BlackLock Ransomware

لا تزال برامج الفدية تُعدّ من أخطر التهديدات الإلكترونية، حيث تتطور هجماتها من حيث التعقيد والتأثير. وتُطوّر مجموعات مجرمي الإنترنت أساليبها باستمرار، مُستهدفةً الشركات والأفراد على حد سواء. ومن أحدث التهديدات وأكثرها إثارةً للقلق مجموعة BlackLock، وهي مجموعة برامج فدية متطورة اكتسبت شهرةً واسعةً بسرعة. يُعدّ فهم آلية عمل BlackLock وتطبيق تدابير أمنية فعّالة أمرًا بالغ الأهمية للحدّ من المخاطر وحماية البيانات القيّمة.

بلاك لوك: تهديد مُعاد تسميته ومتطور

ظهر برنامج الفدية بلاك لوك لأول مرة في مارس 2024 تحت اسم إلدورادو قبل تغيير علامته التجارية لاحقًا في ذلك العام. يعمل البرنامج باستخدام نموذج "برمجيات الفدية كخدمة" (RaaS)، حيث يُقدم المطورون برمجيات خبيثة للشركات التابعة مقابل حصة من مدفوعات الفدية.

صعّدت هذه المجموعة عملياتها بسرعة، حيث شنّت ما لا يقل عن 48 هجومًا خلال الشهرين الأولين من عام 2025، مستهدفةً بشكل رئيسي قطاعي البناء والعقارات. يُشفّر برنامج الفدية الخاص بها الملفات عبر بيئات Windows وVMware ESXi وLinux، على الرغم من أن نسخة Linux لا تزال قيد التطوير. يتلقى الضحايا إشعارات فدية بعنوان "HOW_RETURN_YOUR_DATA.TXT"، تطالب بدفع فدية بيتكوين لمنع تسريب البيانات.

توسع شبكة الويب المظلمة لـ BlackLock

ساهم في نمو بلاكلوك جهود تجنيد مكثفة في منتديات سرية مثل RAMP، وهي منصة جرائم إلكترونية ناطقة باللغة الروسية. وتسعى بنشاط إلى:

• الشركات التابعة لشن الهجمات
• وسطاء الوصول الأولي لتوفير نقاط الدخول إلى الشبكات
• المتسللون الذين يتلاعبون بحركة المرور على الويب لإصابة الضحايا بالبرامج الضارة

وتستخدم مجموعة برامج الفدية تقنيات مكافحة المراقبة لإعاقة الباحثين الأمنيين، مما يجعل من الصعب تتبع البيانات المسروقة أو تحليل أنماط الهجوم.

القدرات التقنية: إرث إلدورادو

يُعتقد على نطاق واسع أن بلاك لوك هو نسخة مُعاد تسميتها من إل دورادو، متبعًا نمطًا نموذجيًا في تطور برامج الفدية. فكما أصبح بابوك بابلوك، وظهر ريفيل مجددًا باسم بلاك ماتر ، لا يزال بلاك لوك يحتفظ بمعظم الأسس التقنية لإلدورادو، مع تحسينات رئيسية:

• لغة البرمجة : تم تطويرها بلغة Golang، مما يسمح بالهجمات عبر الأنظمة الأساسية.

• طرق التشفير : يتم استخدام ChaCha20 لتشفير الملفات، ويتم استخدام RSA-OAEP لحماية المفتاح، مما يجعل فك التشفير مستحيلاً تقريبًا بدون المفتاح الخاص للمهاجم.

• استغلال SMB : قادر على تشفير الملفات على الشبكات المشتركة، مما يزيد من تأثيره على بيئات المؤسسات.

• سرعات تشفير أسرع : مصممة للضغط على الضحايا من خلال تسريع عملية التشفير.

كيفية حماية مؤسستك من BlackLock

يتطلب منع الإصابة ببرامج الفدية اتباع نهج أمني متعدد الطبقات. إليك أفضل الممارسات لتعزيز دفاعاتك:

1. احتفظ بنسخ احتياطية آمنة خارج الموقع : احتفظ بنسخ احتياطية متعددة من البيانات الأساسية، بما في ذلك النسخ الاحتياطية غير المتصلة بالإنترنت التي لا يمكن لبرامج الفدية الوصول إليها. اختبر إجراءات استعادة النسخ الاحتياطية بانتظام لضمان عملها في حال التعرض لهجوم.
2. تطبيق تدابير أمنية صارمة : تحديث البرامج والأنظمة لسد الثغرات الأمنية قبل استغلالها من قِبل المهاجمين. نشر حلول الكشف عن نقاط النهاية والاستجابة لها (EDR) للتخفيف الاستباقي من التهديدات. استخدام تجزئة الشبكة للحد من قدرة برامج الفدية على الانتشار عبر الأنظمة.
3. تعزيز المصادقة وضوابط الوصول : فرض المصادقة متعددة العوامل (MFA) على جميع الحسابات الحساسة. تطبيق الحد الأدنى من صلاحيات الوصول - منح المستخدمين الأذونات اللازمة لأدوارهم فقط. استخدم كلمات مرور قوية وفريدة، وفكّر في استخدام برامج إدارة كلمات المرور لمنع تسريب بيانات الاعتماد.
4. تعزيز وعي الموظفين : تدريب الموظفين على تمييز رسائل التصيد الاحتيالي وغيرها من نقاط الدخول الشائعة لبرامج الفدية. برمج دورات تدريبية منتظمة للتوعية الأمنية لإبقاء الموظفين على اطلاع دائم بالتهديدات الناشئة. ضع بروتوكولات واضحة للاستجابة للحوادث لضمان سرعة اتخاذ الإجراءات اللازمة عند وقوع أي هجوم.

الاستنتاج: كن على دراية بتهديدات برامج الفدية الناشئة

رسّخ برنامج الفدية بلاك لوك (BlackLock Ransomware) نفسه بسرعة كتهديد خطير في منظومة الجرائم الإلكترونية. وبفضل استفادته من نموذج RaaS المُجرّب، وإعادة تصميم علامته التجارية من إلدورادو، واستخدامه تقنيات تشفير متطورة، رسّخ نفسه كتهديد رئيسي في عام 2025. أفضل دفاع ضد برامج الفدية هو الوقاية - يجب على المؤسسات اعتماد تدابير أمنية فعّالة، والحفاظ على نسخ احتياطية قوية، وتثقيف الموظفين للحد من المخاطر. ومع استمرار تطور برامج الفدية، فإن استباق هذه التهديدات هو مفتاح مرونة الأمن السيبراني.