تطور الجرائم الإلكترونية: 5 عصابات لبرامج الفدية يجب الانتباه إليها في عام 2021

أثبت عام 2020 أنه عام مليء بالتحديات للأمن السيبراني.

وبينما كان العالم في حالة اضطراب، كانت الجريمة السيبرانية في ازدياد، حيث استهدفت مجموعات القراصنة بشكل خاص الشركات التي تمر بتحولات غير آمنة إلى العمليات الرقمية.

 كشف التحقيق الأخير الذي أجرته BlackFog في حالة برامج الفدية عن إحصاءات صادمة – حيث كانت الصناعة الأكثر استهدافا هي القطاعات الحكومية في جميع أنحاء العالم ، تليها عن كثب قطاع التعليم وصناعة الخدمات.

يبلغ متوسط الهجمات البارزة التي يتم الإبلاغ عنها كل شهر 20 – ولا يظهر إيقاع الجرائم الإلكترونية العالمية أي علامات على التباطؤ.

وفقا لتقرير BlackFog ، فإن التهديدات الخمسة الأولى لهذا العام حتى الآن هي:

  • ريفيل
  • كونتي
  • دارك سايد
  • كلوب
  • إيغريغور

في مدونة اليوم ، سنعرفك على مجموعات برامج الفدية هذه وأهدافها السابقة وطرق عملها.

  1. ريفيل (ويعرف أيضا باسم سودينوكيبي) REVIL ( SODINOKIBI)

ظهر REvil لأول مرة في عام 2018 ، حيث عمل مع مجموعة أخرى للجرائم الإلكترونية – GandCrab. في ذلك الوقت، كانت المؤسسة تركز على توزيع برامج الفدية من خلال الإعلانات والأدوات الضارة التي تصيب الأنظمة من خلال التنزيلات من محرك الأقراص. 

ومنذ ذلك الحين تم توحيدهم في مجموعة نخبة من برامج الفدية تشتهر بحصاد كميات هائلة من البيانات واستهداف التكتلات الكبيرة من أجل طلب فدية بملايين الدولارات.

اختصارا ل “Ransomware Evil” ، تعد عصابة REvil Ransomware صاحبة الرقم القياسي الحالي لأكبر طلب على الفدية حتى الآن – حيث طلبت 50 مليون دولار من  Acer في مارس من عام 2021!

وتشمل قضايا REvil الأخرى: الهجوم على شركة معالجة اللحوم الأمريكية JBS Foods (التي جلبت لهم ربحا قدره 11 مليون دولار) ، ومؤخرا ، باستخدام برنامج إدارة تكنولوجيا المعلومات Kaseya لتوزيع هجمات مدمرة على أكثر من 1000 شركة قبل عطلة نهاية الأسبوع في 4 يوليو.  

تعتمد المجموعة على تكتيكات هجومية مجربة وحقيقية تشمل التصيد الاحتيالي واستغلال بروتوكول سطح المكتب البعيد (RDP). كما لوحظت عدة طرق فريدة أخرى للدخول، مثل:

  • مرفقات البريد الإلكتروني الضارة
  • ملفات ZIP الضارة
  • استغلال الثغرات الأمنية في الأجهزة
  • ثغرة الخادم واستغلال امتيازات المستخدم

بمجرد إدارة أي من هذه الطرق بنجاح ، يتم إنشاء موطئ قدم داخل الشبكة باستخدام منارة Cobalt Strike. بمساعدة العديد من الأدوات الأخرى ، مثل TCP View أو Bloodhound أو ProcessHacker ، على سبيل المثال لا الحصر ، يتم تمكين الجهات الفاعلة من تحقيق نظرة ثاقبة على الأعمال الداخلية للشركة ، واستخدام المعلومات التي تم جمعها لمصلحتهم الخاصة.

2. كونتي CONTI (ويعرف أيضا باسم WIZARDSPIDER)

على عكس المثل العليا ل DarkSide ، تتخذ Conti النهج المعاكس تماما في اختيار الهدف.

أمضت المجموعة عام 2020 في مهاجمة هياكل القطاع العام الحيوية  – مراكز الرعاية الصحية والخدمات الطبية الطارئة وناقلات الإرسال 911 – مما دفع بالو ألتو نتوركس إلى تسميتها واحدة من أكثر عصابات برامج الفدية التي تعمل حاليا بلا رحمة.

كان هجومهم الأكثر شهرة حتى الآن هو تسلل مسؤول الخدمات الصحية الأيرلندية (HSE) في مايو من هذا العام ،  مما تسبب في العديد من الاضطرابات الخطيرة في الخدمة مثل منع موظفي المستشفى من الوصول إلى رسائل البريد الإلكتروني الخاصة بهم ، وإلغاء مواعيد الأشعة السينية ، وإبطاء عمليات البطاقة الطبية وتطبيقات بطاقة زيارة الطبيب العام.

وكانت قضية كونتي البارزة الأخرى هي اختراق نظام مدارس مقاطعة بروارد العامة (فلوريدا) ، وطلب فدية بقيمة 40 مليون دولار.

تشترك Conti أيضا في نموذج تشغيل RaaS – مع بقاء وسائل التوزيع الخاصة بها دون تغيير إلى حد كبير منذ ظهورها لأول مرة على الساحة.

الخطوة الأولى هي رسالة بريد إلكتروني للتصيد الاحتيالي ، تحتوي على رابط يرسل الضحية إلى مستند Google Drive ، والذي يحتوي على الحمولة. بمجرد تنزيل المستند ، تقوم البرامج الضارة الموجودة بداخله بتوصيل جهاز الضحية المطمئن بخادم القيادة والتحكم في Conti. يسمح استخدام تقنية تعدد مؤشرات الترابط لبرامج Conti الضارة بالانتشار بسرعة داخل الشبكة المخترقة ، مما يعرض أكبر قدر ممكن من المعلومات المهمة للخطر.

يعتمد كونتي على تقنية الابتزاز المزدوج ، حيث يقدمون بيانات مخترقة لفك تشفيرها مقابل فدية. ومع ذلك ، إذا لم يتم دفع الفدية على الفور ، فستتبع ذلك تهديدات بنشر بيانات حساسة.

Conti Broward County Public Schools Florida system

 

3. دارك سايد DARKSIDE

على الرغم من أنها مجموعة جديدة نسبيا ، ظهرت في البداية على الساحة في أغسطس 2020 ، إلا أن DarkSide سرعان ما صنعت اسما لنفسها مع هجوم Colonial Pipeline في  وقت سابق من هذا العام.

مثل Egregor ، تعمل مجموعة برامج الفدية هذه (المتعلقة بروسيا وفقا لتحقيقات Varonis) أيضا وفقا لنموذج RaaS. ومرة أخرى، هذا يعني أن تكتيكات التسليح والنشر الخاصة بهم تختلف، وبالتالي قد يكون من الصعب التنبؤ بها ومنعها. 

ومع ذلك ، فإن الخصومات الأخيرة من قبل McAfee استنادا إلى حملات RaaS الأخرى ، تشير إلى أن DarkSide تستخدم استراتيجية من أربع نقاط في هجماتها:

  1. فحص الثغرات الأمنية المحتملة على الخوادم أو RDP
  2. إنشاء رأس شاطئ في الشبكة المخترقة
  3. استخدم أدوات مثل Empire أو Mimikatz أو IE / FireFox لتفريغ كلمات المرور للحصول على مزيد من الوصول
  1. تحديد الأجزاء الأكثر أهمية في النظام واستغلالها

كما هو الحال مع جميع مجموعات برامج الفدية الأخرى ، فإن المفتاح هو ، في معظم الأحيان ، نقطة الدخول الأولية – وبعد ذلك يصبح من السهل بشكل متزايد الحصول على امتياز الوصول وحصاد البيانات.

كانت النوايا المبكرة ل DarkSide هي تصوير أنفسهم على أنهم “روبن هود” شاذ بين أقرانهم ، معلنين في بياناتهم الافتتاحية أنهم يفضلون عدم مهاجمة البنى التحتية الحيوية ذات الأهمية العامة مثل المستشفيات والمدارس والمنظمات غير الربحية.

في هذا الجهد لتقديم نفسها كمجموعة جرائم إلكترونية واعية اجتماعيا ، تبرعت DarkSide للجمعيات الخيرية عدة مرات ، وأصدرت بيانات علاقات عامة تعلن عن أحدث طموحاتها ، ولديها أيضا قسم “خدمة العملاء” ، الذي يساعد ضحاياهم بمجرد دفع الفدية.

4. كلوب (ويعرف أيضا باسم فانسيكات) CLOP (FANCYCAT) 

بدأت الهجمات التي شنتها هذه المجموعة التي تتخذ من أوكرانيا مقرا لها في عام 2019 عندما استهدفت أربع شركات كورية وقامت بتشفير أكثر من 800 خدمة داخلية وأجهزة كمبيوتر شخصية.  وتشمل الحالات البارزة الأحدث المرتبطة ب Clop – أو Cl0p ، كما ترون في بعض الأحيان   – شركة الأدوية الأمريكية ExecuPharm ومؤسسة التجارة الإلكترونية الكورية E-Land.

كما استهدفت كلوب عملاق التكنولوجيا الألماني Software AG. أصبحت هذه القضية تاريخا لأن المجموعة طالبت بفدية تزيد عن 20 مليون دولار – والتي رفضت شركة Software AG دفعها. لم يؤت تصميمهم ثماره ، حيث قامت الشركات التابعة ل Clop بالانتقام من خلال نشر المعلومات السرية للشركة على الويب المظلم. 

لا تظهر أنشطة كلوب أي علامات على التوقف – بدلا من ذلك ، يبدو أنها تتسارع. من بين إجمالي ضحاياهم البالغ عددهم 53 ، كان 35 منهم هذا العام فقط!

وحتى مع اعتقال العديد من أعضاء عصابة برامج الفدية هذه في كييف في يونيو/حزيران، واصلت المجموعة أنشطتها بعد أسبوع واحد فقط، وسربت بيانات أكثر حساسية على موقعها الإلكتروني. إضافة إلى حجم عملياتهم ، فإن آخر الأخبار على Clop هي اكتشاف مخطط غسيل الأموال بقيمة 500 مليون دولار.

 

5. إيغريغور EGREGOR

يشاع أن Egregor قد تطور جزئيا من مجموعة برامج الفدية سيئة السمعة Maze التي تم حلها الآن ، والتي أغلقت في أكتوبر من عام 2020.

يبدو أن توقيت ظهور إيغريغور واختفاء المتاهة متطابقان ، حيث ظهر إيغريغور لأول مرة على رادار مكتب التحقيقات الفيدرالي في سبتمبر 2020.

ومنذ ذلك الحين استهدفوا أكثر من 71 شركة – مع بعض أهدافهم البارزة بما في ذلك سلسلة متاجر التجزئة الأمريكية كمارت ، بالإضافة إلى تكتل الكتب Barnes & Noble وحتى مطوري ألعاب الفيديو Crytek و Ubisoft.

Egregor ، مثل عدد من المجموعات الأخرى في هذه القائمة ، تعمل على نموذج Ransomware as a Service (RaaS).

يمثل هذا النوع من العمليات تكيفا لنموذج البرنامج كخدمة (SaaS).  وهذا يعني أن المجموعة يمكنها بشكل أساسي بيع الاشتراكات في خدمتها مثل أي مزود آخر، مما يسمح لأولئك الذين لديهم نية خبيثة – ولكن ليس لديهم خبرة في القرصنة – بشن هجمات برامج الفدية المتقدمة بأقل جهد ممكن. المجموعة التي تقدم برامج الفدية تتقاضى ببساطة نسبة مئوية من رسوم الفدية من كل ضحية يتم ابتزازها.  رسوم توفير ل

لا تزال تفاصيل كيفية عمل Egregor ransomware بدقة غير واضحة – نظرا لأن لديهم العديد من الشركات التابعة ، فإن تكتيكاتهم تختلف.  

يجادل Malwarebytes بأن طريقة التوزيع الأساسية ل Egregor هي Cobalt Strike. ويعتمد هذا التكتيك على الجولات الأولية والثانوية من التسلل. يتم فحص الشبكة المستهدفة أولا وإضعافها بطرق مختلفة قبل استخدام حمولة منارة Cobalt Strike لنقل وتنشيط حمولات Egregor. 

بمجرد دخولهم إلى الشبكة ، سيتطلع المهاجمون إلى الخوادم التي يبدو أنها تحتوي على أكثر المعلومات حساسية ممكنة – مما يمنحهم الكثير من النفوذ في مفاوضات الفدية الخاصة بهم.

 

أفضل آليات الدفاع

كما رأينا ، فإن ما تشترك فيه جميع مجموعات برامج الفدية هذه هو استغلال نقاط الضعف للدخول. غالبا ما تكون نقاط الضعف هذه متصلة باتصالات أو أجهزة أو ببساطة خطأ بشري.

لذلك يجب أن يبدأ خط الدفاع الأول ضد برامج الفدية بفرض آداب جيدة للموظفين عندما يتعلق الأمر بمرفقات البريد الإلكتروني و / أو الروابط غير المعروفة.

إذا استمر الخطأ البشري في تمكين المهاجمين – وهذا يحدث في كثير من الأحيان أكثر مما تعتقد – يجب أن تكون الخطوة التالية هي أفضل حلول الحماية ، والتي يمكن أن ترتقي إلى مهمة اكتشاف الدخيل في نظامك وعزله والقضاء عليه بسرعة:

  • الجيل التالي من جدران الحماية
  • أنظمة منع التسلل (IPS)
  • تحليل سلوك الشبكة
  • التحكم في الوصول إلى الشبكة (NAC)
  • بوابات أمان البريد الإلكتروني
  • بوابات أمان الويب.

هل تبحث عن مورد مفيد لحماية عملك من مشكلات وهجمات الأمن السيبراني؟ لقد قمنا بتغطيتك. قم بتنزيل أساسيات الأمن السيبراني الحصرية من ATS: قائمة التحقق من نقاط الضعف.

ATS_cta_checklist_NEW

Related Posts