المصدر -
كشف تحليل للحوادث الرقمية أجرته كاسبرسكي لواقعتين حدثتا في أوروبا وآسيا عن أن برمجية VHD Ransomware الخبيثة المستخدمة في هجمات طلب الفدية، والتي نوقشت في العلن لأول مرة في ربيع العام 2020، مملوكة من مجموعة Lazarus التخريبية من كوريا الشمالية، والتي تقف وراء كثير من التهديدات المتقدمة المستمرة في عالم الإنترنت. ويشير هذا الاكتشاف إلى بدء اهتمام العصابة الشهيرة في مجال الجريمة الرقمية بإنشاء برامج طلب الفدية وتوزيعها، ما يدلّ على تغيّر في استراتيجيتها واستعدادها للسعي وراء المكاسب المالية الكبيرة، وهو أمر غير معتاد بين المجموعات التخريبية التي تحظى برعاية حكومية.
وكانت كاسبرسكي، وشركات أخرى عاملة في مجال الأمن الرقمي، أبلغت خلال مارس وإبريل الماضيين عن برمجية VHD Ransomware الخبيثة، المصممة لابتزاز الضحايا عبر "الاختطاف الرقمي" لأجهزتهم بتشفير محتواها، ثمّ طلب فدية مالية مقابل فك التشفير. وقد برزت هذه البرمجية بسبب طريقتها في الانتشار عبر النسخ الذاتي. وتَستخدم هذه البرمجية أداة خاصة لتوزيع نفسها مترافقة مع بيانات اعتماد خاصة بكل ضحية، في طريقة تستحضر حملات التهديدات المتقدمة المستمرة، المعروفة اختصارًا بـ APT. وبينما لم تُحدّد في ذلك الوقت الجهة القائمة وراء هذا الهجوم، ربط باحثو كاسبرسكي برمجية VHD Ransomware بعصابة Lazarus، بمستوى ثقة مرتفع، وذلك بعد تحليل حادثة استُخدِمت فيها هذه البرمجية باقتران وثيق الصلة بأدوات Lazarus المعروفة ضد شركات في فرنسا وآسيا.
وأجرت كاسبرسكي بين مارس ومايو الماضيين تحقيقين في حادثين منفصلين استخدمت فيهما برمجية VHD Ransomware. ومع أن الحادث الأول الذي وقع في أوروبا لم يعطِ الكثير من التلميحات حول الجهة التي تقف وراءه، فإن أساليب الانتشار المشابهة لتلك التي تستخدمها عصابات APT أثارت الفضول لدى فريق التحقيق. وعلاوة على ذلك، لم يتناسب الهجوم مع طريقة العمل المعتادة لدى العصابات المعروفة التي تسعى وراء العمليات الكبيرة، كما أن العدد المحدود المتاح من عينات برمجية VHD، بجانب محدودية المراجع العامة، يشيران إلى أن عائلة برمجيات الفدية هذه قد لا يتمّ تداولها على نطاق واسع في منتديات الإنترنت المظلمة، كما هو الحال عادة.
أما الحادثة الثانية فقدّمت صورة كاملة لسلسلة الإصابة ومكّنت الباحثين من ربط برمجيات الفدية بعصابة Lazarus. لكن الأهمّ تمثّل في استخدام المهاجمين منفذّا خلفيًا ضمن منظومة متعددة المنصات تسمّى MATA، كانت كاسبرسكي وضعت حديثًا تقريرًا مفصلًا في شأنها وربطتها بهذه العصابة نظرًا لعدد من القواسم المشتركة بين الشيفرات البرمجية والأداة المستخدمة.
وأشارت هذه الصلة إلى أن Lazarus كانت وراء حملات VHD Ransomware التي وُثّقت حتى الآن. كما كانت هذه المرة الأولى التي ثبت فيها أن مجموعة Lazarus لجأت إلى هجمات الفدية الموجّهة لتحقيق مكاسب مالية، بعد أن أنشأت وشغّلت وحدها برمجيات الفدية الخاصة بها، وهو أمر رأى الخبراء أنه غير معتاد في منظومة الجريمة الرقمية.
وقال إفان كوياتكوسكي الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن عصابة Lazarus لطالما ركزت في عملها على تحقيق المكاسب المالية، مشيرًا مع ذلك إلى ما يبدو أنه "توقّف في نشاطها المرتبط بطلب الفدية منذ حملة WannaCry الشهيرة". واعتبر عودة العصابة إلى هذا النوع من الهجمات "مثيرًا للقلق"، بالرغم من عدم قدرتها على مضاهاة العصابات الرقمية الأخرى في قدراتها الإجرامية، لا سيما في أسلوب الكر والفر باستخدام هجمات الفدية الموجّهة، مؤكّدًا أن التهديد العالمي الذي تمثّله هذه الهجمات "كبير وغالبًا ما يُحدث تبعات مالية كبيرة على الشركات التي تقع ضحية له، والتي قد يصل بها إلى درجة الإفلاس".
وأضاف كوياتكوسكي: "لكن السؤال المطروح الآن ينصبّ باتجاه ما إذا كانت هذه الهجمات تجربة منعزلة أو جزءًا من توجّه جديد، وبالتالي، ما إذا كان يتعيّن على الشركات والمؤسسات أن تقلق بشأن إمكانية وقوعها ضحية للعصابات الرقمية الإجرامية التي تحظى برعاية حكومية. لكن على الشركات في كل الأحوال ألاّ تنسى أهمية حماية البيانات وتحرص دائمًا على إنشاء نسخ احتياطية معزولة من البيانات الأساسية، والاستثمار في الحلول الدفاعية الرقمية التفاعلية".
ويوصي الخبراء الشركات والمؤسسات باتخاذ التدابير التالية لمساعدتها على البقاء آمنة من هجمات الفدية:
• تقليل فرصة اختراق برمجيات الفدية لأنظمة الشركة عبر محاولات التصيّد أو استغلال إهمال الموظفين، عبر شرح أهمية اتباع القواعد الأمنية البسيطة للموظفين لمساعدة الشركة على تجنّب حوادث الفدية. ويمكن أن تساعد في ذلك الدورات التدريبية التخصصية، مثل المتاحة في Kaspersky Automated Security Awareness Platform.
• الحرص على التحديث الدائم لجميع البرمجيات والتطبيقات والأنظمة. واستخدام حلّ أمني يتمتع بمزايا إدارة الثغرات والتصحيحات، للمساعدة في تحديد الثغرات الأمنية التي لم يجرِ إصلاحها.
• إجراء تدقيق أمني على الشبكات ومعالجة الثغرات التي قد تكتشف في محيطها أو داخلها.
• التأكد من وجود الحماية المناسبة لجميع النقاط الطرفية والخوادم، من خلال اعتماد حلّ مثل Integrated Endpoint Security من كاسبرسكي، الذي يجمع بين أمن النقاط الطرفية ووظيفة بيئة الفحص المنعزلة المعروفة بـ"صندوق الرمل" Sandbox وقدرات الكشف عن التهديدات عند النقاط الطرفية والاستجابة بها (EDR)، ما يتيح حماية فعالة حتى من الأنواع الجديدة من تهديدات الفدية، وقدرة على الرؤية الفورية للتهديدات المكتشفة.
• منح فريق الأمن الرقمي إمكانية الوصول إلى أحدث معلومات التهديدات لإبقائه على اطلاع على الأدوات والأساليب والتكتيكات الجديدة والناشئة التي تستخدمها العصابات الرقمية والجهات التخريبية على الإنترنت.
• الامتناع عن سداد أية فِدية تطلبها العصابات عند الوقوع ضحية لهجمة لطلب الفدية، والمسارعة لإبلاغ السلطات الأمنية المعنية عن الحادث، نظرًا لكون هذا النوع من الهجمات جريمة جنائية. والبحث في الإنترنت عن أداة لفك التشفير، بعضها متاح على الموقع www.nomoreransom.org.
معلومات أوفى عن الحوادث المذكورة التي استخدمت فيها برمجيات VHD متاحة على Securelist.com.
وكانت كاسبرسكي، وشركات أخرى عاملة في مجال الأمن الرقمي، أبلغت خلال مارس وإبريل الماضيين عن برمجية VHD Ransomware الخبيثة، المصممة لابتزاز الضحايا عبر "الاختطاف الرقمي" لأجهزتهم بتشفير محتواها، ثمّ طلب فدية مالية مقابل فك التشفير. وقد برزت هذه البرمجية بسبب طريقتها في الانتشار عبر النسخ الذاتي. وتَستخدم هذه البرمجية أداة خاصة لتوزيع نفسها مترافقة مع بيانات اعتماد خاصة بكل ضحية، في طريقة تستحضر حملات التهديدات المتقدمة المستمرة، المعروفة اختصارًا بـ APT. وبينما لم تُحدّد في ذلك الوقت الجهة القائمة وراء هذا الهجوم، ربط باحثو كاسبرسكي برمجية VHD Ransomware بعصابة Lazarus، بمستوى ثقة مرتفع، وذلك بعد تحليل حادثة استُخدِمت فيها هذه البرمجية باقتران وثيق الصلة بأدوات Lazarus المعروفة ضد شركات في فرنسا وآسيا.
وأجرت كاسبرسكي بين مارس ومايو الماضيين تحقيقين في حادثين منفصلين استخدمت فيهما برمجية VHD Ransomware. ومع أن الحادث الأول الذي وقع في أوروبا لم يعطِ الكثير من التلميحات حول الجهة التي تقف وراءه، فإن أساليب الانتشار المشابهة لتلك التي تستخدمها عصابات APT أثارت الفضول لدى فريق التحقيق. وعلاوة على ذلك، لم يتناسب الهجوم مع طريقة العمل المعتادة لدى العصابات المعروفة التي تسعى وراء العمليات الكبيرة، كما أن العدد المحدود المتاح من عينات برمجية VHD، بجانب محدودية المراجع العامة، يشيران إلى أن عائلة برمجيات الفدية هذه قد لا يتمّ تداولها على نطاق واسع في منتديات الإنترنت المظلمة، كما هو الحال عادة.
أما الحادثة الثانية فقدّمت صورة كاملة لسلسلة الإصابة ومكّنت الباحثين من ربط برمجيات الفدية بعصابة Lazarus. لكن الأهمّ تمثّل في استخدام المهاجمين منفذّا خلفيًا ضمن منظومة متعددة المنصات تسمّى MATA، كانت كاسبرسكي وضعت حديثًا تقريرًا مفصلًا في شأنها وربطتها بهذه العصابة نظرًا لعدد من القواسم المشتركة بين الشيفرات البرمجية والأداة المستخدمة.
وأشارت هذه الصلة إلى أن Lazarus كانت وراء حملات VHD Ransomware التي وُثّقت حتى الآن. كما كانت هذه المرة الأولى التي ثبت فيها أن مجموعة Lazarus لجأت إلى هجمات الفدية الموجّهة لتحقيق مكاسب مالية، بعد أن أنشأت وشغّلت وحدها برمجيات الفدية الخاصة بها، وهو أمر رأى الخبراء أنه غير معتاد في منظومة الجريمة الرقمية.
وقال إفان كوياتكوسكي الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن عصابة Lazarus لطالما ركزت في عملها على تحقيق المكاسب المالية، مشيرًا مع ذلك إلى ما يبدو أنه "توقّف في نشاطها المرتبط بطلب الفدية منذ حملة WannaCry الشهيرة". واعتبر عودة العصابة إلى هذا النوع من الهجمات "مثيرًا للقلق"، بالرغم من عدم قدرتها على مضاهاة العصابات الرقمية الأخرى في قدراتها الإجرامية، لا سيما في أسلوب الكر والفر باستخدام هجمات الفدية الموجّهة، مؤكّدًا أن التهديد العالمي الذي تمثّله هذه الهجمات "كبير وغالبًا ما يُحدث تبعات مالية كبيرة على الشركات التي تقع ضحية له، والتي قد يصل بها إلى درجة الإفلاس".
وأضاف كوياتكوسكي: "لكن السؤال المطروح الآن ينصبّ باتجاه ما إذا كانت هذه الهجمات تجربة منعزلة أو جزءًا من توجّه جديد، وبالتالي، ما إذا كان يتعيّن على الشركات والمؤسسات أن تقلق بشأن إمكانية وقوعها ضحية للعصابات الرقمية الإجرامية التي تحظى برعاية حكومية. لكن على الشركات في كل الأحوال ألاّ تنسى أهمية حماية البيانات وتحرص دائمًا على إنشاء نسخ احتياطية معزولة من البيانات الأساسية، والاستثمار في الحلول الدفاعية الرقمية التفاعلية".
ويوصي الخبراء الشركات والمؤسسات باتخاذ التدابير التالية لمساعدتها على البقاء آمنة من هجمات الفدية:
• تقليل فرصة اختراق برمجيات الفدية لأنظمة الشركة عبر محاولات التصيّد أو استغلال إهمال الموظفين، عبر شرح أهمية اتباع القواعد الأمنية البسيطة للموظفين لمساعدة الشركة على تجنّب حوادث الفدية. ويمكن أن تساعد في ذلك الدورات التدريبية التخصصية، مثل المتاحة في Kaspersky Automated Security Awareness Platform.
• الحرص على التحديث الدائم لجميع البرمجيات والتطبيقات والأنظمة. واستخدام حلّ أمني يتمتع بمزايا إدارة الثغرات والتصحيحات، للمساعدة في تحديد الثغرات الأمنية التي لم يجرِ إصلاحها.
• إجراء تدقيق أمني على الشبكات ومعالجة الثغرات التي قد تكتشف في محيطها أو داخلها.
• التأكد من وجود الحماية المناسبة لجميع النقاط الطرفية والخوادم، من خلال اعتماد حلّ مثل Integrated Endpoint Security من كاسبرسكي، الذي يجمع بين أمن النقاط الطرفية ووظيفة بيئة الفحص المنعزلة المعروفة بـ"صندوق الرمل" Sandbox وقدرات الكشف عن التهديدات عند النقاط الطرفية والاستجابة بها (EDR)، ما يتيح حماية فعالة حتى من الأنواع الجديدة من تهديدات الفدية، وقدرة على الرؤية الفورية للتهديدات المكتشفة.
• منح فريق الأمن الرقمي إمكانية الوصول إلى أحدث معلومات التهديدات لإبقائه على اطلاع على الأدوات والأساليب والتكتيكات الجديدة والناشئة التي تستخدمها العصابات الرقمية والجهات التخريبية على الإنترنت.
• الامتناع عن سداد أية فِدية تطلبها العصابات عند الوقوع ضحية لهجمة لطلب الفدية، والمسارعة لإبلاغ السلطات الأمنية المعنية عن الحادث، نظرًا لكون هذا النوع من الهجمات جريمة جنائية. والبحث في الإنترنت عن أداة لفك التشفير، بعضها متاح على الموقع www.nomoreransom.org.
معلومات أوفى عن الحوادث المذكورة التي استخدمت فيها برمجيات VHD متاحة على Securelist.com.