قد تتصدّر هجمات الفدية الإلكترونية «Ransomware» عناوين الأخبار وتبقى مصدر القلق الرئيسي لفرق تقنية المعلومات في البيئات الصناعية، إلا أن تهديداً أكثر هدوءاً وربما أكثر تدميراً بدأ في الظهور، وهو البرمجيات الخبيثة الماسحة للبيانات «Wiper Malware».

وعلى عكس برمجيات الفدية التي تسعى عادةً إلى الحصول على مقابل مالي، فإن البرمجيات الماسحة تُصمَّم بهدف تدمير البيانات والأنظمة بشكل دائم، دون ترك أي إمكانية للاستعادة أو مجال للتفاوض.

وقد حذّر مجلس الأمن السيبراني في دولة الإمارات العربية المتحدة من تنامي خطر هذه البرمجيات، مشيراً إلى أن برمجيات المسح «Wiper Malware» قد تستهدف الأفراد والمؤسسات عبر حذف البيانات أو إتلافها وتعطيل الأنظمة والخدمات.

وأوضح المجلس أن مثل هذه الهجمات قد تؤثر على الاستخدام الرقمي اليومي، واستمرارية الأعمال، والعمليات التشغيلية، خصوصاً في البيئات التي تعاني من ضعف الجاهزية أو نقص في الإجراءات الوقائية.

البرمجيات الماسحة في قطاع التصنيع: كيفية استخدامها وما الذي تدمره

تُعد برمجيات المسح من أخطر أنواع الهجمات في البيئات الصناعية، إذ يمكنها إحداث أضرار غير قابلة للإصلاح خلال دقائق معدودة.

فبينما قد تبقى الأنظمة سليمة نسبياً أثناء مفاوضات هجمات الفدية، فإن برمجيات المسح مصمّمة لتحقيق خسارة كاملة وشاملة للأنظمة والبيانات.

وفي بيئات التصنيع، يمكن لهذه البرمجيات أن:

- تمسح واجهات التشغيل البشرية «HMI» العاملة بنظام «Windows» ومحطات العمل الهندسية.

- تعطل أو تُفسد وحدات التحكم المنطقية القابلة للبرمجة PLC.

- تجعل أنظمة SCADA غير قابلة للتشغيل، مما يحرم المشغلين من رؤية العمليات والتحكم بها.

- تدمر بيانات الإنتاج والسجلات التشغيلية، ما يؤدي إلى تأخير إعادة تشغيل المصانع.

- تتسبب في مخاطر تتعلق بالسلامة إذا تأثرت أنظمة الحماية أو آليات الأمان الآلية.

الأهداف الاستراتيجية وراء استخدام برمجيات المسح

يتم نشر هذه البرمجيات لتحقيق أهداف استراتيجية متعددة، من أبرزها:

- التخريب المتعمد: قد تستخدمها جهات مدعومة بهدف تعطيل الإنتاج أو الرد على المواقف.

- التمويه والتضليل: في بعض الحالات يتم إخفاء البرمجيات الماسحة على شكل هجمات فدية بهدف تضليل التحقيقات وتعقيد تحديد الجهة المنفذة.

- طمس الأدلة الرقمية: تستخدمها مجموعات التهديدات المتقدمة «APT» لمسح الأدلة الجنائية بعد عمليات سرقة البيانات أو التجسس.

- الابتزاز المزدوج: بدأ بعض منفذي هجمات الفدية باستخدام برمجيات المسح كوسيلة عقابية عند رفض الضحايا دفع الفدية.

وفي جميع هذه الحالات، يبقى الهدف الأساسي واحداً: تدمير الأنظمة والبيانات وتقويض الثقة في العمليات التشغيلية.

كيف يمكن الدفاع ضد برمجيات المسح؟

لا يوجد حل واحد قادر على إيقاف هذا النوع من الهجمات بشكل كامل، إلا أن المؤسسات الصناعية يمكنها تقليل المخاطر بشكل كبير عبر اتخاذ مجموعة من الإجراءات الأساسية:

1. تقسيم الشبكات «Network Segmentation»: فصل شبكات التشغيل الصناعي OT عن شبكات تقنية المعلومات IT، واستخدام الجدران النارية وضوابط الوصول لمنع الحركة الجانبية داخل الشبكة.

2. نسخ احتياطية غير قابلة للتعديل وخارج الموقع: تخزين النسخ الاحتياطية بشكل غير متصل بالشبكة أو على أنظمة غير قابلة للتغيير، مع اختبار عمليات الاستعادة بانتظام وعزل بيانات اعتماد النسخ الاحتياطي.

3. أنظمة الكشف والاستجابة على الأجهزة الطرفية «EDR»: يمكن لهذه الأنظمة اكتشاف سلوكيات مثل الحذف الجماعي للملفات أو التلاعب بسجل الإقلاع الرئيسي MBR، لكن يجب اعتبارها جزءاً من دفاع متعدد الطبقات وليس وسيلة الحماية الوحيدة.

4. الاحتفاظ بالسجلات ومراقبتها: الاحتفاظ بسجلات مركزية وآمنة لكل من أنظمة OT وIT مع ضمان حمايتها من التلاعب.

5. خطط الاستجابة للحوادث: وجود خطة واضحة للتعامل مع الهجمات التدميرية، تشمل عزل الأنظمة المصابة، تفعيل استعادة النسخ الاحتياطية، إخطار الجهات المعنية، والتواصل مع الجهات القانونية أو شركات التأمين.

6. تعزيز أمن أصول التشغيل الصناعي «OT»: تطبيق مبدأ أقل صلاحية ممكنة «Least Privilege»، وتعطيل الخدمات غير المستخدمة، وتأمين محطات العمل الهندسية، وتحديث البرمجيات الثابتة Firmware كلما أمكن.

7. تدقيق وصول المورّدين: مراقبة وتقنين وصول الجهات الخارجية، إذ أصبحت سلاسل التوريد هدفاً متزايداً لنشر البرمجيات الماسحة عبر الموردين.

8. متابعة معلومات التهديدات: متابعة مؤشرات الهجمات المعروفة وحملات البرمجيات الماسحة، وفهم أساليب وتقنيات الخصوم TTPs لتحديث الضوابط الأمنية وفقاً للمخاطر الجيوسياسية المتغيرة.

وقد أصدرت دولة الإمارات العربية المتحدة تحذيراً جديداً في مجال الأمن السيبراني، نبهت فيه السكان والشركات والمؤسسات إلى تزايد مخاطر ما يُعرف ببرمجيات المسح التخريبية «Wiper Malware»، وهي من أكثر أنواع البرمجيات الخبيثة تدميراً، إذ يمكنها حذف البيانات بشكل دائم وتعطيل الأنظمة بالكامل.

وجاء هذا التحذير عن مجلس الأمن السيبراني الإماراتي، الذي دعا المستخدمين في مختلف أنحاء الدولة إلى توخّي الحذر وتعزيز ممارسات السلامة الرقمية الأساسية، في ظل استمرار تطور التهديدات السيبرانية على المستوى العالمي.