يستخدم هجوم Qilin Ransomware الجديد بيانات اعتماد VPN، ويسرق بيانات Chrome

قامت الجهات الفاعلة التي تقف وراء هجوم برنامج الفدية Qilin الذي تمت ملاحظته مؤخرًا بسرقة بيانات الاعتماد المخزنة في متصفحات Google Chrome على مجموعة صغيرة من نقاط النهاية المعرضة للخطر.

قالت شركة الأمن السيبراني سوفوس في تقرير صدر يوم الخميس، إن استخدام جمع بيانات الاعتماد فيما يتعلق بعدوى برامج الفدية يمثل تطورًا غير عادي، وقد يكون له عواقب متتالية.

تضمن الهجوم، الذي تم اكتشافه في يوليو 2024، التسلل إلى الشبكة المستهدفة عبر بيانات اعتماد مخترقة لبوابة VPN التي تفتقر إلى المصادقة متعددة العوامل (MFA)، مع قيام الجهات الفاعلة في التهديد بإجراءات ما بعد الاستغلال بعد 18 يومًا من حدوث الوصول الأولي.

“بمجرد وصول المهاجم إلى وحدة تحكم المجال المعنية، قاموا بتحرير سياسة المجال الافتراضية لتقديم كائن سياسة المجموعة (GPO) القائم على تسجيل الدخول والذي يحتوي على عنصرين”، هذا ما قاله الباحثون لي كيركباتريك وبول جاكوبس وهارشال جوساليا وروبرت ويلاند. قال.

أولها هو برنامج PowerShell النصي المسمى “IPScanner.ps1” المصمم لجمع بيانات الاعتماد المخزنة داخل متصفح Chrome. العنصر الثاني هو برنامج نصي دفعي (“logon.bat”) يتصل بأوامر تنفيذ البرنامج النصي الأول.

وأضاف الباحثون: “ترك المهاجم كائن نهج المجموعة (GPO) نشطًا على الشبكة لأكثر من ثلاثة أيام”.

“لقد أتاح هذا فرصة كبيرة للمستخدمين لتسجيل الدخول إلى أجهزتهم، وتشغيل البرنامج النصي لجمع بيانات الاعتماد على أنظمتهم، دون علمهم. مرة أخرى، نظرًا لأن كل ذلك تم باستخدام كائن نهج المجموعة (GPO) لتسجيل الدخول، سيواجه كل مستخدم عملية حجب بيانات الاعتماد هذه في كل مرة وقت تسجيل الدخول.”

قام المهاجمون بعد ذلك بسحب بيانات الاعتماد المسروقة واتخذوا خطوات لمحو دليل النشاط قبل تشفير الملفات وإسقاط مذكرة الفدية في كل دليل على النظام.

تعني سرقة بيانات الاعتماد المخزنة في متصفح Chrome أن المستخدمين المتأثرين مطالبون الآن بتغيير مجموعات اسم المستخدم وكلمة المرور الخاصة بهم لكل موقع تابع لجهة خارجية.

وقال الباحثون: “كما هو متوقع، تواصل مجموعات برامج الفدية تغيير تكتيكاتها وتوسيع نطاق تقنياتها”.

“إذا قرروا هم، أو غيرهم من المهاجمين، التنقيب أيضًا عن بيانات الاعتماد المخزنة في نقطة النهاية – والتي يمكن أن توفر موطئ قدم في الباب عند هدف لاحق، أو مجموعات من المعلومات حول أهداف عالية القيمة يمكن استغلالها بوسائل أخرى – فسيكون هناك حل مظلم ربما يكون قد تم فتح فصل جديد في القصة المستمرة للجرائم الإلكترونية.”

الاتجاهات المتطورة باستمرار في برامج الفدية

يأتي التطوير كما تحب مجموعات برامج الفدية جنون المحرر و تقليد تمت ملاحظة استخدام طلبات AnyDesk غير المرغوب فيها لاستخلاص البيانات والاستفادة من خوادم Microsoft SQL المعرضة للإنترنت للوصول الأولي، على التوالي.

تتميز هجمات Mad Liberator أيضًا بإساءة استخدام الجهات الفاعلة في التهديد للوصول إلى النقل وإطلاق برنامج ثنائي يسمى “Microsoft Windows Update” الذي يعرض شاشة بداية Windows Update زائفة للضحية لإعطاء الانطباع بأنه يتم تثبيت تحديثات البرامج أثناء تثبيت البيانات. يتم نهبها.

ال إساءة استخدام أدوات سطح المكتب البعيد المشروعة، على عكس البرامج الضارة المصممة خصيصًا، يوفر للمهاجمين تمويهًا مثاليًا لتمويه أنشطتهم الضارة على مرأى من الجميع، مما يسمح لهم بالاندماج مع حركة مرور الشبكة العادية وتجنب اكتشافهم.

لا تزال برامج الفدية مشروعًا مربحًا لمجرمي الإنترنت على الرغم من سلسلة من إجراءات إنفاذ القانون، ومن المقرر أن يكون عام 2024 هو العام الأعلى ربحًا حتى الآن. كما شهد العام أكبر دفعة من برامج الفدية تم تسجيل ما يقرب من 75 مليون دولار لمجموعة Dark Angels Ransomware.

“لقد ارتفع متوسط ​​دفع الفدية لأشد سلالات برامج الفدية خطورة من أقل بقليل من 200 ألف دولار في أوائل عام 2023 إلى 1.5 مليون دولار في منتصف يونيو 2024، مما يشير إلى أن هذه السلالات تعطي الأولوية لاستهداف الشركات الأكبر حجمًا ومقدمي البنية التحتية الحيوية الذين من المرجح أن يدفعوا مبالغ مرتفعة”. الفدية بسبب جيوبها العميقة وأهميتها النظامية،” شركة تحليلات blockchain Chainalogy قال.

تشير التقديرات إلى أن ضحايا برامج الفدية دفعوا 459.8 مليون دولار لمجرمي الإنترنت في النصف الأول من العام، ارتفاعًا من 449.1 مليون دولار على أساس سنوي. ومع ذلك، انخفض إجمالي أحداث دفع برامج الفدية كما تم قياسها على السلسلة على أساس سنوي بنسبة 27.29%، مما يشير إلى انخفاض في معدلات الدفع.

والأكثر من ذلك، مجموعات التهديد الناطقة بالروسية تم حسابها لما لا يقل عن 69% من جميع عائدات العملات المشفرة المرتبطة ببرامج الفدية طوال العام السابق، بما يتجاوز 500 مليون دولار.

وفقًا للبيانات التي شاركتها مجموعة NCC، قفز عدد هجمات برامج الفدية التي لوحظت في يوليو 2024 على أساس شهري من 331 إلى 395، ولكن بانخفاض من 502 تم تسجيلها في العام الماضي. وكانت عائلات برامج الفدية الأكثر نشاطًا هي RansomHub وLockBit وAkira. وتشمل القطاعات التي تم استهدافها في أغلب الأحيان الصناعات، والدوريات الاستهلاكية، والفنادق والترفيه.

المنظمات الصناعية هي أ هدف مربح لمجموعات برامج الفدية نظرًا لطبيعة عملياتهم ذات المهام الحرجة والتأثير الكبير للاضطرابات، مما يزيد من احتمال تمكن الضحايا من دفع مبلغ الفدية التي يطلبها المهاجمون.

“يركز المجرمون على الأماكن التي يمكن أن يتسببوا فيها بأكبر قدر من الألم والاضطراب، لذا سيطالب الجمهور بقرارات سريعة، ويأملون، دفع فدية لاستعادة الخدمات بسرعة أكبر”. قال تشستر ويسنيوسكي، الرئيس التنفيذي للتكنولوجيا الميداني العالمي في شركة سوفوس.

“وهذا يجعل المرافق أهدافًا رئيسية لهجمات برامج الفدية. ونظرًا للوظائف الأساسية التي توفرها، يتطلب المجتمع الحديث أن تتعافى بسرعة وبأقل قدر من التعطيل.”

تضاعفت هجمات برامج الفدية التي تستهدف القطاع تقريبًا في الربع الثاني من عام 2024 مقارنة بالربع الأول، من 169 إلى 312 حادثًا لكل دراغوس. واستهدفت غالبية الهجمات أمريكا الشمالية (187)، تليها أوروبا (82)، وآسيا (29)، وأمريكا الجنوبية (6).

“تقوم الجهات الفاعلة في برامج الفدية بتوقيت هجماتها بشكل استراتيجي لتتزامن مع فترات الذروة للعطلات في بعض المناطق لتحقيق أقصى قدر من الاضطراب والضغط على المؤسسات للدفع،” مجموعة NCC قال.

Malwarebytes، في تقريرها الخاص بحالة برامج الفدية لعام 2024، أبرز ثلاثة اتجاهات في تكتيكات برامج الفدية خلال العام الماضي، بما في ذلك ارتفاع الهجمات خلال عطلات نهاية الأسبوع وساعات الصباح الباكر بين الساعة 1 صباحًا و5 صباحًا، وانخفاض الوقت من الوصول الأولي إلى التشفير.

هناك تحول ملحوظ آخر وهو زيادة استغلال خدمات الحافة واستهداف الشركات الصغيرة والمتوسطة الحجم، WithSecure قال، وقد أدى تفكيك LockBit وALPHV (المعروف أيضًا باسم BlackCat) إلى تآكل الثقة داخل مجتمع مجرمي الإنترنت، مما أدى إلى ابتعاد الشركات التابعة عن العلامات التجارية الكبرى.

في الواقع، كوفيوير قال أكثر من 10% من الحوادث التي تعاملت معها الشركة في الربع الثاني من عام 2024 كانت غير تابعة، مما يعني أنها “منسوبة إلى مهاجمين كانوا يعملون عمدًا بشكل مستقل عن علامة تجارية معينة وما نطلق عليه عادةً “الذئاب المنفردة”.”

“إن استمرار عمليات الإزالة لمنتديات وأسواق الجرائم الإلكترونية أدى إلى تقصير دورة حياة المواقع الإجرامية، حيث يحاول مسؤولو الموقع تجنب لفت انتباه جهات إنفاذ القانون،” يوروبول قال في تقييم صدر الشهر الماضي.

“ساهمت حالة عدم اليقين هذه، جنبًا إلى جنب مع زيادة عمليات الاحتيال، في استمرار تجزئة الأسواق الإجرامية. وقد أدت عمليات LE الأخيرة وتسريب رموز مصدر برامج الفدية (مثل Conti وLockBit وHelloKitty) إلى تجزئة برامج الفدية النشطة المجموعات والمتغيرات المتاحة.”