تتبنى Scattered Spider برامج RansomHub وQilin Ransomware لشن الهجمات السيبرانية

17 يوليو 2024غرفة الأخبارالجرائم الإلكترونية/برامج الفدية

مجموعة الجرائم الإلكترونية سيئة السمعة المعروفة باسم العنكبوت المبعثر كشفت شركة مايكروسوفت عن قيامها بدمج سلالات من برامج الفدية مثل RansomHub وQilin في ترسانتها.

Scattered Spider هو التصنيف الممنوح لممثل التهديد المعروف بمخططات الهندسة الاجتماعية المتطورة الخاصة به لاختراق الأهداف وتحقيق الاستمرارية في متابعة الاستغلال وسرقة البيانات. كما أن لديها تاريخًا في استهداف خوادم VMWare ESXi ونشر برامج الفدية BlackCat.

وهي تشترك في التداخلات مع مجموعات الأنشطة التي يتتبعها مجتمع الأمن السيبراني الأوسع تحت الألقاب Gold Harvest و0ktapus وOcto Tempest وUNC3944. وفي الشهر الماضي، أفيد عن اعتقال عضو رئيسي في المجموعة في إسبانيا.

تم تقييم RansomHub، الذي وصل إلى مكان الحادث في وقت سابق من شهر فبراير، على أنه علامة تجارية جديدة لسلالة أخرى من برامج الفدية تسمى Knight، وذلك وفقًا لتحليل أجرته شركة Symantec المملوكة لشركة Broadcom الشهر الماضي.

“RansomHub عبارة عن حمولة من برامج الفدية كخدمة (RaaS) يستخدمها المزيد والمزيد من الجهات الفاعلة في مجال التهديد، بما في ذلك تلك التي استخدمت تاريخيًا حمولات أخرى من برامج الفدية (التي انتهت صلاحيتها في بعض الأحيان) (مثل BlackCat)، مما يجعلها واحدة من أكثر عائلات برامج الفدية انتشارًا. اليوم “مايكروسوفت قال.

قالت الشركة المصنعة لنظام التشغيل Windows إنها لاحظت أيضًا نشر RansomHub كجزء من نشاط ما بعد التسوية بواسطة Manatee Tempest (المعروف أيضًا باسم DEV-0243 أو Evil Corp أو Indrik Spider) بعد الوصول الأولي الذي تم الحصول عليه بواسطة Mustard Tempest (المعروف أيضًا باسم DEV-0206 أو Purple Vallhund) من خلال عدوى FakeUpdates (ويعرف أيضًا باسم Socgholish).

تجدر الإشارة هنا إلى أن Mustard Tempest هو وسيط وصول أولي استخدم في الماضي FakeUpdates في الهجمات التي أدت إلى إجراءات تشبه سلوك ما قبل برامج الفدية المرتبطة بشركة Evil Corp. وكانت هذه الاختراقات ملحوظة أيضًا نظرًا لحقيقة تسليم FakeUpdates عبر الموجودة توت العليق روبن الالتهابات.

ويأتي هذا التطوير وسط ظهور عائلات جديدة من برامج الفدية مثل FakePenny (المنسوب إلى Moonstone Sleet)، ضباب (تم توزيعها بواسطة Storm-0844، والتي قامت أيضًا بنشر Akira)، و ShadowRootوقد لوحظ آخرها استهداف الشركات التركية باستخدام فواتير PDF مزيفة.

وقالت مايكروسوفت: “مع استمرار تهديد برامج الفدية في التزايد والتوسع والتطور، ننصح المستخدمين والمؤسسات باتباع أفضل الممارسات الأمنية، وخاصة نظافة بيانات الاعتماد، ومبدأ الامتيازات الأقل، والثقة المعدومة”.