انتشار برمجية فدية مبنية على أداة LockBit المسربة تنتحل شخصيات موظفين
تاريخ النشر: 16th, April 2024 GMT
حافظت أداة بناء البرمجيات LockBit (المُسربة عام 2022) على تهديداتها، بعد حادث وقع مؤخراً، سلط فريق كاسبرسكي العالمي للاستجابة للطوارئ الضوء على هجوم نفذه مهاجمون عبر إنشاء نوع خاص بهم من برمجيات التشفير الخبيثة المزودة بقدرات الانتشار الذاتي. حيث قام المجرمون السيبرانيون باختراق البنية التحتية من خلال استغلال بيانات اعتماد مسروقة للمسؤولين ذوي حقوق الوصول الأعلى.
كشف الحادث الأخير الذي وقع في غينيا بيساو استخدام برمجيات الفدية المُخصصة لأساليب غير مسبوقة. ويمكن أن يؤدي ذلك إلى حدوث تأثير خطير خارج عن السيطرة، حيث تحاول الأجهزة المصابة نشر البرمجيات الخبيثة بشكل أكبر داخل شبكة الضحية. وبعد الحدث الأخير، تقدم كاسبرسكي التحليل التفصيلي للأمر.
انتحال الشخصية. بالاستفادة من بيانات الاعتماد التي حصلت عليها مصادر التهديد بطريقة غير مشروعة، قامت هذه الجهات بانتحال شخصية مسؤول النظام الذي يتمتع بحقوق وصول أعلى. ويُعد هذا السيناريو شديد الحساسية، حيث توفر الحسابات ذات حقوق الوصول الأعلى فرصاً واسعة لتنفيذ الهجوم والوصول إلى المناطق الأكثر أهمية في البنية التحتية للشركة.
الانتشار الذاتي. يمكن أن تنتشر برمجيات الفدية المُخصصة بشكل ذاتي عبر الشبكة باستخدام بيانات اعتماد ذات حقوق وصول عالية وإجراء أنشطة خبيثة، مثل تعطيل برمجية Windows Defender، وتشفير مشاركات الشبكة، ومحو سجلات أحداث نظام Windows لتتمكن من تشفير البيانات وإخفاء ما فعلته.
يؤدي سلوك هذه البرمجية الخبيثة إلى سيناريو يحاول فيه كل جهاز مُصاب إصابة جهازين آخرين داخل الشبكة.
الميّزات التكيفية. تعمل ملفات التكوين المُخصصة، بجانب الميّزات المذكورة أعلاه، على تمكين البرمجية الخبيثة من تكييف نفسها مع التكوينات الخاصة ببنية الشركة المستهدفة. وعلى سبيل المثال، يمكن للمهاجم ضبط برمجية الفدية لإصابة ملفات مُحددة فقط، مثل إصابة جميع الملفات ذات لاحقة (.xlsx) و(.docx)، كما يمكن ضبطها لاستهداف مجموعة من الأنظمة المُحددة فقط.
لاحظت كاسبرسكي أن تشغيل هذا الإصدار المُخصص في جهاز افتراضي، يتضمن قيام البرمجية بأنشطة خبيثة وإنشاء ملاحظة مخصصة على سطح المكت للمطالبة بالفدية. وفي السيناريوهات الحقيقية، تتضمن هذه الملاحظة تفاصيل عن كيفية اتصال الضحية بالمهاجمين لفك التشفير.
قال كريستيان سوزا، أخصائي الاستجابة للحوادث في فريق الاستجابة للطوارئ العالمية لدى كاسبرسكي: «تم تسريب أداة إنشاء البرمجيات الخبيثة LockBit 3.0 في عام 2022، لكن ما يزال المهاجمون يستخدمونها بنشاط لصنع إصدارات مُخصصة، فهي لا تتطلب مهارات برمجة متقدمة. تمنح هذه المرونة المعتدين فرصاً عديدة لتعزيز فاعلية هجماتهم، وتظهر الحالة الأخيرة ذلك. كما يجعل ذلك هذه الأنواع من الهجمات أكثر خطورة لدى النظر إلى الوتيرة المتصاعدة لتسريبات بيانات اعتماد الشركات.»
وجدت كاسبرسكي أن المهاجمين قد استخدموا النص البرمجي لأداة SessionGopher لتحديد واستخراج كلمات مرور الاتصالات البعيدة المحفوظة في الأنظمة المتأثرة.
كانت الحوادث المنطوية على أنواع مختلفة من الأساليب القائمة على أداة LockBit 3.0 المُسربة - لكنها تفتقد لقدرات النشر الذاتي وانتحال الهوية الموجودة في غينيا بيساو - تقع بانتظام في مختلف القطاعات والمناطق. حيث تم اكتشافها في روسيا، وتشيلي، وإيطاليا، وقد يتوسع انتشار الهجمات الجغرافي بشكل أكبر.
تُصنف مجموعة LockBit على أنها مجموعة جريمة سيبرانية تقدم برمجيات الفدية كخدمة (RaaS). وفي فبراير 2024، سيطرت عملية إنفاذ قانون دولية على نشاط المجموعة. لكن وبعد أيام قليلة من العملية، أعلنت مجموعة برمجيات الفدية بعناد عودتها إلى العمل.
توصي كاسبرسكي بالتدابير العامة التالية للتخفيف من آثار هجمات برمجيات الفدية:
• أنشئ جدول نسخ احتياطي متكرر وأجرِ اختبارات منتظمة.
• إذا وقعت ضحية لبرمجيات الفدية ولم تكن هناك برمجيات فك تشفير معروفة بعد، فاحفظ نسخة من ملفاتك المشفرة الهامة. فقد يظهر حل فك التشفير ضمن جهود الأبحاث المستمرة عن التهديدات أو إذا تمكنت السلطات من السيطرة على مصدر التهديد.
• في الآونة الأخيرة، أجرت السلطات عملية تسببت بالإطاحة بمجموعة برمجيات الفدية LockBit. وخلال العملية، حصلت سلطات إنفاذ القانون على مفاتيح فك التشفير الخاصة وأعدت أدوات فك تشفير الملفات بالاستناد على معرفات معروفة. وتساعد هذه الأدوات، التي تتضمن check_decryption_id.exe وcheck_decrypt.exe، في تقييم ما إذا كان يمكن استرداد الملفات.
• قم بتفعيل حل أمن قوي مثل Kaspersky Endpoint Security، مع التأكد من ضبطه بشكل صحيح. ضع خدمات الاكتشاف والاستجابة المُدارة (MDR) للبحث الاستباقي عن التهديدات في اعتباراتك.
• صغر مساحة سطح الهجوم الخاص بك عن طريق تعطيل الخدمات والمنافذ غير المُستخدمة.
• حافظ على تحديث الأنظمة والبرمجيات لسد الثغرات الأمنية على الفور.
• أجرِ اختبارات الاختراق ومسح نقاط الضعف بانتظام لاكتشاف نقاط الضعف وتنفيذ الإجراءات المضادة المناسبة.
• وفر تدريباً منتظماً يركز على الأمن السيبراني للموظفين لزيادة وعيهم بالتهديدات السيبرانية واستراتيجيات التخفيف من أثارها.
المصدر: بوابة الوفد
كلمات دلالية: البرمجيات افريقيا غينيا بيساو برمجيات الفدية البرمجيات الخبيثة
إقرأ أيضاً:
أوبن إيه.آي تطلق نسخة خفيفة وسريعة.. هذا الهدف منها
أعلنت شركة "أوبن إيه.آي" عن إطلاق نسخة خفيفة جديدة من أداة البحث العميق (Deep Search) في منصتها الشهيرة "شات جي.بي.تي"، لتكون متاحة لمستخدمي الإصدارات المدفوعة مثل "شات جي.بي.تي بلس"، و"شات جي.بي.تي تيم"، و"شات جي.بي.تي برو".
وتتيح هذه النسخة الخفيفة تصفح الإنترنت وجمع التقارير والمعلومات المتعلقة بالموضوعات التي يحددها المستخدم، بالاعتماد على نموذج الذكاء الاصطناعي المصغر mini 04. وعلى الرغم من أن النسخة الخفيفة ليست بنفس كفاءة النسخة الكاملة من أداة البحث العميق، إلا أن "أوبن إيه.آي"
أكدت في سلسلة منشورات عبر منصة "إكس" أن النسخة الجديدة قادرة على تقديم إجابات أقصر لكنها تحافظ على نفس مستوى العمق والجودة المتوقعة.
وتأتي هذه الخطوة في إطار سعي الشركة لتقليل تكلفة الخدمة، مما يسمح برفع حدود الاستخدام للنسخة المجانية من "شات جي.بي.تي"، ومنافسة الشركات التي تقدم خدمات بحث ذكائي منخفضة التكلفة مثل منصة "ديب سيك" الصينية.
وبحسب ما أورده موقع "تك كرانش" المتخصص في أخبار التكنولوجيا، فإنه بمجرد وصول المستخدم إلى الحد الأقصى المسموح به من استخدام النسخة الكاملة من أداة البحث العميق، سيتم تحويل الاستعلامات مباشرة إلى النسخة الخفيفة، لضمان استمرارية الخدمة دون انقطاع.
ويشهد مجال أدوات البحث الذكي تنافسًا كبيرًا خلال الأشهر الماضية، حيث أطلقت شركات التكنولوجيا الكبرى مثل غوغل أداة "جيمني"، ومايكروسوفت أداة "كوبايلوت"، إلى جانب أداة "غروك" التي طورتها شركة "إكس.أيه.آي"، التابعة لإيلون ماسك.
وتعتمد هذه الأدوات الحديثة على نماذج ذكاء اصطناعي تتمتع بقدرات منطقية وتحليلية متقدمة، تساعدها على التفكير النقدي والتحقق من صحة المعلومات أثناء عمليات البحث، وهي مهارات تعتبر حيوية لتحقيق نتائج موثوقة في البحث المتخصص والمعمق.
وأكدت "أوبن إيه.آي" أن النسخة الخفيفة من أداة البحث العميق ستكون متاحة خلال هذا الأسبوع أيضًا لمستخدمي المؤسسات الريادية والتعليمية بنفس مستويات الاستخدام المتوفرة لمشتركي "شات جي.بي.تي تيم"، في خطوة تستهدف تعزيز استفادة قطاع الأعمال والتعليم من تقنيات الذكاء الاصطناعي الحديثة.
العراق يوجه دعوة رسمية لأحمد الشرع للمشاركة في القمة العربية