كشف موقع “بريتشسينس” (Breachsense) عن اختراق أصاب مزود خدمة الإنترنت “جي بي إس نت” (GBSNet) عن طريق مجموعة برامج فدية تعرف باسم “رانسومهوب” (Ransomhub)، والذي أسفر عن تسريب حوالي 30 غيغابايتا من البيانات الحساسة.
يُذكر أن “جي بي إس نت” هي شركة اتصالات برازيلية متخصصة في خدمات الاتصالات والإنترنت، وقد انتشر فيديو يظهر فيه الهاكر وهو يستخدم أدوات اختراق متقدمة على نظام “لينكس” (Linux) في تنفيذ اختراقه، حيث بدأ باستخدام أداة “إن ماب” (Nmap) لجمع المعلومات عن عنوان “آي بي” (IP) الخاص بمزود خدمة الإنترنت، كما اعتمد على موقع “سينسيس” (censys) لجلب معلومات إضافية عن عنوان “آي بي” والذي أظهر عنوان الموقع (gbsn.com.br) والموقع الجغرافي (ولاية بارا البرازيلية).
وبعد جمع المعلومات، انتقل إلى أداة “ميتاسبلويت” (Metasploit) -أحد أشهر الأدوات في نظام “لينكس”- واستغل ثغرة في الموقع ليحصل على كلمة المرور وصلاحيات المسؤول للولوج إلى الحاسوب الأساسي في مزود خدمة الإنترنت، ثم استخدم أداة “إكس فري آر دي بي” (xfreerdp) التي تستخدم للاتصال بسطح المكتب البعيد للتحكم في الجهاز المستهدف.
رسالة الهاكر الأولى
بعد الاختراق مباشرة غيّر الهاكر خلفية سطح المكتب إلى شاشة سوداء وفيها عبارة مكتوبة باللون الأحمر تقول “تم سرقة بياناتكم وتشفيرها، تفقد الملف النصي المرفق”، وقد أرفق عدة ملفات نصية على سطح المكتب وجاء في أحد الملفات المرفقة بعنوان “كيف تستطيعون استعادة ملفاتكم” الرسالة التالية:
“تنبيه! تم تشفير جميع بياناتكم ولا يمكنكم الوصول إليها بعد الآن، جميع ملفاتكم بما في ذلك المستندات وقواعد البيانات والصور وجميع معلوماتك الشخصية والتجارية تم تشفيرها، وأي محاولة لاستعادة الملفات قد تؤدي إلى خسارة بياناتكم بشكل دائم. نحن الوحيدون الذين نملك المفتاح لفك تشفيرها. إذا قررتم عدم دفع الفدية، ستفقدون كل شيء، وقبل اتخاذ أي قرار فكّروا في الأمور التالية:
ماذا سيظن عملاءكم عندما تنتشر معلوماتهم السرية على الإنترنت؟ هل فكرتم في الضرر الذي لا يمكن إصلاحه الذي قد يصيب سمعتكم؟ إن كشف بياناتكم علنا يمكن أن يكون كارثيا. لا تتواصلوا مع أي شركات لاستعادة البيانات لأنهم سوف يأخذون منكم مبالغ طائلة دون ضمان للنجاح ولن يتمكنوا من استعادة أي شيء بل سوف يؤذونكم أكثر.
لا تبلغوا السلطات، عاجلا أم آجلا سنكتشف إذا ما حاولتم إبلاغ الشرطة أو وكالات الأمن وإذا قررتم القيام بذلك فسوف تندمون.
المبلغ الذي نطلبه قابل للتفاوض ولكن الوقت محدود، وإذا اخترتم التفاوض يجب أن تقوموا بتثبيت تطبيق يدعى “سيشن” (Session) واتباع التعليمات.
تذكّروا: الساعة بدأت بالعد التنازلي. كلما تصرفتم أسرع كانت العواقب أقل. لا تتجاهلوا هذه الرسالة”.
الرسالة الثانية
ومن جهة أخرى، حصل موقع “رانسوم وير” (Ransomware) -المختص في تتبع هجمات برامج الفدية والإبلاغ عن ضحاياها- على رسالة أخرى من الهاكرز المسؤولين عن هجوم مزود خدمة الإنترنت “جي بي إس نت”، وجاء فيها:
“أسس موقع (جي بي إس نت) نتيجة لحاجة السوق المتزايدة في السنوات الأخيرة بسبب صعوبة الوصول إلى الإنترنت، ومع نمو المدن أصبحت الشبكات الاجتماعية وأنظمة الإنترنت والفيديوهات والبث المباشر تتطلب سرعات عالية واتصالات مستقرة، ونتيجة ذلك أصبح الوصول إلى الإنترنت خدمة أساسية. نحن هنا لتقديم تكنولوجيا متطورة واتصال مستقر وسرعة وقبل كل شيء احترام لعملائنا. نحن نفهم أن العلاقة بين المزود والعميل تتجاوز مجرد تقديم خدمة، إنها شراكة. نحن شغوفون بما نقوم به ولدينا حب عميق للتكنولوجيا، ولهذا نقدم خدمة عالية الجودة بسعر عادل.
تم تشفير جميع الملفات، تم تشفير ملفاتكم المهمة، لا توجد حاليا أي طريقة لفك تشفيرها من دون خدمتنا الخاصة لفك التشفير.
ماذا حدث؟ لقد أصبنا جهازكم ببرمجيتنا الخبيثة (رانسوم وير)، وهذا البرنامج الخبيث قام بتشفير ملفاتكم وقفلها وبالتالي منع الوصول إليها إلى حين دفع فدية.
كيف تستعيدون ملفاتكم؟ لاستعادة الملفات، عليكم الانضمام إلى دردشة التفاوض الخاصة بنا، حيث سنتوصل إلى اتفاق بشأن دفع الفدية، وقد استخرجنا بيانات مهمة مثل وثائق قانونية ومستندات شخصية وملفات إعدادات وبيانات اعتماد وصور وجداول رحلات وغيرها”، وقد أرفقوا في الأسفل صورا لهويات المالكين.
ولم يذكر موقع “جي بي إس نت” إن كان قد دفع الفدية أم لا، ولكن يتبين أن هجمات برامج الفدية من نوع “رانسوم وير” آخذة بالارتفاع لدرجة أنه خطوات الاختراق الكاملة أصبحت تنشر في فيديوهات على الإنترنت.
