كاسبرسكي تكتشف برمجية فدية خفيّة لم يسبق رصدها من قبل
تاريخ النشر: 12th, November 2024 GMT
رصد فريق كاسبرسكي للاستجابة للطوارئ العالمية استخدام سلالة برمجية فدية لم يسبق رصدها من قبل، كانت قد أنتشرت في هجوم أعقب سرقة بيانات اعتمادية للموظفين، وأُطلق عليها اسم «Ymir». وتلجأ برمجية الفدية تلك لتوظيف أساليب متقدمة في التشفير والتخفّي. كما تستهدف الملفات بشكل انتقائي وتحاول تفادي الانكشاف.
تستخدم برمجية Ymir مزيجاً من الميزات التقنية والأساليب التي تحسن من فعاليتها.
أساليب تخفٍّ غير شائعة عبر التلاعب بالذاكرة. استغلت مصادر التهديد مزيجاً خارجاً عن المألوف من وظائف إدارة الذاكرة؛ مثل malloc، وmemmove، وmemcmp، بهدف تنفيذ كود خبيث في الذاكرة مباشرة. ويمثل هذا النهج جنوحاً عن التدفق النموذجي المتسلسل في التنفيذ، والمعهود في أنواع واسعة الانتشار من برمجيات الفدية، وهو ما يعزّز من قدراتها على التخفي. يُضاف إلى ذلك المرونة التي تتمتع بها برمجية Ymir، فمن خلال استخدام أمر –path، يمكن للمهاجمين أن يحددوا بالدقة والتفصيل المسار الذي يفترض بالبرمجية أن تبحث فيه عن الملفات. وإذا ما وُجد ملف ما ضمن قوائمها البيضاء، فستتخطاه تاركة إياه دون تشفير. وتمنح هذه الميزة المهاجمين تحكماً أكبر فيما هو مشفر وما هو متروك.
استعمال برمجيات خبيثة لسرقة البيانات. في الهجوم الذي رصده خبراء كاسبرسكي، والذي وقع في إحدى القطاعات في كولومبيا، لوحظ استخدام مصادر التهديد لبرمجية RustyStealer؛ وهي نوع من البرمجيات الخبيثة المختصة بسرقة المعلومات، وقصدوا من وراء ذلك الوصول إلى بيانات اعتماد المؤسسات من الموظفين. وكانت تلك الملفات تستخدم لاحقاً لكسب صلاحيات الوصول إلى أنظمة المؤسسة وتولي التحكم لوقت كافٍ لنشر برمجية الفدية. ويُعرَف نمط الهجمات هذا باسم وساطة الوصول الأولي، إذ يخترق المهاجمون الأنظمة، ويحتفظون بقدرتهم على الوصول. وفي العادة، يتجه وسطاء الوصول الأولي لبيع صلاحية الوصول المكتسبة تلك على الإنترنت المظلم أو لمجرمين سيبرانيين آخرين، لكن في الحالة هذه، يبدو وأنهم قرروا القيام بالهجوم بأنفسهم عبر نشر برمجية الفدية. وحول ذلك، شرح كريستيان سوزا، أخصائي الاستجابة للحوادث ضمن فريق كاسبرسكي للاستجابة للطوارئ العالمية، قائلاً: «في حال ثَبت أن الوسطاء هم بالفعل ذات الأطراف التي أقدمت على نشر برمجية الفدية، فإن في ذلك مؤشراً على توجه جديد، وهو ما يخلق خيارات اختطاف إضافية دون الاتكال على المجموعات التقليدية لبرمجيات الفدية كخدمة (RaaS).»
رغم أن مصدر التهديد المسؤول عن هذا الهجوم لم يُقدم على مشاركة أي بيانات مسروقة إلى العلن، ولم يدلِ بأي مطالب إضافية، إلا أنه الآن تحت مراقبة للباحثين تقصياً عن أي نشاط يستجد. وفي ذلك، يستطرد كريستيان سوزا، موضحاً بالقول: «لم نلحظ ظهور أي مجموعات برمجيات فدية جديدة في السوق غير المشروعة بعد. فقد جرت العادة أن يلجأ المهاجمون إلى المنتديات أو البوابات الخفية كطريقة للضغط على الضحايا وإرغامهم على دفع الفدية، وهو ليس الحال مع برمجية Ymir. وفي ضوء ذلك، يبقى السؤال حول هوية المجموعة المسؤولة عن برمجية الفدية مفتوحاً، ونشتبه في أن ما يجري هو حملة جديدة.»
خلال بحثهم عن اسم لإطلاقه على التهديد الجديد، وضع خبراء كاسبرسكي في تصورهم أحد أقمار كوكب زحل، والذي يحمل اسم Ymir. حيث أن Ymir هو قمر «غير طبيعي» يتحرك في الاتجاه المعاكس لدوران الكوكب؛ وهي سمة تتشابه على نحو لافت للانتباه مع المزيج غير التقليدي لوظائف إدارة الذاكرة المستخدمة في برمجية الفدية الجديدة.
تكشف منتجات كاسبرسكي برمجية الفدية هذه تحت مسمى Trojan-Ransom.Win64.Ymir.gen. ويوصي خبراء كاسبرسكي بالتدابير العامة التالية للتخفيف من آثار هجمات برمجيات الفدية:
• ضع جدولاً للنسخ الاحتياطي المتواتر وإجراء الاختبارات بانتظام.
• جهز الموظفين بتدريبات منتظمة في الأمن السيبراني للارتقاء بوعيهم إزاء التهديدات السيبرانية مثل البرمجيات الخبيثة لسرقة البيانات، ولتعليمهم استراتيجيات التخفيف الفعالة.
• في حال وقعت بالفعل ضحية لبرمجيات الفدية ولم يتوافر لها برامج فك تشفير بعد، فعليك بحفظ ملفاتك الحساسة المشفرة. فقد ينبثق حل لفك التشفير في إطار جهود البحث المبذولة في مجال التهديدات أو إذا ما تمكّنت السلطات من الإيقاع بالفاعل المسؤول عن التهديد.
• يوصى بالامتناع عن دفع الفدية. إذ يشجع ذلك مصممي البرمجيات الخبيثة بمواصلة عملياتهم، كما أنه لا يضمن الإرجاع الآمن والموثوق للملفات.
• لتأمين الحماية لشركتك في وجه طيف واسع من التهديدات، استخدم حلول مثل Kaspersky Next التي توفر حماية في الوقت الفعلي، ورؤى للتهديدات، وقدرات التحقيق والاستجابة لكل من حلول الاكتشاف والاستجابة للنقاط الطرفية وحلول الاكتشاف والاستجابة الموسعة للمؤسسات على اختلاف أحجامها والصناعات التي تعمل ضمنها.
• اعتمد خدمات الأمان المُدارة من كاسبرسكي مثل تقييم الاختراق، والاكتشاف والاستجابة المُدارة (MDR) و/أو الاستجابة للحوادث، والتي تغطي دورة إدارة الحوادث بأكملها، من تشخيص التهديدات إلى الحماية المستمرة والمعالجة. كما وتساعد هذه الخدمات في الحماية من الهجمات السيبرانية المراوغة، والتحقيق في الحوادث، والحصول على خبرة إضافية حتى مع افتقار الشركة لوجود عمال في مجال الأمن.
المصدر: بوابة الوفد
كلمات دلالية: برمجیات الفدیة
إقرأ أيضاً:
رغم التهديد.. لماذا قررت إسرائيل "فجأة" تخفيف القيود؟
بعد ستة أيام من اندلاع المواجهة المباشرة مع إيران، بدأ الجيش الإسرائيلي، بشكل مفاجئ تخفيف قيود الجبهة الداخلية التي كانت تهدف إلى تقليل الخسائر البشرية.
وصادق وزير الدفاع الإسرائيلي يسرائيل كاتس، الأربعاء، على تخفيف القيود المفروضة على السكان، وقال: "بالتوازي مع المعركة الشرسة ضد إيران لإزالة التهديدات، سنعيد فتح الاقتصاد، سنخفف القيود على الجمهور، ونعيد دولة إسرائيل إلى مسار من الإبداع والنشاط والأمن".
وبحسب بيان للجيش الإسرائيلي فإن هذا القرار سيدخل حيز التنفيذ مساء الأربعاء.
واعتبرت صحيفة "جيروزاليم بوست" الإسرائيلية، أن قرار تخفيف قيود الجبهة الداخلية جاء بناء على معطيات ميدانية تظهر تراجعا في قدرة إيران على تنفيذ هجمات فعالة.
وتضيف أنه "ومع ذلك، تبقى الاحتمالات مفتوحة لتصعيد جديد، ما يعني أن حالة التأهب لا تزال قائمة، وإن كانت ضمن إطار أكثر مرونة".
إعادة فتح تدريجية
وحسب الصحيفة، فقد لوحظ تراجع في الهجمات الإيرانية، وهو ما دفع الجيش لاتخاذ قرار تخفيف القيود، بما في ذلك السماح بتجمعات صغيرة في بعض المناطق: 30 شخصا في الأماكن المفتوحة، و50 في أخرى، وحوالي 100 في الأماكن المغلقة المزودة بملاجئ.
ولا تزال المؤسسات التعليمية مغلقة، باستثناء مؤسسات التعليم الخاص التي قد تعود تدريجيا نظرا لقلة عدد الطلاب فيها.
حصيلة الهجمات
ووفقا للبيانات الإسرائيلية فقد أطلقت إيران أكثر من 400 صاروخ باليستي، إلى جانب ما لا يقل عن 1000 طائرة مسيرة باتجاه إسرائيل.
ومع ذلك، لم تصب سوى أقل من 30 صاروخا مناطق مدنية، ما أسفر عن مقتل نحو 25 شخصا. أما الطائرات المسيرة، فلم تتسبب بأي وفيات، إذ تم اعتراض أو إسقاط نحو 800 منها قبل أن تقترب من الأجواء الإسرائيلية.
وأصيب في هذه الهجمات حوالي 600 شخص، وأجبر نحو 4000 مدني على إخلاء منازلهم المتضررة. ورغم ارتفاع الأرقام، تشير التقديرات إلى أنها أقل من نصف أسوأ سيناريو وضعه الجيش الإسرائيلي.
تفوق استخباراتي
وتقول "جيروزاليم بوست" إن انخفاض وتيرة الهجمات يعود إلى نجاح عمليات الجيش الإسرائيلي الاستباقية، إذ أعلن عن تدمير نحو 40 بالمئة من منصات إطلاق الصواريخ الباليستية الإيرانية، إضافة إلى استهداف مراكز القيادة والسيطرة التي تنسق الهجمات الجماعية.
كما أن بعض أطقم إطلاق الصواريخ الإيرانية، بحسب الجيش، أصبحت غير قادرة على تنفيذ مهامها أو تجبر على الإطلاق بشكل غير دقيق بسبب استهدافها من قبل سلاح الجو الإسرائيلي.
ومن خلال تحليل نمط الهجمات في الأيام الأخيرة، تبين للجبهة الداخلية أن إيران خففت من كثافة إطلاق الصواريخ، وقلصت عدد الصواريخ في كل هجوم.
وأبرزت الصحيفة: "لا يزال بإمكان طهران أن تتفوق على الجيش الإسرائيلي وتنفذ ضربات قاتلة. قد يُجبر ذلك إسرائيل على التراجع وإعادة فرض المزيد من القيود".
بالتعاون مع الملحن أحمد زعيم.. آدم البنا يطرح أغنية بتاع الصبر