسوفت.
Lالدافع الرئيسي والأبرز هو بلا شك الخاص الاهتمام بأنظمة المحاكاة الافتراضية ESXi. في الواقع، من خلال مهاجمة هذه الأنظمة، يمكن للمهاجمين أن يكون لهم تأثير كبير على خدمات وأجهزة متعددة (جميعها افتراضية باستخدام هذه التقنية) من خلال التركيز فقط على خادم ESXi هذا بدلاً من محاولة الانتقال إلى عدة أجهزة كمبيوتر وخوادم مختلفة تعمل بنظام Windows.
ربما يكون هذا هو السبب وراء ميل الغالبية العظمى من عائلات برامج الفدية التي تستهدف نظام التشغيل Linux، على الرغم من وجود إمكانات قليلة جدًا خارج نطاق التشفير نفسه، إلى تنفيذ أوامر محددة تهدف إلى التفاعل مع البرامج الضارة.
أخيرًا إذا كنت كذلك مهتم بمعرفة المزيد عنها، يمكنك التحقق من التفاصيل في الرابط التالي.