في تحول مفاجئ في أساليب الهجوم، ارتبطت مجموعة القراصنة الناطقة بالروسية والمعروفة باسم RedCurl لأول مرة بحملة برمجيات الفدية. تم اكتشاف هذه الأنشطة من قبل شركة الأمن السيبراني الرومانية Bitdefender، وتشمل استخدام نوع جديد من برمجيات الفدية يسمى QWCrypt.

نظرة تاريخية على نشاط RedCurl

تُعرف مجموعة RedCurl، التي يطلق عليها أيضًا Earth Kapre وRed Wolf، بتاريخها في تنظيم هجمات التجسس الصناعي ضد كيانات مختلفة في كندا وألمانيا والنرويج وروسيا وسلوفينيا وأوكرانيا والمملكة المتحدة والولايات المتحدة منذ نوفمبر 2018. كانت هذه الهجمات تتضمن استخدام بريد إلكتروني مصمم خصيصًا لاصطياد المعلومات الحساسة.

في عام 2020، وثقت شركة Group-IB سلاسل الهجوم التي استخدمت فيها RedCurl رسائل بريد إلكتروني مزيفة تتعلق بمواضيع الموارد البشرية لتفعيل عملية نشر البرامج الضارة. في يناير من هذا العام، كشفت شركة Huntress عن هجمات استهدفت عدة منظمات في كندا لنشر برنامج تحميل يسمى RedLoader بقدرات بسيطة على التحكم عن بعد.

تقنيات الهجوم الحديثة واستغلال الثغرات

في الشهر الماضي، كشفت شركة الأمن السيبراني الكندية eSentire عن استخدام RedCurl لمرفقات PDF مزيفة تتنكر في شكل سير ذاتية ورسائل غلاف في رسائل التصيد الإلكتروني لتثبيت برامج ضارة باستخدام ملف تنفيذي شرعي من Adobe.

تتبع سلسلة الهجوم التي وثقتها Bitdefender نفس الخطوات، باستخدام ملفات صور القرص القابلة للتثبيت (ISO) المتنكرة في شكل سير ذاتية لبدء عملية إصابة متعددة المراحل. يحتوي ملف الصورة على ملف يشبه شاشة توقف ويندوز (SCR) ولكنه في الواقع هو الملف التنفيذي ADNotificationManager.exe الذي يستخدم لتشغيل برنامج التحميل (netutils.dll) باستخدام تقنية تحميل المكتبات الديناميكية (DLL side-loading).

التأثيرات الأمنية وتداعيات الهجوم

توضح هذه الهجمات المخاطر المتزايدة التي تواجهها البنية التحتية الافتراضية للشركات. باستخدام برمجيات الفدية لتشفير الأجهزة الافتراضية على الخوادم، تجعل RedCurl هذه الخوادم غير قابلة للتشغيل، مما يعطل جميع الخدمات المستضافة.

يستغل البرمجية الخبيثة تقنية “إحضار الدرايفر الضعيف الخاص بك” (BYOVD) لتعطيل برامج الحماية النهائية قبل إطلاق عملية التشفير. ويتم إسقاط مذكرة فدية مستوحاة من مجموعات LockBit وHardBit وMimic، مما يثير تساؤلات حول أصول ودوافع مجموعة RedCurl.

التداعيات المستقبلية والأسئلة المفتوحة

إن النشاط الأخير لمجموعة RedCurl يثير تساؤلات حول مدى تطور أساليب الهجوم وتوجهها نحو استخدام برمجيات الفدية كوسيلة لزيادة التأثير وتوسيع نطاق عملياتها. ما الدروس التي يمكن أن نتعلمها من هذه التحركات التكتيكية الجديدة، وكيف يمكن للشركات تعزيز دفاعاتها ضد مثل هذه التهديدات؟

للمزيد من المعلومات المتعمقة حول التهديدات السيبرانية وكيفية الحماية منها، تابعونا على تويتر وفيسبوك.