انتشار برمجية فدية مبنية على أداة LockBit المسربة تنتحل شخصيات موظفين
تاريخ النشر: 16th, April 2024 GMT
حافظت أداة بناء البرمجيات LockBit (المُسربة عام 2022) على تهديداتها، بعد حادث وقع مؤخراً، سلط فريق كاسبرسكي العالمي للاستجابة للطوارئ الضوء على هجوم نفذه مهاجمون عبر إنشاء نوع خاص بهم من برمجيات التشفير الخبيثة المزودة بقدرات الانتشار الذاتي. حيث قام المجرمون السيبرانيون باختراق البنية التحتية من خلال استغلال بيانات اعتماد مسروقة للمسؤولين ذوي حقوق الوصول الأعلى.
كشف الحادث الأخير الذي وقع في غينيا بيساو استخدام برمجيات الفدية المُخصصة لأساليب غير مسبوقة. ويمكن أن يؤدي ذلك إلى حدوث تأثير خطير خارج عن السيطرة، حيث تحاول الأجهزة المصابة نشر البرمجيات الخبيثة بشكل أكبر داخل شبكة الضحية. وبعد الحدث الأخير، تقدم كاسبرسكي التحليل التفصيلي للأمر.
انتحال الشخصية. بالاستفادة من بيانات الاعتماد التي حصلت عليها مصادر التهديد بطريقة غير مشروعة، قامت هذه الجهات بانتحال شخصية مسؤول النظام الذي يتمتع بحقوق وصول أعلى. ويُعد هذا السيناريو شديد الحساسية، حيث توفر الحسابات ذات حقوق الوصول الأعلى فرصاً واسعة لتنفيذ الهجوم والوصول إلى المناطق الأكثر أهمية في البنية التحتية للشركة.
الانتشار الذاتي. يمكن أن تنتشر برمجيات الفدية المُخصصة بشكل ذاتي عبر الشبكة باستخدام بيانات اعتماد ذات حقوق وصول عالية وإجراء أنشطة خبيثة، مثل تعطيل برمجية Windows Defender، وتشفير مشاركات الشبكة، ومحو سجلات أحداث نظام Windows لتتمكن من تشفير البيانات وإخفاء ما فعلته.
يؤدي سلوك هذه البرمجية الخبيثة إلى سيناريو يحاول فيه كل جهاز مُصاب إصابة جهازين آخرين داخل الشبكة.
الميّزات التكيفية. تعمل ملفات التكوين المُخصصة، بجانب الميّزات المذكورة أعلاه، على تمكين البرمجية الخبيثة من تكييف نفسها مع التكوينات الخاصة ببنية الشركة المستهدفة. وعلى سبيل المثال، يمكن للمهاجم ضبط برمجية الفدية لإصابة ملفات مُحددة فقط، مثل إصابة جميع الملفات ذات لاحقة (.xlsx) و(.docx)، كما يمكن ضبطها لاستهداف مجموعة من الأنظمة المُحددة فقط.
لاحظت كاسبرسكي أن تشغيل هذا الإصدار المُخصص في جهاز افتراضي، يتضمن قيام البرمجية بأنشطة خبيثة وإنشاء ملاحظة مخصصة على سطح المكت للمطالبة بالفدية. وفي السيناريوهات الحقيقية، تتضمن هذه الملاحظة تفاصيل عن كيفية اتصال الضحية بالمهاجمين لفك التشفير.
قال كريستيان سوزا، أخصائي الاستجابة للحوادث في فريق الاستجابة للطوارئ العالمية لدى كاسبرسكي: «تم تسريب أداة إنشاء البرمجيات الخبيثة LockBit 3.0 في عام 2022، لكن ما يزال المهاجمون يستخدمونها بنشاط لصنع إصدارات مُخصصة، فهي لا تتطلب مهارات برمجة متقدمة. تمنح هذه المرونة المعتدين فرصاً عديدة لتعزيز فاعلية هجماتهم، وتظهر الحالة الأخيرة ذلك. كما يجعل ذلك هذه الأنواع من الهجمات أكثر خطورة لدى النظر إلى الوتيرة المتصاعدة لتسريبات بيانات اعتماد الشركات.»
وجدت كاسبرسكي أن المهاجمين قد استخدموا النص البرمجي لأداة SessionGopher لتحديد واستخراج كلمات مرور الاتصالات البعيدة المحفوظة في الأنظمة المتأثرة.
كانت الحوادث المنطوية على أنواع مختلفة من الأساليب القائمة على أداة LockBit 3.0 المُسربة - لكنها تفتقد لقدرات النشر الذاتي وانتحال الهوية الموجودة في غينيا بيساو - تقع بانتظام في مختلف القطاعات والمناطق. حيث تم اكتشافها في روسيا، وتشيلي، وإيطاليا، وقد يتوسع انتشار الهجمات الجغرافي بشكل أكبر.
تُصنف مجموعة LockBit على أنها مجموعة جريمة سيبرانية تقدم برمجيات الفدية كخدمة (RaaS). وفي فبراير 2024، سيطرت عملية إنفاذ قانون دولية على نشاط المجموعة. لكن وبعد أيام قليلة من العملية، أعلنت مجموعة برمجيات الفدية بعناد عودتها إلى العمل.
توصي كاسبرسكي بالتدابير العامة التالية للتخفيف من آثار هجمات برمجيات الفدية:
• أنشئ جدول نسخ احتياطي متكرر وأجرِ اختبارات منتظمة.
• إذا وقعت ضحية لبرمجيات الفدية ولم تكن هناك برمجيات فك تشفير معروفة بعد، فاحفظ نسخة من ملفاتك المشفرة الهامة. فقد يظهر حل فك التشفير ضمن جهود الأبحاث المستمرة عن التهديدات أو إذا تمكنت السلطات من السيطرة على مصدر التهديد.
• في الآونة الأخيرة، أجرت السلطات عملية تسببت بالإطاحة بمجموعة برمجيات الفدية LockBit. وخلال العملية، حصلت سلطات إنفاذ القانون على مفاتيح فك التشفير الخاصة وأعدت أدوات فك تشفير الملفات بالاستناد على معرفات معروفة. وتساعد هذه الأدوات، التي تتضمن check_decryption_id.exe وcheck_decrypt.exe، في تقييم ما إذا كان يمكن استرداد الملفات.
• قم بتفعيل حل أمن قوي مثل Kaspersky Endpoint Security، مع التأكد من ضبطه بشكل صحيح. ضع خدمات الاكتشاف والاستجابة المُدارة (MDR) للبحث الاستباقي عن التهديدات في اعتباراتك.
• صغر مساحة سطح الهجوم الخاص بك عن طريق تعطيل الخدمات والمنافذ غير المُستخدمة.
• حافظ على تحديث الأنظمة والبرمجيات لسد الثغرات الأمنية على الفور.
• أجرِ اختبارات الاختراق ومسح نقاط الضعف بانتظام لاكتشاف نقاط الضعف وتنفيذ الإجراءات المضادة المناسبة.
• وفر تدريباً منتظماً يركز على الأمن السيبراني للموظفين لزيادة وعيهم بالتهديدات السيبرانية واستراتيجيات التخفيف من أثارها.
المصدر: بوابة الوفد
كلمات دلالية: البرمجيات افريقيا غينيا بيساو برمجيات الفدية البرمجيات الخبيثة
إقرأ أيضاً:
طعام ولا فلوس.. المفتي يحدد طرق إخراج فدية إفطار المريض «فيديو»
كشف الدكتور نظير محمد عياد، مفتي الديار المصرية، فدية إفطار المريض في رمضان، قائلا: «الأصل في هذا الموضوع هو إخراج الفدية عن كل يوم يُفطر فيه العبد، إذ تُحسب الفدية على أساس يومي، مما يجعل الصائم يشعر بأنه يشارك في هذه العبادة المباركة».
وتابع خلال لقائه مع الإعلامي حمدي رزق، مقدم برنامج «اسأل المفتي»، المذاع على قناة «صدى البلد»: «لا حرج إذا اختار إخراجها دفعة واحدة قبل أداء عمله، فالعلماء يرون أن كلا من تقسيمها يوميا أو إخراجها مرة واحدة مباح شرعا طالما تستوفى الشروط المطلوبة».
وحول طريقة إخراج الفدية، قال الدكتور نظير محمد عياد: «الأفضل هو إخراجها على شكل طعام، وذلك لأن ذلك يُعتبر تجسيدا لمفهوم الفدية على نصها، لكن في حال كان إخراج القيمة المالية أنسب للفرد أو يخفف العبء على المحتاج، فلا حرج في ذلك، إذ إن المسألة تعتمد على ظروف وحالة الشخص المعني».
وشدد على أن كلا الطريقتين مقبولتان شرعا، وأن الغاية هي مراعاة حق الفقراء مع التزام العبد بأحكام الشريعة، والله تعالى لا يخطئ أحدا.
اقرأ أيضاًفدية الإفطار عن صوم رمضان.. على من تجب وما الفرق بينها وبين كفارة الصيام؟
حكم تعجيل فدية صيام رمضان قبل حلول الشهر الكريم
حكم صيام المسافر والحالات التي يجوز فيها الإفطار.. الإفتاء تجيب
السيسي ورئيس المجلس الأوروبي يؤكدان وحدة وسلامة واستقرار لبنان وليبيا والسودان والصومال