RedAlert وMonster: عصابات الفدية الرقمية متعددة الأنظمة تزداد قوة
اكتشفت كاسبرسكي، عصابات رقمية جديدة مختصة بشنّ هجمات طلب الفدية تعلّمت طرق تكييف برمجياتها الخبيثة لتضرب أنظمة تشغيل مختلفة في الوقت نفسه، ما يجعلها قادرة على التسبب بأضرار واسعة لكثير من المؤسسات، وذلك بما يتماشى مع نهج العصابات الفدية على امتداد مختلف المنصات. وكشف تحقيق حديث أجراه خبراء كاسبرسكي عن نشاط ملحوظ للعصابتين RedAlert وMonster، اللتين تمكنتا من تنفيذ هجمات على أنظمة تشغيل مختلفة دون اللجوء إلى لغات برمجية متعدّدة المنصّات. كذلك، وجد الخبراء محاولات “استغلال في يوم واحد” يمكن أن تنفذها عصابات الفدية لتحقيق غايات مالية.
وشهد باحثو الأمن في كاسبرسكي خلال العام 2022 استغلالًا كبيرًا من قبل عصابات الفدية لوسائل المنصات المتعدّدة. وتهدف هذه العصابات اليوم إلى إتلاف أكبر عدد ممكن من الأنظمة عبر “تكييف” شيفرة برمجية خبيثة لتمكينها من ضرب العديد من أنظمة التشغيل في الوقت نفسه. و حدّدت كاسبرسكي هذه العصابات الفدية لغات متعددة المنصات Rust أو Golang – على سبيل المثال ، Luna أو BlackCat. لكن هذه المرة، تستخدم عصابات الفدية برمجيات خبيثة مكتوبة بغير اللغات متعددة المنصات، والتي ما زال بإمكانها، مع ذلك، استهداف منصات مختلفة في وقت واحد.
وتستخدم عصابة RedAlert برمجيات خبيثة مكتوبة بلغة C، مثلما اكتُشف في عينة على منصة Linux، لكن هذه البرمجية التي طورتها RedAlert تدعم بيئات ESXi. كذلك، يقدّم موقع الويب RedAlert Onion أداة لفكّ التشفير متاحة للتنزيل، إلا أنه لا تتوفّر بيانات حول ما إذا كانت مكتوبة بلغة متعددة المنصات أم لا. وثمّة جانب آخر يميّز RedAlert عن عصابات الفدية الأخرى، يتمثل في قبولها المدفوعات بعملة Monero الرقمية فقط، ما يصعّب تتبع الأموال المدفوعة على شكل فِدىً. وقد يواجه الضحايا في الأساس مشكلة في دفع الفدية، لأن هذه العملة غير مقبولة في كل البلدان وفي جميع بورصات التداول، بالرغم من أن مثل هذا النهج قد يكون معقولًا ومقبولًا للمجرمين.
واكتُشفت عصابة فدية أخرى في يوليو 2022، هي Monster، التي تستخدم لغة Delphi البرمجية المستخدمة في الأغراض العامّة لكتابة برمجياتها الخبيثة التي تستطيع أن تضرب أنظمة متعددة. وتستخدم هذه العصابة، بشكل غريب، واجهة مستخدم رسومية في برمجيتها، وهو مكوّن لم تستخدمه عصابات الفدية من قبل، ما يجعلها مختلفة عن غيرها. كذلك، نفّذ مجرمو الإنترنت هجمات ببرمجيات الفدية من خلال “سطر الأوامر” بطريقة مؤتمة أثناء شنّ هجوم موجّه مستمر. ووفقًا للعينة المستخلَصة من قبل خبراء كاسبرسكي، ضمّن كاتبو برمجية Monster الخبيثة واجهة المستخدم الرسومية فيها كمعامل سطر أوامر اختياري.
هذا، ونفذت العصابة Monster هجمات على مستخدمين في سنغافورة وإندونيسيا وبوليفيا.
ويُغطّي التقرير الذي أصدرته كاسبرسكي أيضًا ما يُسمّى بعمليات “استغلال في يوم واحد” لشنّ هجمات على الإصدارات من 7 إلى 11 من النظام “ويندوز”. ويشير مفهوم “الاستغلال في يوم واحد” عادةً إلى إمكانية استغلال ثغرة جرى تصحيحها، ويثير دائمًا مسألة “سياسة التصحيحات البرمجية” داخل المؤسسة المتأثرة. ويدور هذا المثال حول الثغرة الأمنية CVE-2022-24521 التي تسمح للمهاجمين بالحصول على امتيازات استخدام النظام على الجهاز المصاب. واستغرق الأمر المهاجمين أسبوعين بعد تصحيح الثغرة الأمنية في إبريل 2022 لتطوير عمليتي الاستغلال القادرتين، بطريقة مثيرة للاهتمام، على دعم مجموعة متنوعة من إصدارات ويندوز، ما يشير في العادة إلى حرص المهاجمين على استهداف المؤسسات التجارية. أيضًا، تشترك عمليتا الاستغلال في العديد من رسائل التصحيح البرمجي. وتتضمن إحدى الحالات المكتشفة هجمات على سلسلة متاجر في منطقة آسيا المحيط الهادئ، فيما لا توجد بيانات حول الأهداف التي سعى مجرمو الإنترنت إلى تحقيقها من سلسلة الهجمات هذه.
وقال يورنت فان در فيل الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن باحثي الشركة اعتادوا على قيام عصابات الفدية باستخدام برمجيات خبيثة مكتوبة بلغة برمجية متعددة المنصّات. لكنه أشار إلى أن مجرمي الإنترنت تعلّموا هذه الأيام كيف يضبطون شيفراتهم البرمجية الخبيثة المكتوبة بلغات بسيطة للتمكّن من شنّ هجمات مشتركة على عدة منصات، ما يجعل مختصّي الأمن يتعمقون في السبل التي تكفل لهم اكتشاف هجمات الفدية ومنعها. وأضاف: “لا بد من أن نلفت الانتباه إلى أهمية المراجعة المستمرة للسياسات المؤسسية الخاصة بتصحيح الثغرات، وتحديث هذه السياسات بما يتوافق مع التطورات الحاصلة في مشهد التهديدات الرقمية”.
ويمكن الاطلاع على التقرير الكامل على Securelist للمزيد من المعلومات عن عصابتي RedAlert وMonster وعمليات الاستغلال في يوم واحد.
وتوصي كاسبرسكي المؤسسات باتباع التدابير التالية للحماية من هجمات برمجيات الفدية:
• عدم تشغيل خدمات سطح المكتب البعيد (مثل RDP) عبر شبكات الإنترنت العامة ما لم يكن ذلك ضروريًا جدًا، مع الحرص على استخدم كلمات مرور قوية لها.
• المسارعة إلى تثبيت التصحيحات البرمجية لحلول VPN التجارية، حال إتاحتها. وتتيح هذه الحلول للموظفين إمكانية الوصول عن بُعد إلى أنظمة العمل، نظرًا لأنها تعمل كبوابات إلى الشبكات المؤسسية.
• الحفاظ دائمًا على تحديث البرمجيات على جميع الأجهزة لمنع برمجيات الفدية من استغلال الثغرات الأمنية.
• تركيز الاستراتيجية الدفاعية المؤسسية على الكشف عن الحركات الجانبية ومحاولات سحب البيانات من الشبكة إلى الإنترنت، مع الانتباه إلى حركة المرور الصادرة التي قد تكشف عن اتصالات مجرمي الإنترنت.
• إجراء نَسخ احتياطي منتظم للبيانات، والحرص على سهولة الوصول إلى النسخ الاحتياطية بسرعة في حالات الطوارئ.
• استخدام حلول مثل Kaspersky Endpoint Detection and Response Expert و Kaspersky Managed Detection and Response، للمساعدة في تحديد الهجمات وإيقافها في مراحلها المبكرة، قبل أن يبلغ المهاجمون أهدافهم.
• الحرص على توعية الموظفين في سبيل حماية البيئة المؤسسية. وتساعد الدورات التدريبية المتخصصة، كتلك المتاحة في Kaspersky Automated Security Awareness Platform، في تحقيق هذا الأمر.
• استخدم حل أمني موثوق به خاص بحماية النقاط الطرفية، مثل Kaspersky Endpoint Security for Business، المدعوم بقدرات منع الاستغلال واكتشاف السلوك الغريب وبمحرك إصلاح قادر على إلغاء الإجراءات التخريبية. ويمتلك هذا الحلّ أيضًا آليات دفاعية يمكنها منع المجرمين الرقميين من إزالته.
• استخدام أحدث معلومات التهديدات للبقاء على الطلاع على التكتيكات والأساليب والإجراءات التي تتبعها وتستخدمها الجهات التخريبية. وتقدّم بوابة Kaspersky Threat Intelligence Portal مدخلًا موحدًا إلى منصة معلومات التهديدات المتكاملة من كاسبرسكي، والتي تتيح بيانات الهجمات الرقمية والرؤى والمعلومات والتفصيلية التي جمعها فريق الشركة على مدار 25 عامًا. وتتيح كاسبرسكي المجال أمام المؤسسات للوصول إلى معلومات مستقلة ومحدّثة باستمرار من مصادر عالمية حول الهجمات الرقمية والتهديدات المستمرة، وذلك لمساعدة المؤسسات، مجانًا، على تعزيز دفاعاتها الأمنية في وسط الأوقات الصعبة التي يمرّ بها العالم حاليًا.