تمّ هذا الاكتشاف من قِبل باحثي الأمن في Guidepoint Security. في بيان نُشر في 5 أغسطس، أفادوا عن هذا التهديد، المعروف باسم Akira، وكيف يُمكنه تعطيل برنامج مكافحة الفيروسات في الويندوز ومهاجمة جهاز الكمبيوتر الخاص بك. تُعدّ برامج الفدية مشكلة واسعة الانتشار على الإنترنت، وهدف مُجرمي الإنترنت هو تشفير الملفات أو قفل نظامك، وطلب فدية مقابل إعادة استخدامه.
اكتشف باحثو الأمن أن برنامج الفدية هذا يستغل برنامج تشغيل أصلي لتحسين أداء وحدة المعالجة المركزية من Intel لتعطيل برنامج Microsoft Defender. برنامج التشغيل هذا هو rwdrv.sys. يمكن استخدامه لتحميل برنامج تشغيل ثانٍ، hlpdrv.sys، وهو أداة خبيثة، والتحكم في برنامج مكافحة الفيروسات.
عند تشغيل برنامج التشغيل الثاني هذا، الذي يُسجل نفسه كخدمة، فإنه يُعدّل إعداد Windows Defender DisableAntiSpyware في REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware. ويتم ذلك عن طريق تشغيل regedit.exe، الذي يُعدّل سجل Windows.
يؤكد تقرير Guidepoint Security اكتشاف هذه التقنية في هجمات برامج الفدية Akira منذ 15 يوليو 2025. وتؤكد مصادر القياس عن بعد SonicWall، في تقرير التهديدات للربع الثالث من عام 2025، هذا النشاط، حيث سجلت 47 حادثة استغلال نشطة حتى الآن، مع زيادة بنسبة 30% في الأسبوع الماضي.
يستخدمون أساليب مختلفة لإصابتك بهذا النوع من البرامج الضارة. من أشهرها التلاعب بنتائج محركات البحث (SEO)، والذي يتضمن استخدام صفحات خبيثة، أو مهاجمة صفحات شرعية، لإعادة توجيه الضحية إليها. تظهر هذه الصفحات ضمن نتائج البحث الأولى، ما يدفع الضحية إلى النقر عليها. وبمجرد وصولها، تُنزّل ملفات احتيالية.
لحماية نفسك، من المهم جدًا توخي الحذر الشديد عند تنزيل الملفات وتثبيت البرامج. من المهم دائمًا القيام بذلك من مصادر رسمية. لا تُثبّت أي تطبيق من مواقع خارجية، فقد تكون مزيفة وتحتوي على برامج ضارة، مثل برنامج الفدية Akira.
ليست هناك تعليقات:
إرسال تعليق