كاسبرسكي تكتشف برامج فدية جديدة تستخدم ميزة BitLocker لتشفير بيانات الشركات
تاريخ النشر: 30th, May 2024 GMT
اكتشفت كاسبرسكي هجمات برامج فدية تستخدم BitLocker من Microsoft لمحاولة تشفير ملفات الشركات. حيث تزيل مصادر التهديد خيارات الاسترداد لمنع استعادة الملفات، وتستخدم نصاً برمجياً خبيثاً مع ميزة جديدة تمكنه من اكتشاف إصدارات نظام Windows محددة وتمكين BitLocker وفقاً للإصدار. سميت هذه البرمجية «ShrinkLocker»، وقد تم ملاحظتها مع مشتقاتها في المكسيك وإندونيسيا والأردن.
وفقاً لتقارير فريق كاسبرسكي للاستجابة للطوارئ العالمية، تستعمل مصادر التهديد لغة VBScript - وهي لغة برمجة تستخدم لأتمتة المهام على أجهزة الحاسوب العاملة بنظام Windows - لإنشاء نص برمجي خبيث بميزات غير معروفة مسبقاً لزيادة الضرر الناجم عن الهجوم إلى أقصى حد. لكن الجديد هو أن النص البرمجي يتحقق من الإصدار الحالي المثبت من نظام Windows ويفعّل ميزات BitLocker وفقاً لذلك. وبهذه الطريقة، يُعتقد أن البرنامج النصي قادر على إصابة الأنظمة الجديدة والقديمة بداية من نظام Windows Server 2008.
عندما يكون إصدار نظام التشغيل ملائماً للهجوم، يغيّر النص البرمجي إعدادات الإقلاع ويحاول تشفير محركات الأقراص بأكملها باستخدام BitLocker. فينشئ تقسيمة إقلاع جديدة، أي أنه يعد قسماً منفصلاً على وحدة تخزين الحاسوب المتضمن ملفات لإقلاع نظام التشغيل. ويهدف هذا الإجراء إلى تقييد الضحية في مرحلة لاحقة. كذلك، قام المهاجمون بحذف الحماية المستخدمة لتأمين مفتاح تشفير BitLocker حتى لا يتمكن الضحية من استعادتها.
عند إتمام الخطوات السابقة، يرسل النص البرمجي الخبيث معلومات حول النظام ومفتاح التشفير الذي أُنشئ على الحاسوب المخترق إلى الخادم الذي يتحكم فيه مصدر التهديد. بعد ذلك، يغطي مساراته عن طريق حذف السجلات والملفات المختلفة التي تعمل كتلميح وتساعد في التحقيق في الهجوم.
كخطوة أخيرة، تفرض البرمجيات الخبيثة إيقاف تشغيل النظام - وهي قدرة يجري تسهيلها من خلال إنشاء الملفات وإعادة تثبيتها في تقسيمة إقلاع منفصلة. ترى الضحية شاشة BitLocker مع هذه الرسالة: «لا توجد خيارات استرداد BitLocker أخرى على حاسوبك.»
الرسالة التي تظهر على شاشة الضحية بعد الإيقاف القسري لتشغيل النظام
أطلقت كاسبرسكي على النص البرمجي تسمية «ShrinkLocker» لأن هذا الاسم يسلط الضوء على الإجراء الخطير لتغيير حجم القسم، والذي كان ضرورياً للمهاجم لضمان تمهيد النظام بشكل صحيح مع الملفات المشفرة.
يوضح كريستيان سوزا، أخصائي الاستجابة للحوادث في فريق كاسبرسكي للاستجابة للطوارئ العالمية، بالقول: «ما يثير القلق بشكل خاص في هذه القضية هو أن أداة BitLocker، المصممة في الأصل للتخفيف من مخاطر سرقة البيانات أو انكشافها، قد أُعيد استخدامها من قبل المخترقين لتحقيق غايات خبيثة. إنها لمفارقة قاسية أن يجري تسليح إجراء أمني بهذه الطريقة. بالنسبة للشركات التي تستخدم BitLocker، من الضروري ضمان كلمات مرور قوية وتخزين آمن لمفاتيح الاسترداد. كما تعد النسخ الاحتياطية المنتظمة، التي تُحفظ في وضع عدم الاتصال والمختبرة، ضمانات أساسية كذلك.»
التحليل الفني المفصل للحادث متاح على Securelist. يوصي خبراء كاسبرسكي بتدابير الوقاية التالية لمنع المهاجمين من استغلال الميزة الموضحة في التقرير:
استخدم برنامج أمان قوي تم تكوينه بشكل صحيح للكشف عن التهديدات التي تحاول إساءة استخدام BitLocker. طبّق حلول الاكتشاف والاستجابة المُدارة (MDR) للبحث عن التهديدات بشكل استباقي.
قيّد امتيازات المستخدم لمنع التمكين غير المصرح به لميزات التشفير أو تعديل مفاتيح التسجيل.
فعّل تسجيل حركة مرور الشبكة ومراقبتها، والتقاط كل من طلبات GET وPOST، حيث قد تنقل الأنظمة المصابة كلمات المرور أو المفاتيح إلى مجالات المهاجمين.
راقب أحداث تنفيذ VBScript وPowerShell، واحفظ النصوص البرمجية والأوامر المسجلة في مستودع خارجي للاحتفاظ بالنشاط حتى عند الحذف المحلي.
المصدر: بوابة الوفد
كلمات دلالية: نظام Windows
إقرأ أيضاً:
نجل شقيق الضحية الثانية لسفاح الإسكندرية يكشف التفاصيل الأخيرة في حياتها: «كانت واعية وحنونة»
ما زالت قضية سفاح الإسكندرية تثير الرأي العام، خاصة مع تزايد الكشف عن تفاصيل جديدة حول ضحاياه، وفي هذا السياق، التقت بوابة «الأسبوع» مع نجل شقيق تركية عبد العزيز رمضان، الضحية الثانية للسفاح، الذي روى اللحظات الأخيرة قبل اختفائها والعثور على جثمانها في إحدى الشقق بمنطقة المعمورة البلد.
اختفاء غامض وتحقيقات متواصلة
أوضح محمد عبد الله، نجل شقيق الضحية، أن عمته تغيبت منذ 21 أكتوبر 2024، ما دفع العائلة إلى تقديم بلاغ رسمي، حيث تحركت الجهات الأمنية للبحث عنها دون جدوى. وبعد أشهر من الغموض، تم العثور على جثمانها داخل شقة سكنية في المعمورة، في واقعة هزت الجميع.
تفاصيل مؤلمة تكشفها التحقيقات
كشف عبد الله أن عمته كانت تعاني من مشكلات مع أحد السماسرة، ما دفعها للاستعانة بالمحامي نصر الدين السيد إسماعيل، الذي تبين لاحقًا أنه المتهم الرئيسي في القضية. وأوضح أن المتهم احتجزها داخل شقة في العصافرة لأكثر من أربعة أشهر، مستغلًا سيدة منتقبة لسحب معاشها الشهري حتى استنفد جميع مدخراتها. وعندما نفدت أموالها، قرر التخلص منها بوحشية.
محاولات البحث وتفاصيل الجريمة
أشار نجل شقيق الضحية إلى أن العائلة كانت تترقب جلسة قضائية لها يوم 3 ديسمبر 2024، إلا أنها لم تحضر ولم يتمكنوا من العثور على المحامي المتهم. وبعد تتبع تحركاتها، تبين أن معاشها يُسحب شهريًا رغم اختفائها، ما أثار الشكوك حول مصيرها. وبعد يومين فقط، اكتشفت السلطات جثمانها في شقة المحامي بالمعمورة، ليُكشف النقاب عن واحدة من أبشع الجرائم.
"كانت واعية وحنونة.. ولم تكن سهلة الاستغلال"
أكد عبد الله أن عمته كانت شخصية قوية، معروفة بوعيها وشهامتها، ولم تكن من السهل استغلالها، لكنها وقعت ضحية لخدعة المحامي، الذي تظاهر بمساعدتها قبل أن ينهي حياتها. وأضاف: "عُرفت بطيبتها وأخلاقها الحميدة، ولم يصدر عنها أي تصرف غير لائق طوال حياتها".
المطالبة بالقصاص من القاتل
اختتم عبد الله حديثه بمطالبة الجهات المختصة بإعدام المتهم، ليكون عبرة لكل من تسول له نفسه ارتكاب مثل هذه الجرائم. وقال: "هذا الشخص لم يقتل نفسًا واحدة، بل ثلاث أرواح، بدافع الطمع، مستغلًا مهنته كمحامٍ لارتكاب جرائمه المروعة".
فريدة سيف النصر: الست لو عدت الـ 60 سنة من حقها تقلع الحجاب شرعًا