مكتب التحقيقات الفيدرالي وCISA يحذران من برنامج BlackSuit Ransomware الذي يتطلب ما يصل إلى 500 مليون دولار
وقد طالبت سلالة برامج الفدية المعروفة باسم BlackSuit بفدية تصل إلى 500 مليون دولار حتى الآن، حيث وصل طلب فدية فردي واحد إلى 60 مليون دولار.
وذلك وفقًا لاستشارة محدثة من وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ومكتب التحقيقات الفيدرالي (FBI).
“أظهر ممثلو BlackSuit استعدادًا للتفاوض بشأن مبالغ الدفع”، بحسب الوكالات قال. “لا تعد مبالغ الفدية جزءًا من مذكرة الفدية الأولية، ولكنها تتطلب تفاعلًا مباشرًا مع جهة التهديد عبر عنوان URL .onion (يمكن الوصول إليه من خلال متصفح Tor) المقدم بعد التشفير.”
استهدفت الهجمات التي تنطوي على برامج الفدية العديد من قطاعات البنية التحتية الحيوية التي تشمل المرافق التجارية والرعاية الصحية والصحة العامة والمرافق الحكومية والتصنيع الحيوي.
وهو تطور لبرامج الفدية الملكية، فهو يستفيد من الوصول الأولي الذي تم الحصول عليه عبر رسائل البريد الإلكتروني التصيدية لتعطيل برامج مكافحة الفيروسات وتصفية البيانات الحساسة قبل نشر برامج الفدية وتشفير الأنظمة في نهاية المطاف.
وتشمل مسارات العدوى الشائعة الأخرى استخدام بروتوكول سطح المكتب البعيد (RDP)، واستغلال التطبيقات الضعيفة التي تواجه الإنترنت، والوصول الذي تم شراؤه عبر وسطاء الوصول الأولي (IABs).
من المعروف أن الجهات الفاعلة في BlackSuit تستخدم برامج وأدوات شرعية للمراقبة والإدارة عن بعد (RMM) مثل البرامج الضارة SystemBC وGootLoader للحفاظ على الثبات في شبكات الضحايا.
وأشارت الوكالات إلى أنه “لوحظ أن الجهات الفاعلة في BlackSuit تستخدم SharpShares وSoftPerfect NetWorx لتعداد شبكات الضحايا”. “تم أيضًا العثور على أداة سرقة بيانات الاعتماد المتاحة للعامة Mimikatz وأدوات جمع كلمات المرور من Nirsoft في أنظمة الضحايا. وغالبًا ما تُستخدم أدوات مثل PowerTool وGMER لقتل عمليات النظام.”
حذرت CISA ومكتب التحقيقات الفيدرالي من ارتفاع طفيف في الحالات التي يتلقى فيها الضحايا اتصالات هاتفية أو عبر البريد الإلكتروني من الجهات الفاعلة في BlackSuit فيما يتعلق بالتسوية والفدية، وهو تكتيك تتبناه عصابات برامج الفدية بشكل متزايد لزيادة الضغط.
وقالت شركة سوفوس للأمن السيبراني: “في السنوات الأخيرة، يبدو أن الجهات الفاعلة في مجال التهديد مهتمة بشكل متزايد ليس فقط بتهديد المنظمات بشكل مباشر، ولكن أيضًا بتهديد الضحايا الثانويين”. قال في تقرير نشر هذا الأسبوع. “على سبيل المثال، كما ورد في يناير 2024، هدد المهاجمون بـ”ضرب” مرضى مستشفى السرطان، وأرسلوا رسائل نصية تهديدية إلى زوجة الرئيس التنفيذي”.
هذا ليس كل شئ. زعمت الجهات الفاعلة في مجال التهديد أيضًا أنها تقوم بتقييم البيانات المسروقة بحثًا عن أدلة على النشاط غير القانوني، وعدم الامتثال التنظيمي، والتناقضات المالية، حتى أنها ذهبت إلى حد الإشارة إلى أن أحد الموظفين في مؤسسة مخترقة كان يبحث عن مواد الاعتداء الجنسي على الأطفال عن طريق نشر موقع الويب الخاص به. متصفح التاريخ.
لا يمكن استخدام مثل هذه الأساليب العدوانية كوسيلة ضغط إضافية لإجبار أهدافهم على الدفع فحسب، بل إنها تلحق أيضًا ضررًا بالسمعة من خلال انتقادهم باعتبارهم غير أخلاقيين أو مهملين.
ويأتي هذا التطور وسط ظهور عائلات جديدة من برامج الفدية مثل حيوان الوشق, OceanSpy, رادار, زيلا (متغير برنامج الفدية Crysis/Dharma)، و زولا (أحد أشكال برامج الفدية Proton) في البرية، حتى مع قيام مجموعات برامج الفدية الحالية بتطوير طريقة عملها باستمرار من خلال دمج أدوات جديدة في ترسانتها.
أحد الأمثلة على هذه الحالة هو Hunters International، الذي تمت ملاحظته باستخدام برنامج ضار جديد يعتمد على C# يُسمى SharpRhino كناقل أولي للعدوى وحصان طروادة للوصول عن بُعد (RAT). البديل من ثاندرشيل عائلة البرامج الضارة، يتم تسليمها من خلال مجال مطبعي ينتحل صفة أداة إدارة الشبكة الشهيرة Angry IP Scanner.
تجدر الإشارة إلى أن الحملات الإعلانية الضارة كانت كذلك مراقب تسليم البرامج الضارة حتى يناير 2024، وفقًا لـ eSentire. ويسمى أيضًا RAT مفتوح المصدر الفئران الطرود و لحم خنزير مدخن.
“عند التنفيذ، فإنه يؤسس للاستمرارية ويوفر للمهاجم إمكانية الوصول عن بعد إلى الجهاز، والذي يتم استخدامه بعد ذلك لتقدم الهجوم،” مايكل فوريت، الباحث في Quorum Cyber قال. “باستخدام تقنيات لم يسبق لها مثيل، تستطيع البرامج الضارة الحصول على مستوى عالٍ من الأذونات على الجهاز لضمان قدرة المهاجم على مواصلة استهدافه بأقل قدر من التعطيل.”
تم تقييم Hunters International على أنها علامة تجارية جديدة لمجموعة Hive Ransomware التي انتهت صلاحيتها الآن. تم اكتشافه لأول مرة في أكتوبر 2023، وأعلن مسؤوليته عن 134 هجومًا في الأشهر السبعة الأولى من عام 2024.
إرسال التعليق