في 11 أغسطس 2021 فيما يلي تقرير عن حادثة برنامج الفدية التي حدثت في شركة Accenture .

1. ‫مقدمة‬
Accenture
‫واستشارات‬ ‫خدمات‬ ‫في‬ ‫متخصصة‬ ‫أيرلندا‬ ‫مقرها‬ ‫الجنسيات‬ ‫متعددة‬ ‫مهنية‬ ‫خدمات‬ ‫شركة‬ ‫هي‬
‫ًا‬‫ي‬‫حال‬ ‫لديها‬ ، ‫ككل‬ .‫المعلومات‬ ‫تكنولوجيا‬
600000
‫في‬ ‫أقصى‬ ‫كحد‬ ‫موظف‬
50
‫الخدمات‬ ‫بعض‬ ‫تشمل‬ .‫شركة‬
‫والتحلي‬ ‫الرقمي‬ ‫والتسويق‬ ‫والتكنولوجيا‬ ‫األعمال‬ ‫استراتيجيات‬ ‫؛‬ ‫تقدمها‬ ‫التي‬ ‫والعمليات‬
‫البرامج‬ ‫وتنفيذ‬ ‫الت‬
)‫خارجية‬ ‫بمصادر‬ ‫(االستعانة‬ ‫كخدمة‬ ‫وتقديم‬ ‫وتسليمها‬
.
LockBit
‫سبتمبر‬ ‫في‬ ‫مرة‬ ‫ألول‬ ‫اكتشافها‬ ‫تم‬ ‫التي‬ ‫الفدية‬ ‫برامج‬ ‫أنواع‬ ‫أحد‬ ‫هو‬
2019
‫بواسطة‬ ‫تقديمه‬ ‫ويتم‬
LockBit gang.
‫الشركا‬ ‫خالل‬ ‫من‬ ‫وتوزيعها‬ ‫الضارة‬ ‫البرامج‬ ‫بكتابة‬ ‫تقوم‬ ‫كخدمة‬ ‫الفدية‬ ‫برامج‬ ‫عصابة‬ ‫إنها‬
‫ت‬
‫عام‬ ‫في‬ .‫التابعة‬
2020
‫اإلنترنت‬ ‫شبكة‬ ‫على‬ ‫مظلم‬ ‫إعالن‬ ‫في‬ ‫إليها‬ ‫اإلشارة‬ ‫تمت‬ ‫توظيف‬ ‫لعملية‬ ‫خضعت‬ ،
‫إلى‬ ‫اسمها‬ ‫وغيرت‬
LockBit2.0.
‫هي‬ ‫الحادث‬ ‫تقرير‬ ‫أهداف‬
:
1
.
‫المنشأة‬ ‫هفوات‬ ‫تحديد‬
.
2
.
‫الضارة‬ ‫الفدية‬ ‫برامج‬ ‫تأثير‬ ‫لوحظ‬
.
3
.
‫الحاد‬ ‫لمعالجة‬ ‫اتخاذها‬ ‫يجب‬ ‫التي‬ ‫المناسبة‬ ‫اإلجراءات‬ ‫على‬ ‫اتفق‬
‫أخرى‬ ‫مرة‬ ‫حدث‬ ‫إذا‬ ‫ث‬
.

2. ‫الحادث‬ ‫معلومات‬
:
‫في‬
11
‫أغسطس‬
2021
‫أن‬ ‫تظهر‬ ‫منبثقة‬ ‫شاشة‬ ‫لوحظت‬ ،
LockBit 2.0
‫لشركة‬ ‫مملوكة‬ ‫بيانات‬ ‫أغلق‬ ‫قد‬
Accenture.
‫الشركة‬ ‫البرنامج‬ ‫منح‬
12
‫قيمتها‬ ‫فدية‬ ‫لدفع‬ ‫ساعة‬
50
‫المجموعة‬ ‫زعمت‬ .‫أمريكي‬ ‫دوالر‬ ‫مليون‬
‫يعادل‬ ‫هذا‬ ‫أن‬
6
‫س‬ ‫التي‬ ‫البيانات‬ ‫من‬ ‫تيرابايت‬
‫رقتها‬
.
‫أصدر‬ ، ‫اليوم‬ ‫نفس‬ ‫في‬ ‫ساعات‬ ‫بضع‬ ‫بعد‬
LockBit
‫من‬ ‫أكثر‬
2000
‫ًا‬‫د‬‫ج‬ ‫وجيزة‬ ‫لفترة‬ ‫المظلم‬ ‫الويب‬ ‫على‬ ‫ملف‬
.
‫تطور‬
LockBit:
‫عام‬ ‫في‬ ‫ا‬ً‫ق‬‫الح‬ ‫تطبيقه‬ ‫تم‬ ‫الذي‬ ‫التغيير‬ ‫وبالتالي‬ ‫التوظيف‬ ‫عمليات‬ ‫لبعض‬
2021
‫لـ‬ ‫ا‬ً‫ق‬‫وف‬ .
Trend Micro
،
‫من‬ ‫الجديد‬ ‫اإلصدار‬ ‫يتضمن‬
LockBit 2.0
‫مجاالت‬ ‫عبر‬ ‫لألجهزة‬ ‫ًا‬‫ي‬‫تلقائ‬ ‫ا‬ً‫تشفير‬
Windows
‫طريق‬ ‫عن‬
‫مجموعة‬ ‫سياسات‬ ‫استخدام‬ ‫إساءة‬
Active Directory
‫أنها‬ ‫لتزعم‬ ‫وراءها‬ ‫تقف‬ ‫التي‬ ‫المجموعة‬ ‫دفع‬ ‫مما‬ ،
‫المتغيرات‬ ‫أسرع‬ ‫من‬ ‫واحدة‬
‫اليوم‬ ‫السوق‬ ‫في‬
.
‫تشفير‬ ‫يتم‬ ‫؛‬ ‫ًا‬‫ي‬‫جزئ‬ ‫الملفات‬ ‫بتشفير‬ ‫ا‬ً‫ض‬‫أي‬ ‫ويقوم‬ ‫التشفير‬ ‫في‬ ‫الخيوط‬ ‫متعدد‬ ‫ًا‬‫ب‬‫أسلو‬ ‫يستخدم‬
4
‫من‬ ‫فقط‬ ‫كيلوبايت‬
‫ملف‬ ‫لكل‬ ‫البيانات‬
.
‫يقوم‬ .‫المستهدفة‬ ‫الشركات‬ ‫داخل‬ ‫من‬ ‫داخلية‬ ‫تهديدات‬ ‫لتجنيد‬ ‫محاولة‬ ‫هي‬ ‫الملحوظة‬ ‫األخرى‬ ‫الميزات‬ ‫بعض‬
‫خلفية‬ ‫بتغيير‬ ‫الفدية‬ ‫برنامج‬
‫المطلعين‬ ‫مشاركة‬ ‫كيفية‬ ‫حول‬ ‫معلومات‬ ‫مع‬ ، ‫إعالن‬ ‫إلى‬ ‫الضحية‬ ‫جهاز‬ ‫على‬ ‫الشاشة‬
‫والوصول‬ ‫االعتماد‬ ‫بيانات‬ ‫مقابل‬ ‫بالماليين‬ ‫مضمونة‬ ‫دفعات‬ ‫مع‬ ‫التوظيف‬ ‫عملية‬ ‫في‬ ‫المؤسسة‬ ‫في‬
.
‫المنهجية‬
:
‫عامة‬ ‫لمحة‬
‫الشركة‬ ‫تستخدم‬
Fortinet
‫و‬
FortiOS
‫استغالل‬ ‫خالل‬ ‫من‬ ‫العصابة‬ ‫دخول‬ ‫نقطة‬ ‫هذه‬ ‫كانت‬ .‫التحتية‬ ‫بنيتها‬ ‫في‬
‫في‬ ‫المسار‬ ‫الجتياز‬ ‫األمنية‬ ‫الثغرة‬
FortiGate SSL VPN.
‫نظام‬ ‫إصالح‬ ‫يتم‬ ‫لم‬
Accenture
‫من‬ ‫عام‬ ‫بعد‬
‫األمنية‬ ‫الثغرة‬ ‫عن‬ ‫اإلعالن‬
(CVE-2018-13379).
‫مرحلة‬ ‫بدء‬ ‫من‬ ‫أيام‬ ‫عدة‬ ‫قبل‬
‫ببوابة‬ ‫تجريبية‬ ‫اتصاالت‬ ‫المهاجمون‬ ‫أجرى‬ ، ‫الرئيسية‬ ‫الهجوم‬
VPN
‫ما‬ ‫على‬ ،
‫خادم‬ ‫على‬ ‫هجوم‬ ‫في‬ ‫المسروقة‬ ‫المصادقة‬ ‫اعتماد‬ ‫بيانات‬ ‫استخدام‬ ‫إمكانية‬ ‫من‬ ‫التحقق‬ ‫أجل‬ ‫من‬ ‫يبدو‬
VPN.
‫وقد‬
‫الحق‬ ‫وقت‬ ‫في‬ ‫عليها‬ ‫الحصول‬ ‫تم‬ ‫التي‬ ‫السجالت‬ ‫من‬ ‫هذا‬ ‫لوحظ‬
.
‫األولي‬ ‫الوصول‬
‫متعددة‬ ‫دفعية‬ ‫ملفات‬ ‫استخدم‬ .‫بالمجال‬ ‫التحكم‬ ‫وحدات‬ ‫وتحديد‬ ‫للشبكة‬ ‫التحتية‬ ‫البنية‬ ‫بتقييم‬ ‫للشبكة‬ ‫ضوئي‬ ‫ماسح‬ ‫قام‬
‫اتصاالت‬ ‫لتمكين‬ ، ‫الشركة‬ ‫تستخدمها‬ ‫التي‬ ‫األمان‬ ‫أدوات‬ ‫إلنهاء‬
RDP
‫أحداث‬ ‫سجالت‬ ‫ومسح‬ ،
Windows
‫مثل‬ ‫خدمات‬ ‫وإيقاف‬
Microsoft Exchange.
‫الجانبية‬ ‫الحركة‬

3. ‫ت‬ ‫وحدة‬ ‫في‬
.‫الشبكة‬ ‫في‬ ‫جهاز‬ ‫كل‬ ‫إلى‬ ‫وإرسالها‬ ‫إنشاؤها‬ ‫تم‬ ‫قد‬ ‫الجديدة‬ ‫المجموعة‬ ‫سياسات‬ ‫أن‬ ‫لوحظ‬ ، ‫المجال‬ ‫حكم‬
‫بتعطيل‬ ‫قيامهم‬ ‫إلى‬ ‫اإلشارة‬ ‫تمت‬
Windows Defender
‫برنامج‬ ‫وتوزيع‬
Ransomware
‫وتنفيذه‬ ‫الثنائي‬
‫بنظام‬ ‫يعمل‬ ‫جهاز‬ ‫كل‬ ‫على‬
Windows.
‫في‬ ‫التوظيف‬ ‫عن‬ ‫لإلعالن‬ ‫خلفية‬ ‫على‬ ‫العثور‬ ‫يتم‬ ‫لم‬
‫الحالة‬ ‫هذه‬
.
‫الموجودات‬
:
1
.
‫الثغرة‬ ‫من‬ ‫مسبوقة‬ ‫غير‬ ‫للشركة‬ ‫التحتية‬ ‫البنية‬ ‫كانت‬
.
2
.
‫الفدية‬ ‫برامج‬ ‫عصابة‬ ‫قبل‬ ‫من‬ ‫أيام‬ ‫قبل‬ ‫االختبار‬ ‫اتصاالت‬ ‫إجراء‬ ‫تم‬
.
3
.
‫الخوادم‬ ‫من‬ ‫فقط‬ ‫قليل‬ ‫عدد‬ ‫تأثر‬
.
‫تأثير‬
:
‫قفل‬ ‫بت‬ ‫امتداد‬ ‫إضافة‬ ‫وتم‬ ‫ًا‬‫ي‬‫جزئ‬ ‫الملفات‬ ‫من‬ ‫قليل‬ ‫عدد‬ ‫تشفير‬ ‫تم‬
.
‫وت‬ ‫الملفات‬ ‫بعض‬ ‫سرقة‬ ‫تمت‬
‫معلومات‬ ‫أي‬ ‫على‬ ‫الملفات‬ ‫تحتوي‬ ‫ال‬ .‫المظلمة‬ ‫الويب‬ ‫منتديات‬ ‫من‬ ‫العديد‬ ‫في‬ ‫سريبها‬
‫اإلخطار‬ ‫متطلبات‬ ‫إلى‬ ‫أدت‬ ‫قد‬ ‫تكون‬ ‫أن‬ ‫يمكن‬ ‫والتي‬ ‫محمية‬ ‫صحية‬ ‫معلومات‬ ‫بيانات‬ ‫أو‬ ‫شخصية‬ ‫تعريف‬
‫التنظيمي‬
.
‫تخفيف‬
:
.‫الرئيسية‬ ‫الشبكة‬ ‫عن‬ ‫المتأثرة‬ ‫الخوادم‬ ‫عزل‬ ‫خالل‬ ‫من‬ ‫الهجوم‬ ‫تأثير‬ ‫من‬ ‫الشركة‬ ‫قللت‬
‫النسخ‬ ‫باستعادة‬ ‫قاموا‬ ‫ثم‬
‫التشغيل‬ ‫تأخير‬ ‫ومنع‬ ‫األنظمة‬ ‫جميع‬ ‫تشغيل‬ ‫على‬ ‫للحفاظ‬ ‫االحتياطية‬
.
‫خاتمة‬
:
‫الخبيثة‬ ‫الدفعية‬ ‫البرامج‬ ‫الكتشاف‬ ‫المناسبة‬ ‫األدوات‬ ‫ونقص‬ ، ‫البوابة‬ ‫برنامج‬ ‫تحديث‬ ‫عدم‬ ‫بسبب‬ ‫الحادث‬ ‫وقع‬
‫الت‬ ‫تنفيذ‬ ‫تمنع‬ ‫قد‬ ‫بقائمة‬ ‫يسمح‬ ‫والذي‬ ‫ًا‬‫ي‬‫جزئ‬ ‫تكوينه‬ ‫تم‬ ‫الذي‬ ‫والبرنامج‬
‫الضارة‬ ‫طبيقات‬
.
‫توصية‬
:
1
.
‫والمخزون‬ ‫التدقيق‬
:
‫إلى‬ ‫تصل‬ ‫التي‬ ‫بها‬ ‫المصرح‬ ‫وغير‬ ‫بها‬ ‫المصرح‬ ‫البرامج‬ ‫وحدد‬ ، ‫التنظيمية‬ ‫والبيانات‬ ‫األصول‬ ‫جميع‬ ‫بجرد‬ ‫قم‬
‫العادية‬ ‫غير‬ ‫والسلوكيات‬ ‫األنماط‬ ‫لتحديد‬ ‫األحداث‬ ‫سجالت‬ ‫جميع‬ ‫راقب‬ .‫معينة‬ ‫أنظمة‬
.

4. 2
.
‫ومراقبة‬ ‫تكوين‬
‫التطبيقات‬ ‫تنفيذ‬ ‫لمنع‬ ‫بالبرامج‬ ‫تسمح‬ ‫قائمة‬ ‫على‬ ‫احصل‬ .‫والخدمات‬ ‫والبروتوكوالت‬ ‫الشبكة‬ ‫منافذ‬ ‫استخدام‬ ‫مراقبة‬
‫الضارة‬
.
3
.
‫والتحديث‬ ‫التصحيح‬
‫تحديث‬ ‫يجب‬ .‫الجهاز‬ ‫وتطبيقات‬ ‫التشغيل‬ ‫لنظام‬ ‫منتظم‬ ‫تصحيح‬ ‫وإجراء‬ ‫األمنية‬ ‫للثغرات‬ ‫دوري‬ ‫تقييم‬ ‫إجراء‬
Fortinet
‫إصدا‬ ‫أحدث‬ ‫إلى‬ ‫الحالة‬ ‫هذه‬ ‫في‬
‫ر‬
.
4
.
‫واستعادة‬ ‫حماية‬
‫المتعددة‬ ‫العائالت‬ ‫أسلوب‬ ‫تطبيق‬ .‫واالسترداد‬ ‫االحتياطي‬ ‫والنسخ‬ ‫البيانات‬ ‫حماية‬ ‫إجراءات‬ ‫فرض‬
MFA
‫جميع‬ ‫في‬
‫توافرت‬ ‫متى‬ ‫المستخدمة‬ ‫والمنصات‬ ‫األجهزة‬
.
5
.
‫ودافع‬ ‫آمن‬
‫م‬ ‫إصدار‬ ‫أحدث‬ ‫استخدم‬ .‫وحظرها‬ ‫الضارة‬ ‫اإللكتروني‬ ‫البريد‬ ‫رسائل‬ ‫لفحص‬ ‫الحماية‬ ‫وضع‬ ‫تحليل‬ ‫بإجراء‬ ‫قم‬
‫ن‬
‫اكتشف‬ .‫والشبكة‬ ‫والويب‬ ‫النهاية‬ ‫ونقطة‬ ‫اإللكتروني‬ ‫البريد‬ ‫ذلك‬ ‫في‬ ‫بما‬ ، ‫النظام‬ ‫طبقات‬ ‫لجميع‬ ‫األمان‬ ‫حلول‬
‫تلك‬ ‫مثل‬ ‫المتقدمة‬ ‫الكشف‬ ‫تقنيات‬ ‫بتمكين‬ ‫وقم‬ ، ‫النظام‬ ‫في‬ ‫مشبوهة‬ ‫أدوات‬ ‫وجود‬ ‫مثل‬ ‫للهجوم‬ ‫المبكرة‬ ‫العالمات‬
‫اآللي‬ ‫والتعلم‬ ‫االصطناعي‬ ‫بالذكاء‬ ‫تعمل‬ ‫التي‬
.
6
.
‫واختبار‬ ‫تدريب‬
‫واختبارات‬ ‫األحمر‬ ‫الفريق‬ ‫تمارين‬ ‫وإجراء‬ ‫بانتظام‬ ‫الموظفين‬ ‫لجميع‬ ‫والتدريب‬ ‫األمنية‬ ‫المهارات‬ ‫تقييم‬ ‫إجراء‬
‫االختراق‬
.
‫ايضا‬ ‫اقرأ‬
:
•
‫الضخمة‬ ‫البيانات‬ ‫تحديات‬
| BIG DATA CHALLENGE
•
RAPID APPLICATION DEVELOPMENT & WIN WIN SPIRAL APPROACH