كشفت بالو ألتو نتوركس، الشركة العاملة في مجال تطوير الجيل التالي من الحلول الأمنية، عن معلومات جديدة حول هجمات الفدية الخبيثة التي تم تنفيذها مؤخراً باستخدام برمجية (لوكر جوجا) LockerGoga، المسؤولة عن مجموعة من الهجمات الإلكترونية المدمرة التي استهدفت شركات صناعية ضخمة شملت إحدى أكبر شركات تصنيع الألمنيوم وهي شركة نورسك هيدرو النرويجية، فضلاً عن استهدافها لشركتي هيكسيون ومومنتيف المتخصصتين بالصناعات الكيميائية.

وكانت برمجية لوكر جوجا الخبيثة قد شنت هجومها الأول على شركة الهندسة التقنية الفرنسية ألتران تكنولوجيز، من ثم تم التعرف على أشكال عديدة من هذه البرمجية تم استخدامها لتنفيذ هجمات الفدية الخبيثة ضد شركات نورسك هيدرو وهيكسيون ومومنتيف.

وقامت بالو ألتو نتوركس بمتابعة عينات من البرمجيات الضارة التي استخدمت لتنفيذ هذه الهجمات وتوصلت إلى معلومات وأدلة تستعدي التحقق من أصل اسم التهديد الأخير. ووجدت الشركة أن اسم لوكر جوجا تم أخذه من إحدى العناوين النصية التي لم تكن موجودة ضمن شيفرة الكود المستخدمة في الهجوم الأول الذي استهدف شركة ألتران تكنولوجيز الفرنسية.

كما حددت بالو ألتو نتوركس 31 عينة أخرى من برمجيات الفدية الخبيثة التي تتشابه في سلوكها والشيفرة المستخدمة مع النسخة الأولى من برمجية لوكر جوجا. 

وتم إرسال أول نسخة معروفة من برمجية لوكر جوجا التي قامت بالو ألتو نتوركس بالعثور عليها، إلى موقع فايروس توتال VirusTotal المتخصص بفحص الملفات المشتبه بإصابتها وذلك بتاريخ 24 يناير. ويعتقد الخبراء في بالو ألتو نتوركس أن هذه النسخة قد استخدمت بالفعل في شن الهجوم على شركة ألتران تكنولوجيز الفرنسية، لكنها لم تتوصل إلى الطريقة التي أصابت بها هذه البرمجية شبكة الشركة المستهدفة، أو طريقة انتشارها ضمن الشبكة.

ولا تمتلك برمجية لوكر جوجا الخبيثة حالياً أية قدرات مشابهة لتلك التي تتمتع بها الديدان الخبيثة، والتي تسمح لها بالانتشار بشكل ذاتي عن طريق إصابة المزيد من الأجهزة المضيفة ضمن الشبكة المستهدفة. وقد لاحظت شركة بالو ألتو نتوركس أيضاً أن نشاط برمجية لوكر جوجا الخبيثة في أنحاء الشبكة يعتمد على تطبيق بروتوكول كتلة رسائل الخادم SMB، مما يشير إلى أن الجهات الفاعلة تقوم ببساطة بنسخ الملفات يدوياً بين أجهزة الكمبيوتر المستهدفة.

أما فيما يتعلق بخصائصها، فمن الملاحظ أن برمجية لوكر جوجا تحتاج إلى مجموعة من امتيازات الإدارة والتحكم التي تساعد على تنفيذ هجمات الفدية بنجاح، على الرغم من أن الآلية المحددة لتنفيذ الشيفرة البرمجية الأولية غير معروفة. ومع إطلاق البرمجية وانتشارها، تبدأ بشكل مباشر بتشفير الملفات على جهاز الكمبيوتر المصاب وأية أقراص صلبة متصلة به. وبمجرد الانتهاء من الهجوم وتنفيذه بشكل كامل، يتم ترك ملف نصي على سطح مكتب الجهاز المستهدف، بغية توضيح قيمة الفدية المطلوبة، وعنوان البريد إلكتروني للتواصل من أجل دفع الفدية وفك التشفير عن جميع الملفات المصابة.

ولا تدعم هذه برمجية لوكر جوجا أية شيفرة نشر ذاتي يمكن استخدامها لاستهداف وإصابة أجهزة مضيفة أخرى على الشبكة، إلا أنها تتطور بشكل مستمر بالإضافة إلى إطلاق نسخ جديدة محسنة منها بغرض استخدامها لاستهداف المزيد من الضحايا. وتشترك جميع هذه النسخ المعدلة بخصائص متشابهة ويحتوي كل إصدار منها على تحسينات مطورة أو قدرات جديدة تميزها عن غيرها.

تابع آخر أخبارنا على أخبار غوغول نيوز