رصد فيروس لمحو بيانات الشركات مع العطلة الأسبوعية المقبلة

رصدت خلال الأسبوع الماضي عينة جديدة من فيروس Disttrack الخبيث كانت تستهدف مؤسسات سعودية وخاصة شركات الطاقة، بحسب تقرير لوحدة استطلاع التهديدات الأمنية (الوحدة 42) التابعة لشركة بالو ألتو نتوركس، والذي أشار إلى أن الغرض الرئيسي من نشرها على ما يبدو هو الاستعداد للبدء في عملية محو للبيانات بتاريخ 17 ديسمبر 2016، الساعة 8:45 مساء ويتزامن هذا التوقيت مع نهاية أسبوع العمل في المملكة، وبالتالي ستتاح الفرصة أمام البرمجيات الخبيثة خلال فترة عطلة نهاية الأسبوع للانتشار في كامل الشبكة.
ونوه التقرير إلى أن هذا الفيروس استخدم في شن حملة هجمات شمعون التي استهدفت شركات الطاقة في المملكة للمرة الأولى في شهر أغسطس من العام 2012، واسفرت في حينه عن إصابة وتعطل أكثر من 30 الف جهاز.
يركز فيروس Disttrack وهو عبارة عن برامج متعددة الأغراض، بشكل رئيسي على تدمير البيانات، ومحاولة إلحاق الضرر وتدمير أكبر عدد ممكن من الأنظمة، وللقيام بهذه المهمة، تحاول هذه البرمجيات الخبيثة الانتشار والانتقال إلى الأنظمة الأخرى المرتبطة بالشبكة، وذلك باستخدام حسابات وبيانات معتمدة لمدراء ومسؤولين تمت قرصنتها.
وأوضح التقرير أن هذا الأسلوب يماثل لهجمات شمعون التي انطلقت في العام 2012، التي رافقتها قرصنة بيانات وحسابات معتمدة، وتم دمجها وبرمجتها ضمن بنية البرمجيات الخبيثة من أجل المساعدة في سرعة انتشارها.
كما يمتلك فيروس Disttrack القدرة على تحميل وتنفيذ تطبيقات إضافية على النظام، وضبط تواريخ محددة عن بعد للبدء بعملية مسح وتعطيل الأنظمة.
من جهةٍ أخرى، يستخدم فيروس Disttrack أسماء النطاقات الداخلية والحسابات والبيانات المعتمدة للدخول إلى الأنظمة المرتبطة بنفس قطاع الشبكة عن بعد، حيث تقوم بتحديد قطاع الشبكة المحلية المشترك مع النظام المستهدف (وهو ما يطلق عليه الحصول على اسم المضيف)، وذلك من خلال الحصول على عنوان بروتوكول الإنترنت IP الخاص بالنظام (وهو ما يطلق عليه اسم الاستضافة بواسطة الاسم). بعد ذلك، يتم استخدام عناوين بروتوكول الإنترنت لنظام تعداد ال 24 شبكة (x.x.x.0-255) التي يرتبط بها النظام، لتحاول البرمجية الخبيثة الانتشار والانتقال إلى هذه الأنظمة عن بعد.