كاسبرسكي تكتشف برامج فدية جديدة تستخدم ميزة BitLocker لتشفير بيانات الشركات
تاريخ النشر: 30th, May 2024 GMT
اكتشفت كاسبرسكي هجمات برامج فدية تستخدم BitLocker من Microsoft لمحاولة تشفير ملفات الشركات. حيث تزيل مصادر التهديد خيارات الاسترداد لمنع استعادة الملفات، وتستخدم نصاً برمجياً خبيثاً مع ميزة جديدة تمكنه من اكتشاف إصدارات نظام Windows محددة وتمكين BitLocker وفقاً للإصدار. سميت هذه البرمجية «ShrinkLocker»، وقد تم ملاحظتها مع مشتقاتها في المكسيك وإندونيسيا والأردن.
وفقاً لتقارير فريق كاسبرسكي للاستجابة للطوارئ العالمية، تستعمل مصادر التهديد لغة VBScript - وهي لغة برمجة تستخدم لأتمتة المهام على أجهزة الحاسوب العاملة بنظام Windows - لإنشاء نص برمجي خبيث بميزات غير معروفة مسبقاً لزيادة الضرر الناجم عن الهجوم إلى أقصى حد. لكن الجديد هو أن النص البرمجي يتحقق من الإصدار الحالي المثبت من نظام Windows ويفعّل ميزات BitLocker وفقاً لذلك. وبهذه الطريقة، يُعتقد أن البرنامج النصي قادر على إصابة الأنظمة الجديدة والقديمة بداية من نظام Windows Server 2008.
عندما يكون إصدار نظام التشغيل ملائماً للهجوم، يغيّر النص البرمجي إعدادات الإقلاع ويحاول تشفير محركات الأقراص بأكملها باستخدام BitLocker. فينشئ تقسيمة إقلاع جديدة، أي أنه يعد قسماً منفصلاً على وحدة تخزين الحاسوب المتضمن ملفات لإقلاع نظام التشغيل. ويهدف هذا الإجراء إلى تقييد الضحية في مرحلة لاحقة. كذلك، قام المهاجمون بحذف الحماية المستخدمة لتأمين مفتاح تشفير BitLocker حتى لا يتمكن الضحية من استعادتها.
عند إتمام الخطوات السابقة، يرسل النص البرمجي الخبيث معلومات حول النظام ومفتاح التشفير الذي أُنشئ على الحاسوب المخترق إلى الخادم الذي يتحكم فيه مصدر التهديد. بعد ذلك، يغطي مساراته عن طريق حذف السجلات والملفات المختلفة التي تعمل كتلميح وتساعد في التحقيق في الهجوم.
كخطوة أخيرة، تفرض البرمجيات الخبيثة إيقاف تشغيل النظام - وهي قدرة يجري تسهيلها من خلال إنشاء الملفات وإعادة تثبيتها في تقسيمة إقلاع منفصلة. ترى الضحية شاشة BitLocker مع هذه الرسالة: «لا توجد خيارات استرداد BitLocker أخرى على حاسوبك.»
الرسالة التي تظهر على شاشة الضحية بعد الإيقاف القسري لتشغيل النظام
أطلقت كاسبرسكي على النص البرمجي تسمية «ShrinkLocker» لأن هذا الاسم يسلط الضوء على الإجراء الخطير لتغيير حجم القسم، والذي كان ضرورياً للمهاجم لضمان تمهيد النظام بشكل صحيح مع الملفات المشفرة.
يوضح كريستيان سوزا، أخصائي الاستجابة للحوادث في فريق كاسبرسكي للاستجابة للطوارئ العالمية، بالقول: «ما يثير القلق بشكل خاص في هذه القضية هو أن أداة BitLocker، المصممة في الأصل للتخفيف من مخاطر سرقة البيانات أو انكشافها، قد أُعيد استخدامها من قبل المخترقين لتحقيق غايات خبيثة. إنها لمفارقة قاسية أن يجري تسليح إجراء أمني بهذه الطريقة. بالنسبة للشركات التي تستخدم BitLocker، من الضروري ضمان كلمات مرور قوية وتخزين آمن لمفاتيح الاسترداد. كما تعد النسخ الاحتياطية المنتظمة، التي تُحفظ في وضع عدم الاتصال والمختبرة، ضمانات أساسية كذلك.»
التحليل الفني المفصل للحادث متاح على Securelist. يوصي خبراء كاسبرسكي بتدابير الوقاية التالية لمنع المهاجمين من استغلال الميزة الموضحة في التقرير:
استخدم برنامج أمان قوي تم تكوينه بشكل صحيح للكشف عن التهديدات التي تحاول إساءة استخدام BitLocker. طبّق حلول الاكتشاف والاستجابة المُدارة (MDR) للبحث عن التهديدات بشكل استباقي.
قيّد امتيازات المستخدم لمنع التمكين غير المصرح به لميزات التشفير أو تعديل مفاتيح التسجيل.
فعّل تسجيل حركة مرور الشبكة ومراقبتها، والتقاط كل من طلبات GET وPOST، حيث قد تنقل الأنظمة المصابة كلمات المرور أو المفاتيح إلى مجالات المهاجمين.
راقب أحداث تنفيذ VBScript وPowerShell، واحفظ النصوص البرمجية والأوامر المسجلة في مستودع خارجي للاحتفاظ بالنشاط حتى عند الحذف المحلي.
المصدر: بوابة الوفد
كلمات دلالية: نظام Windows
إقرأ أيضاً:
Android 16.. تاريخ الإصدار والأجهزة المؤهلة وميزات جديدة
عادةً ما تُصدر جوجل إصدارًا جديدًا من أندرويد في شهر أكتوبر، ولكن هذا العام، وصل أندرويد 16 قبل الموعد المُحدد بكثير في يونيو. يُعد هذا مفاجأة سارة لمستخدمي جوجل بيكسل، ويعني أيضًا أن هواتف Vivo ستتلقى أندرويد 16 أسرع من المعتاد.
تعمل شركة Vivo على نظام أندرويد 16 منذ أشهر. وكانت أيضًا جزءًا من قائمة شركاء النسخة التجريبية لنظام أندرويد 16، وبدأت في توفير الوصول المبكر للبرنامج في مايو. ومن المتوقع أن يتم إصداره قريبًا. إليك المعلومات المتعلقة بتحديث أندرويد 16 لجهاز Vivo الخاص بكم.
تاريخ إصدار Vivo Android 16 (Funtouch OS 16)
لم تعلن شركة Vivo عن تاريخ إصدار أو جدول زمني لإطلاق نظام التشغيل Funtouch OS 16، والذي سيعتمد على نظام Android 16. و، إذا كانت الإصدارات السابقة هي المعيار، فلا ينبغي أن يستغرق الأمر أكثر من بضعة أسابيع.
في العام الماضي، كانت فيفو أسرع شركة في إصدار تحديث أندرويد 16 لأجهزتها. والأمر الأكثر إثارة للدهشة هو أنها أصدرت التحديث قبل جوجل. استعادت الشركة المصنعة لنظام أندرويد مكانتها هذا العام، ولكن من المتوقع أن تكون فيفو متأخرة جدًا.
وقد أصدرت العلامة التجارية الصينية بالفعل النسخة التجريبية من نظام التشغيل Android 16 لبعض الأجهزة، بما في ذلك Vivo X200 Pro وiQOO 13. وسيكون هناك أيضًا برنامج Funtouch OS 16 التجريبي قبل الطرح الثابت، والذي سيعطينا نظرة أفضل على الميزات والترقيات الجديدة.
في حين أننا لا نملك خريطة الطريق الرسمية حتى الآن، فمن المرجح أن يبدأ طرح Android 16 مع الهواتف الحديثة الراقية من سلسلة X وiQOO من Vivo، تليها تشكيلات متوسطة المدى، مثل سلسلة V وT وiQOO من Vivo، ثم يشق طريقه تدريجيًا إلى الهواتف ذات الأسعار المعقولة.
أجهزة Vivo ستحصل على تحديث Android 16 و Funtouch OS 16لم تعلن شركة Vivo عن الأجهزة التي سيتم ترقيتها إلى نظام التشغيل Funtouch OS 16 المستند إلى نظام التشغيل Android 16. لذا، كان علينا الاعتماد على سياسة تحديث البرامج وقليل من التخمين لإعداد القائمة التالية.
أجهزة فيفوفيفو X200، X200 Pro، X200 Ultra، X200 FE، X200 Pro mini، X200s
فيفو X100، X100 برو، X100 ألترا، X100s، X100s برو
فيفو X90، X90 برو، X90 برو+، X90s
فيفو V50، V50e، V50 لايت (LTE/5G)
فيفو V40، V40 لايت، V40 برو، V40e، V40 SE
فيفو V30، V30 لايت 4G، V30 برو، V30e، V30 SE
سلسلة فيفو تي
فيفو T4، T4 لايت، T4 الترا، T4x
فيفو T3، T3 لايت، T3 برو، T3 الترا، T3x
سلسلة فيفو Y
فيفو Y300، Y300 بلس، Y300 برو، Y300 برو+، Y300 GT، Y300t، Y300i
فيفو Y200 4G، Y200+، Y200 Pro، Y200e، Y200 GT، Y200i، Y200t
فيفو Y39
فيفو Y29 4G، Y29s
فيفو Y19، Y19s برو
سلسلة Vivo Pad
فيفو باد 5، باد 5 برو
فيفو باد SE
فيفو باد 3، باد 3 برو
أجهزة iQOO
سلسلة أرقام iQOO
اي كيو او او 13
اي كيو او او 12، 12 برو
iQOO 11، 11 برو، 11s
سلسلة iQOO Z
iQOO Z10، Z10x، Z10R، Z10 لايت، Z10 توربو، Z10 توربو برو
iQOO Z9، Z9 Lite، Z9x، Z9s، Z9s Pro، Z9 Turbo، Z9 Turbo+، Z9 Turbo Endurance
سلسلة iQOO Neo
iQOO Neo 10، Neo 10 Pro، Neo 10 Pro+، Neo 10R
iQOO نيو 9، نيو 9 برو، نيو 9 إس برو، نيو 9 إس برو+
تعزيز الشفافية والمشاركة.. مذكرة تفاهم جديدة بين مفوضية الانتخابات ومؤسسة بحثية وطنية