يظهر متغير Qilin.B Ransomware الجديد مع التشفير المحسّن وتكتيكات التهرب
اكتشف باحثو الأمن السيبراني نسخة متقدمة من برنامج الفدية Qilin الذي يتميز بمزيد من التعقيد والتكتيكات لتجنب اكتشافه.
ويتم تتبع المتغير الجديد من قبل شركة الأمن السيبراني Halcyon تحت الاسم المستعار Qilin.B.
“من الجدير بالذكر أن Qilin.B يدعم الآن تشفير AES-256-CTR للأنظمة ذات إمكانيات AESNI، مع الاحتفاظ بـ Chacha20 للأنظمة التي تفتقر إلى هذا الدعم،” فريق أبحاث Halcyon قال في تقرير تمت مشاركته مع The Hacker News.
“بالإضافة إلى ذلك، يتم استخدام RSA-4096 مع حشوة OAEP لحماية مفاتيح التشفير، مما يجعل فك تشفير الملفات بدون المفتاح الخاص للمهاجم أو القيم الأولية التي تم التقاطها أمرًا مستحيلًا.”
لفتت Qilin، المعروفة أيضًا باسم Agenda، انتباه مجتمع الأمن السيبراني لأول مرة في يوليو/أغسطس 2022، مع الإصدارات الأولية المكتوبة بلغة Golang قبل التحول إلى Rust.
كشف تقرير صدر في مايو 2023 من Group-IB أن مخطط برامج الفدية كخدمة (RaaS) يسمح للشركات التابعة لها بالحصول على ما بين 80% إلى 85% من كل دفعة فدية بعد أن تتسلل إلى المجموعة وتتمكن من إجراء محادثة مع المجند كيلين.
أدت الهجمات الأخيرة المرتبطة بعملية طلب الفدية إلى سرقة بيانات الاعتماد المخزنة في متصفحات Google Chrome على مجموعة صغيرة من نقاط النهاية المخترقة، مما يشير إلى الابتعاد عن هجمات الابتزاز المزدوجة النموذجية.
تظهر عينات Qilin.B التي حللتها Halcyon أنها تعتمد على التكرارات القديمة مع إمكانات تشفير إضافية وتكتيكات تشغيلية محسنة.
يتضمن ذلك استخدام AES-256-CTR أو Chacha20 للتشفير، بالإضافة إلى اتخاذ خطوات لمقاومة التحليل والكشف عن طريق إنهاء الخدمات المرتبطة بأدوات الأمان، ومسح سجلات أحداث Windows بشكل مستمر، وحذف نفسها.
كما أنه يحتوي على ميزات لإيقاف العمليات المرتبطة بخدمات النسخ الاحتياطي والمحاكاة الافتراضية مثل Veeam وSQL وSAP، وحذف النسخ الاحتياطية، مما يعقد جهود الاسترداد.
وقال هالسيون: “إن مزيج Qilin.B من آليات التشفير المحسنة، وتكتيكات التهرب الدفاعي الفعالة، والتعطيل المستمر لأنظمة النسخ الاحتياطي، يشير إلى أنه متغير خطير بشكل خاص لبرامج الفدية”.
ال الطبيعة الضارة والمستمرة يتجلى التهديد الذي تشكله برامج الفدية في التكتيكات التطورية المستمرة التي أظهرتها مجموعات برامج الفدية.
ويتجلى ذلك من خلال اكتشاف مجموعة أدوات جديدة قائمة على Rust والتي تم استخدامها لتوصيل برنامج الفدية Embargo الناشئ، ولكن ليس قبل إنهاء حلول اكتشاف نقطة النهاية والاستجابة لها (EDR) المثبتة على المضيف باستخدام برنامج Bring Your Own Vulnerable Driver (BYOVD). تقنية.
كلاهما EDR القاتل، الذي أطلق عليه ESET الاسم الرمزي MS4Killer بسبب تشابهه مع المصدر المفتوح s4killer أداة، ويتم تنفيذ برنامج الفدية عن طريق أداة تحميل ضارة يشار إليها باسم MDeployer.
“إن برنامج MDeployer هو برنامج التحميل الضار الرئيسي الذي تحاول شركة Embargo نشره على الأجهزة الموجودة في الشبكة المخترقة – فهو يسهل بقية الهجوم، مما يؤدي إلى تنفيذ برامج الفدية وتشفير الملفات،” هذا ما قاله الباحثان جان هولمان وتوماس زفارا. قال. “من المتوقع أن يعمل MS4Killer إلى أجل غير مسمى.”
“تم كتابة كل من MDeployer وMS4Killer بلغة Rust. وينطبق الشيء نفسه على حمولة برامج الفدية، مما يشير إلى أن Rust هي اللغة التي يستخدمها مطورو المجموعة.”
وفقًا للبيانات التي شاركتها مايكروسوفت، تعرضت 389 مؤسسة رعاية صحية أمريكية لهجمات برامج الفدية في هذه السنة المالية، مما كلفها ما يصل إلى 900 ألف دولار يوميًا بسبب فترات التوقف عن العمل. بعض عصابات برامج الفدية المعروفة بضرب المستشفيات تشمل Lace Tempest وSangria Tempest وCadenza Tempest وVanilla Tempest.
“من بين 99 منظمة رعاية صحية اعترفت بدفع الفدية وكشفت عن الفدية المدفوعة، كان متوسط الدفعة 1.5 مليون دولار، وكان متوسط الدفعة 4.4 مليون دولار”، عملاق التكنولوجيا. قال.
إرسال التعليق