أكد خبراء ضرورة عدم دفع الفدية المطلوبة في حال التعرض لفيروس «بيتيا»، الذي أصاب عشرات الشركات في العام بالشلل، وذلك لأنه من غير المرجح أن يتمكن هؤلاء من الحصول على مفتاح فك تشفير ملفاتهم خصوصاً، وأنه تم تجميد عنوان البريد الإلكتروني الذي أتاحه المهاجمون للضحايا، وبالتالي، فمن غير المرجح أن يتم توزيع مفتاح فك التشفير، حتى لو قام المستخدم بدفع الفدية. وأشار الخبراء إلى أن الفيروس لم يستهدف حتى الآن البنية التحتية الإلكترونية في الشركات، وأن تأثيره مقتصر على أجهزة الحاسوب التي تعمل بنظام ويندوز في الشركات الكبيرة بشكل رئيس. وفيما يبدو أن احتمالات وصول الفيروس إلى الشرق الأوسط ضئيلة، تبرز الهند كأكبر متضرر في القارة الآسيوية. تهديد محتمل وحول احتمال وصول فيروس «بيتيا» إلى منطقة الشرق الأوسط، قال كاندِد ويست، باحث في التهديدات الأمنية لدى «سيمانتِك»: «حتى الآن، تركّز تأثير «بيتيا» بشكل رئيس على الشركات العاملة في أوروبا، ولكن من المحتمل أن نرى بعض الإصابات في الشرق الأوسط أيضاً». وحول ما يمكن للشركات عمله في حال العرض لهذا الفيروس، قال ويست: «يجب على الشركات سد الثغرات الأمنية على أنظمتها، لا سيما الثغرة المعروفة باسم MS17-010، إضافة إلى تحديث برامجها الأمنية لمنع هذه الهجمات التي تهدف لانتزاع الفدية. وفي حال تم الكشف عن جهاز حاسوب مصاب، يجب عزله عن الشبكة لمنع انتشار المزيد من الإصابات. ويجب استعادة بيانات الحاسوب المصاب من النسخة الاحتياطية. وعلاوة على ذلك، يجب فحص الجهاز لفهم كيفية ظهور الإصابة، ويجب حجب المسار الذي استخدمه المهاجم لنقل الإصابة، وذلك لإيقاف أي أضرار إضافية». الظهور الأول وقال سعيد آغا مدير وحدة أعمال الحماية في «آي بي إم»، إن فيروس الفدية «بيتيا» سجّل ظهوره الأول خلال في 2016. كما أنه يتميز عن غيره من فيروسات الفدية، بأنه يقوم بتشفير سجل الإقلاع الرئيس MBR وجدول الملفات الرئيسة MFT على الأجهزة المصابة. ويتمتع «بيتيا» بخاصية فريدة، تتيح له العمل عندما يكون النظام غير متصل بالشبكة، إذ لا يتطلب اتصالاً مباشراً لخادم التحكم والسيطرة. ولفت آغا إلى أن أحد الطرق التي تسهم في نقل ونشر فيروس «بيتيا»، هي مسح منفذ بروتوكول التحكم في النقل 445 لتحديد واستهداف الآليات التي تستخدم نسخاً غير محمية من كتلة رسائل السيرفر. توقعات وأضاف: «قد تتجه العديد من الشركات إلى دفع الفدية لاستعادة أنظمتها على شبكة الإنترنت. وفي ضوء هذه الهجمة الواسعة، يبدو أن المهاجمين لم يحاولوا حتى استعادة الملفات للضحايا. وخلال المرحلة المقبلة، ستتم معالجة تجزئة الشبكة والنسخ الاحتياطية، بما يتيح مستقبلاً إمكانية استعادة الأنظمة بسرعة، ودون الحاجة للاتصال بالإنترنت عندما تكون الأنظمة محمية». مزيج خبيث من جانبه، قال لي فيشر، اختصاصي أمن في أوروبا والشرق الأوسط وأفريقيا لدى جونيبر نتوركس، إن «بيتيا» لا يعد برمجية خبيثة جديدة، فهو يجمع بين عدد من التقنيات الموجودة بالفعل، والتي تمكنه من الانتشار لدى أنظمة العملاء القابلة للاختراق، مشيراً إلى أنه شراء هذه البرمجية الخبيثة متاح لمجرمي الإنترنت كـ «خدمة»، عوضاً عن تطوير برمجيات خبيثة خاصة بهم، مؤكداً أنه لم تفلح أي فدية مدفوعة حتى الآن في فك التشفير بشكل ناجح. وأضاف: «تعد هذه البرمجيات الأكثر خبثاً وضرراً، مقارنة بمعظم أصناف الفيروسات، حيث لا يقوم «بيتيا» بتشفير الملفات على النظام المستهدف واحداً تلو الآخر فحسب، ولكنه أيضاً يشفر جدول الملف الرئيس في القرص الصلب، ما يعطل عمل سجل التشغيل الرئيس، وبالتالي، يتعذر على النظام التحميل. ونحن في «جونيبر» نواصل فحص وتحليل عينات من فيروس «بيتيا» في المختبر، ويمكننا أن تؤكد قدرتنا على اكتشاف ومنع الإصابة باستخدام تقنيات Sky ATP وID». اختراق وأكّد جيمي غراهام، مدير قسم إدارة المنتجات في «شركة كوالس»، أن «بيتيا» استغل ثغرة «إيترنال بلو» ذاتها التي استغلتها هجمة «وانا كراي»، والتي تم تطويرها من جانب وكالة الأمن القومي الأميركية، وتم تسريبها أخيراً، وعملت الهجمة الجديدة على استغلال الأذونات غير الصحيحة عبر الشبكة عن طريق الثغرة MS17-010، التي تم ترقيعها أخيراً، لذا، فإن كل إصدارات ويندوز غير المحدثة، معرضة للاختراق، ما عدا النسخة ويندوز 10. وأضاف: «في حال كان مستخدم النظام المصاب له حقوق إدارية على أنظمة أخرى، فهناك احتمال كبير أن تصاب هذه الأنظمة بدورها. ومن المستحسن جداً أن تُحصر الأذونات الإدارية للمسؤولين عن محطّات العمل فقط». ثغرة أكدت وحدة خدمات المعلومات والاستجابة للحوادث التابعة لـ «آي بي إم إكس فورس»، أن جميع النماذج الناتجة عن انتشار الهجمة الحالية، استغلت الثغرة البرمجية في «إتيرنال بلو CVE-2017-0144»، حيث سمحت هذه الثغرة بشن هجمات وتخريب النظام المستهدف.