كتب : باسل خالد - محمد العطار
كشفت شركة " بالو ألتو نتوركس " ، المتخصصة في الأمن الإلكتروني، تفاصيل عن برمجية خبيثة جديدة تدعى (بلو سكاي)، والتي تستهدف بشكل رئيسي أنظمة التشغيل ويندوز طلباً للفدية وتتبنى برمجية بلو سكاي التقنيات الحديثة لتفادي دفاعات الأمن الإلكتروني، وتقوم بتشفير بيانات المستخدم والمطالبة بفدية مقابل فك هذا التشفير، كما أنها تستخدم مسارات التنفيذ المتعددة (multithreading) لتشفير الملفات على الأجهزة بشكل أسرع.
ووجدت التحليلات التي أجرتها شركة بالو ألتو نتوركس أن برمجية بلو سكاي مرتبطة بمجموعة "كونتي" المتخصصة في هجمات الفدية، وذلك اعتمادا على تحليل عينات برمجية فيها. وتتشابه هيكلية مسارات التنفيذ المتعددة (multithreading) الخاصة ببرمجية بلو سكاي مع الإصدار الثالث من برمجية كونتي، كما أن وحدة بحث الشبكة الخاصة بها هي عبارة عن نسخة طبق الأصل منها.
من ناحية أخرى، فإن برمجية بلو سكاي تشبه إلى حد بعيد برمجية الفدية بابكو، حيث أن كلاهما يستخدم خوارزمية تشفير الملفات ChaCha20، جنبًا إلى جنب مع خوارزمية Curve25519 لتوليد المفاتيح ووفقًا للدراسة التي أجرتها شركة CloudSEK، يتم استخدام البرمجة النصية PowerShell لتنزيل برمجية بلو سكاي من موقع ويب مزيف لتشفير البيانات. وبعد نجاح عملية التشفير، تقوم برمجية بلو سكاي بإعادة تسمية الملفات المشفرة باستخدام لاحقة الملف (.bluesky) وإسقاط ملف ملاحظات الفدية المسمى (# DECRYPT FILES BLUESKY #.txt) والملف (# DECRYPT FILES BLUESKY #.html).
ويتمتع عملاء بالو ألتو نتوركس بالحماية التامة ضد برمجية بلو سكاي وغيرها من برمجيات الفدية باستخدام الجيل التالي من جدران الحماية (Cortex XDR,)، والخدمات الأمنية السحابية مثل خدمة (WildFire). ويوفر الاشتراك في خدمة الفلترة المتقدمة لعناوين المواقع الإلكترونية (Advanced URL Filtering ) تحليلات فورية لعناوين المواقع ومنع الإصابة ببرمجية برمجية بلو سكاي.