Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L77
الفرق الحمراء — الهجومخبير80mL77

Ransomware — تشريح الهجوم بدل ما تخاف منه

إزاي بتدخل، إزاي بتنتشر، إزاي بتقفلها — منظور دفاعي

#Ransomware#Supply Chain#Wipers#MSP

ليه ندرس Ransomware و Supply Chain سوا؟

طب الموضوعين دول علاقتهم ببعض إيه؟

المهاجم بيشوفهم سكة واحدة.

هو مش هيدخل شركتك مباشرة لو الجدار عالي. هو هيخترق المورّد بتاعك، ويوصّلك ransomware عبر update موقّع. أنت اللي تنزّله بإيدك. والـ EDR بتاعك هيوافق لأن التوقيع الرقمي صح.

ده اللي حصل في Kaseya. ده اللي حصل في 3CX. ده اللي حصل في SolarWinds (لوحدها بشكل مختلف).

الـ ransomware النهاردة مش phishing لموظف عبيط. هو هندسة سلاسل توريد كاملة، وفلوس، وعصابات منظمة.

تشبيه — شرح مبسط
الدكتور مش هيعالج مرض من غير ما يفهم بيشتغل إزاي. الدرس ده بيفكّك بنية أخطر فئتين هجمات على الجهات الحكومية والشركات الكبيرة. الهدف وعي دفاعي بحت.
حدود واضحة
مفيش هنا كود ransomware جاهز، ولا طرق تأذية لبنية حقيقية. إحنا بنوصف الفكرة على مستوى الـ architecture عشان نبني دفاع مضاد.
غلطات الـ junior في الحماية
  • عنده backup، بس على نفس الشبكة. أول حاجة الـ ransomware بيعملها = يمسح الـ backup.
  • عنده "3-2-1 backup" بس مش بيختبر الاسترجاع. يوم الكارثة يكتشف إن الـ backup فاضي.
  • بيدفع الفدية وبيظن إن خلصت. 40% من اللي بيدفعوا بيتضربوا تاني خلال سنة.
  • مش بيختبر IR plan. أول كارثة بيكتشف إن مفيش حد عارف يكلم مين.
  • سايب RDP مكشوف للإنترنت. RDP + password ضعيف = 90% من ransomware initial access.

قصة من الواقع — Colonial Pipeline 2021

7 مايو 2021. Colonial Pipeline (45% من بنزين الساحل الشرقي الأمريكي) اتشفّرت. السكة:

  • VPN account قديم. مفيش MFA.
  • Password اتسرّب في breach قديم وفضل شغّال.
  • DarkSide (روسية) دخلت. شفّرت الأنظمة الإدارية.
  • Colonial اضطرت تقفل خط الأنابيب نفسه (مش لأن الـ malware وصله، لأن نظام الفوترة وقع).

5 ولايات أعلنت حالة طوارئ. طوابير في محطات البنزين. الرئيس بايدن خرج بتصريح قومي.

الفدية: 4.4 مليون دولار. اتدفعت. الـ FBI رجّع منها 2.3 مليون لاحقاً.

- بس استنى.. كل ده من حساب VPN واحد؟؟

بالظبط يا مستجد. مش zero-day. مش APT خرافي. password ضعيف + عدم MFA.

أرخى نقطة في المنظومة بتقفل البلد كلها.

تشريح هجوم Ransomware حديث

01
الدخول الأولي — Initial Access
غالباً عن طريق:
  • Phishing بمرفق ISO/LNK/HTML smuggling.
  • VPN/RDP مكشوف بباسوردات مسرّبة (Initial Access Brokers بيبيعوها).
  • ثغرة في edge device (Fortinet, Citrix, Ivanti, F5).
  • سلسلة توريد عبر MSP أو RMM.
02
التثبيت — Foothold
loader صغير (QakBot, IcedID, Bumblebee, Latrodectus) بيجيبلهم Cobalt Strike / Sliver beacon.
03
الاستطلاع الداخلي
AdFind, BloodHound, NetScan. بيدوّروا على: DC, backups, hypervisors (ESXi), file shares.
04
رفع الصلاحيات لـ Domain Admin
عادة خلال 24 ساعة من الدخول الأولي.
05
مسح الـ backups الأول
أخطر خطوة في الموضوع كله. بيستهدفوا: Veeam, Commvault, Rubrik, ESXi snapshots, S3 versioned buckets, shadow copies.
examples (defensive awareness)
vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
bcdedit /set {default} recoveryenabled No
esxcli vm process kill -t force -w <wid>
06
ابتزاز مزدوج/تلاتي
قبل التشفير: بيهرّبوا البيانات. وبعدين بيشفّروا. وبعدين بيهدّدوا بالنشر. أحياناً DDoS كضغط رابع.
07
تشفير جماعي
خوارزميات هجينة: ChaCha20/AES + RSA/Curve25519. الهجمات الحديثة بتشفّر جزء من كل ملف (intermittent encryption) عشان السرعة.

عائلات Ransomware الكبرى

LockBit (3.0/Black/Green)
الأكتر نشاطاً. RaaS، StealBit للتهريب، intermittent encryption.
ALPHV / BlackCat
مكتوب بـ Rust، بيستهدف ESXi/Linux كمان.
Royal / BlackSuit
ورثة Conti، بيستهدفوا الصحة والحكومات.
Akira / Play / Rhysida
موجات حديثة بتركّز على VPN و SonicWall/Cisco.

هجمات سلسلة التوريد — Supply Chain

بدل ما المهاجم يخترق هدفه على طول، بيخترق اللي الهدف بيثق فيه:

1) اختراق المورّد البرمجي

  • SolarWinds (2020) — update موقّع رسمياً وفيه SUNBURST.
  • 3CX (2023) — تطبيق desktop موقّع وفيه SmoothOperator.
  • XZ Utils (2024) — backdoor اتزرع بالتدريج عبر مساهم مزوّر في open source.

2) اختراق MSP

Kaseya (2021) — ثغرة في VSA وصّلت REvil لآلاف العملاء.

3) Dependency Attacks

  • Typosquatting — حزمة باسم قريب (colorrs بدل colors).
  • Dependency Confusion — تنشر حزمة عامة بنفس اسم حزمة داخلية.
  • Account takeover لمشرف حزمة، وبعدين نشر إصدار خبيث.

4) Build System Compromise

  • اختراق CI/CD (Jenkins, GitHub Actions, GitLab Runners).
  • سرقة code signing keys.
  • زرع باب خلفي في الـ build artifact بس (مش في الكود المصدر).

Wipers — الأخطر من Ransomware

الـ wiper شكله ransomware، بس بيدمّر البيانات بلا رجعة (مفيش مفتاح فك تشفير من الأساس). أمثلة: NotPetya, HermeticWiper, AcidRain, CaddyWiper. الدافع سياسي، مش مالي.

الحماية — خطة شاملة ضد Ransomware

  1. 3-2-1-1-0 Backup: 3 نسخ، 2 وسايط، 1 برّه الموقع، 1 offline/air-gapped/immutable، 0 أخطاء في الاختبار.
  2. Immutable backups: S3 Object Lock, Veeam Hardened Repository, Wasabi immutability.
  3. تجارب استرجاع دورية وموثّقة. مفيش "افترضنا الـ backup شغّال".
  4. تقسيم شبكة — DC / backups / hypervisors في VLANs منفصلة.
  5. MFA على كل حاجة، خصوصاً VPN, RDP, hypervisors, backup admin consoles.
  6. اقفل SMBv1 و LLMNR و NTLMv1.
  7. تصليح ESXi (إقفال SSH، execInstalledOnly=TRUE، lockdown mode).
  8. كشف مبكر: قواعد Sigma على vssadmin delete, wbadmin delete, bcdedit, esxcli vm process kill.
  9. Canary files في كل share: ملفات وهمية بتطلق إنذار أول ما حد يحاول يشفّرها.
  10. خطة استجابة معتمدة + قناة اتصال برّا الشبكة (Signal).

الحماية — ضد Supply Chain

  • SBOM لكل asset برمجي.
  • SLSA كهدف نضج.
  • Sigstore / cosign لتوقيع الـ artifacts.
  • Pin dependencies بالـ hash، مش بالاسم بس.
  • عزل CI/CD — ephemeral runners، OIDC بدل long-lived secrets.
  • Vendor risk management — استبيان أمني سنوي وحق audit.
  • راقب behavioral baselines للبرامج المثبّتة، حتى الموقّعة.
  • Network egress allow-list صارم.
اكتبها على الحيطة
توقيع رقمي شرعي ≠ ملف آمن. أي برنامج، حتى لو موقّع، لازم يبقى تحت مراقبة سلوكية.

عند الإصابة — هل تدفع الفدية؟

الموقف الرسمي
FBI / CISA / Europol / NCSC بينصحوا بعدم الدفع:
  • مفيش ضمان إنك هترجّع البيانات (40% بس من اللي بيدفعوا بيرجّعوا كل حاجة).
  • أنت بتموّل عمليات إجرامية تانية.
  • ممكن تخالف عقوبات (OFAC) لو الفاعل روسي/كوري شمالي/إيراني.
  • 40% من الضحايا بيتضربوا تاني خلال سنة.

القرار لازم يتاخد مع: legal، executive، insurance، law enforcement، DFIR retainer. مش لوحدك في غرفة.

الخلاصة الناشفة

الـ ransomware مش مشكلة malware. هي مشكلة backups + identity + segmentation.

لو ما عندكش immutable backups، أنت دافع الفدية قبل ما الكارثة تحصل.

لو MFA مش على كل VPN/RDP، أنت بس بتستنى الدور.

لو الـ backups على نفس domain اللي عليه الـ DC، الـ backup مش backup — هو ملف بحجم كبير.

اوعى تقول "عندنا backup" من غير ما تختبر الاسترجاع. ده مش backup، ده ملف بتفترض إنه شغّال.

ده مش technical لجنة IT. ده business continuity. والـ board لازم يفهم. لو ما فهمش، أنت اللي هتشرحلهم بعد الكارثة. وهو وقت غالي.

السابق
AI / LLM Security — الـ Prompt هو الباب
الوحدة التالية
University Attack Chain — هجوم A-to-Z على جامعة و IoT