مقدمة
في يونيو 2017 ضرب هجوم NotPetya العالم تاركًا وراءه اضطرابًا واسعًا في شركات لوجستية، ومصانع، ومطارات، ومؤسسات حكومية ومصرفية. وعلى الرغم من رسالة “الفدية”، كان الهدف الحقيقي تخريب البيانات لا ابتزاز المال، مع خسائر عالمية قُدِّرت بأكثر من 10 مليارات دولار.
شرارة الانطلاق
بدأ الانتشار عبر تحديث مُلوّث لبرنامج الحسابات الأوكراني M.E.Doc، الذي يستخدمه آلاف الكيانات. هذا التلاعب بسلسلة التوريد مكّن المهاجمين من الوصول الأولي إلى شبكات عديدة قبل بدء موجة الانتشار الشامل.
كيف انتشر بسرعة غير مسبوقة؟
- استغلال ثغرة SMB (EternalBlue): ثغرة معروفة في بروتوكول SMB سهّلت العدوى الآلية بين الأجهزة الضعيفة.
- سرقة بيانات الاعتماد: قراءة كلمات المرور من الذاكرة للانتقال أفقيًا داخل الشبكات الكبيرة.
- انتشار جانبي مكثف: مزج بين الاستغلال والاعتماديات فتحوّل إلى عاصفة شبكية داخل البيئات المؤسسية.
لماذا لم يكن “فدية” تقليدية؟
عدّل NotPetya سجل الإقلاع الرئيسي MBR وأظهر رسالة فدية ثابتة، لكن حتى لو دُفعت الفدية لا توجد آلية حقيقية لاستعادة الملفات لأن نمط “التشفير” كان تخريبيًا، ما يجعل الهدف هو التعطيل والتدمير لا الربح المالي.
الأثر العالمي
- Maersk (الشحن البحري): إعادة بناء آلاف الخوادم وأجهزة المستخدمين من نسخ سليمة.
- Merck (الأدوية) وTNT Express وجهات حيوية أخرى: تعطل واسع وخسائر ضخمة.
- توقّف مؤقت لمطارات وخدمات مصرفية وبنى حيوية في عدة دول.
الاستجابة واحتواء الضرر
- عزل قطاعات شبكية ومسح أجهزة لتفادي الانتشار.
- إعادة البناء من نسخ احتياطية سليمة (أحيانًا من مواقع بعيدة معزولة).
- تحديثات طارئة لسد ثغرات SMB، وتعزيز مراقبة سلوك الشبكة.
الدروس المستفادة
- التحديثات الأمنية أولًا: سد ثغرات معروفة مثل EternalBlue يقلل الأثر جذريًا.
- حماية سلسلة التوريد: تحديث مُزوّد واحد (M.E.Doc) أشعل أزمة عالمية.
- النسخ الاحتياطي المعزول (Offline): الضمان الذهبي للتعافي السريع.
- تحليل السلوك الشبكي: أفضل من الاكتفاء بتوقيعات البرمجيات الخبيثة.
- لا تفترض أن “الفدية = مال”: أحيانًا تكون غطاءً للتدمير.