شهدت الساحة الرقمية في الآونة الأخيرة تطورات متسارعة في أساليب الهجوم الإلكتروني، حيث كشفت تحليلات جديدة عن صلات بين مجموعة RansomHub وعصابات الفدية الأخرى مثل Medusa، BianLian، وPlay. تأتي هذه الصلات من استخدام أداة مخصصة لتعطيل برامج الكشف والاستجابة على النقاط الطرفية (التي تعرف بـ (Endpoint Detection and Response) أو EDR) في الأجهزة المصابة، وفقًا لما ذكرته ESET.
تحليل التقنية والتأثيرات
تعتبر تقنية “إحضار سائق ضعيف خاص بك” (Bring Your Own Vulnerable Driver – BYOVD) من التكتيكات المعروفة التي تُستخدم في تعطيل الحلول الأمنية، حيث يتم استغلال سائق شرعي ولكنه ضعيف لإنهاء عمل برامج الحماية. الهدف من استخدام مثل هذه الأدوات هو ضمان تنفيذ مشفر الفدية بسلاسة دون أن يتم اكتشافه من قبل الحلول الأمنية.
يشير الباحثان ياكوب سوكيتش ويان هولمان من ESET إلى أن الهدف من الاختراق هو الحصول على صلاحيات المسؤول أو مسؤول النطاق. عادةً ما يتجنب مشغلو برامج الفدية تحديث مشفراتهم بشكل متكرر خوفًا من حدوث ثغرات تؤثر على سمعتهم، مما يجعل أدوات القتل الإلكترونية مثل EDRKillShifter ضرورية للتخلص من الحلول الأمنية قبل تنفيذ المشفر.
الأهمية والارتباطات
من الجدير بالذكر أن الأداة المخصصة التي طورها مشغلو RansomHub تُستخدم أيضًا في هجمات فدية أخرى ترتبط بـ Medusa، BianLian، وPlay. وهذا يكتسب أهمية خاصة نظرًا لأن كل من Play وBianLian يعملان تحت نموذج الفدية كخدمة (RaaS) المغلق، حيث تعتمد الشراكات على الثقة المتبادلة الطويلة الأجل.
تشير التحليلات إلى أن أعضاء موثوقين من Play وBianLian يتعاونون مع منافسين جدد مثل RansomHub، ويعيدون استخدام الأدوات المستلمة في هجماتهم الخاصة، مما يثير تساؤلات حول تماسك هذه العصابات المغلقة.
التهديدات المستقبلية والممارسات الآمنة
يُشتبه في أن جميع هذه الهجمات قد تمت بواسطة نفس الجهة المهددة، والتي يطلق عليها QuadSwitcher، التي يُعتقد أنها ترتبط بشكل وثيق مع Play نظرًا لتشابه أساليب الهجوم. كما لوحظ استخدام EDRKillShifter من قبل شريك فدية آخر معروف باسم CosmicBeetle في بعض الهجمات على RansomHub وLockBit المزيفة.
تأتي هذه التطورات وسط تزايد في هجمات الفدية التي تستخدم تقنيات BYOVD لنشر أدوات القتل الإلكترونية على الأنظمة المخترقة. في العام الماضي، استخدم عصابة الفدية المعروفة باسم Embargo برنامجًا يُسمى MS4Killer لتعطيل البرمجيات الأمنية. ومؤخرًا، ارتبطت مجموعة Medusa بأداة درايفر خبيثة تحمل الاسم الرمزي ABYSSWORKER.
التوصيات الأمنية والخلاصة
تؤكد ESET على أهمية اكتشاف وجود الجهة المهددة قبل حصولهم على صلاحيات الإدارة، وذلك عن طريق تفعيل الكشف عن التطبيقات غير الآمنة المحتملة، خاصة في بيئات الشركات، لمنع تثبيت السائقين الضعفاء.
ختامًا، تثير هذه التطورات تساؤلات حول كيفية تعزيز الدفاعات الإلكترونية في مواجهة الأدوات المتقدمة، وما إذا كانت هناك حاجة لإعادة تقييم استراتيجيات الأمن الرقمي. كيف يمكن للمؤسسات تطوير قدراتها في الكشف المبكر والوقاية من مثل هذه التهديدات؟
لمتابعة المزيد من المحتوى الحصري، تابعونا على تويتر وفيسبوك.
شاركنا رأيك بتعليق