Moneybird Ransomware

قامت مجموعة القراصنة الإيرانية Agrius ، المعروفة أيضًا باسم Pink Sandstorm و Americium سابقًا ، بتطوير سلالة جديدة من برامج الفدية تسمى Moneybird. وقد لوحظ أن هذا البرنامج الضار المهدد يستهدف المنظمات الإسرائيلية على وجه التحديد ، مما يدل على تحول كبير في تكتيكات Agrius.

مجرمو الإنترنت يوسعون ترسانة أرسانتهم التي تشكل تهديدًا

Agrius لها تاريخ في تنفيذ هجمات مدمرة لمحو البيانات ضد الكيانات الإسرائيلية ، وغالبًا ما تخفيها على أنها حوادث برامج فدية. يُظهر ظهور Moneybird ، المشفر بلغة C ++ ، خبرة المجموعة المتزايدة والتزامها المستمر بإنشاء أدوات إلكترونية جديدة.

يمكن إرجاع أنشطة المجموعة إلى ديسمبر 2020 على الأقل ، عندما شارك Agrius في تعطيل محاولات التسلل التي تستهدف صناعات الماس في جنوب إفريقيا وإسرائيل وهونغ كونغ. في السابق ، استخدم Agrius برنامج ممسحة تحول إلى فدية يسمى Apostle ، استنادًا إلى .NET framework وخليفته المسمى Fantasy. ومع ذلك ، تمثل Moneybird تقدمًا كبيرًا للمجموعة ، حيث تعرض قدراتها الإلكترونية المتطورة من خلال لغة البرمجة C ++ الخاصة بها.

تستغل جهات التهديد نقاط الضعف الأمنية للوصول إليها

توضح منهجية الهجوم التي يستخدمها Moneybird Ransomware مستوى عالٍ من التطور ، بدءًا من استغلال نقاط الضعف الموجودة في خوادم الويب المواجهة للإنترنت. يمنح هذا الاستغلال الأولي المهاجمين نقطة دخول مهمة إلى شبكة المؤسسة المستهدفة ، يتم تسهيلها من خلال نشر قشرة ويب ASPXSpy.

بمجرد دخول الشبكة المخترقة ، تعمل قذيفة الويب كقناة اتصال للمهاجمين لتنفيذ مجموعة من الأدوات المعروفة المصممة خصيصًا لإجراء استطلاع مكثف لبيئة الضحية. تمكن هذه الأدوات المهاجمين من التحرك بشكل جانبي داخل الشبكة ، وجمع بيانات اعتماد قيمة ، وتسلل البيانات الحساسة.

تم تجهيز Moneybird Ransomware بإمكانيات تشفير متقدمة

بعد مرحلة التسلل والاستطلاع الأولية ، يتم تنشيط Moneybird Ransomware على المضيف المخترق. تم تصميم برنامج الفدية هذا مع التركيز بشكل خاص على تشفير الملفات الحساسة الموجودة داخل المجلد "F: \ User Shares". عند التنفيذ ، تنشر برامج الفدية مذكرة فدية ، مما يشكل ضغطًا هائلاً على الضحايا لإقامة اتصال خلال إطار زمني مدته 24 ساعة ، وتحذيرهم من التسرب العام المحتمل لبياناتهم المسروقة.

يستخدم Moneybird Ransomware منهجية تشفير متطورة للغاية ، باستخدام AES-256 مع GCM (Galois / Counter Mode). تقوم تقنية التشفير المتقدمة هذه بإنشاء مفاتيح تشفير فريدة لكل ملف وإلحاق البيانات الوصفية المشفرة في النهاية. يجعل الاستهداف الدقيق والتشفير القوي الذي تنفذه Moneybird مهمة استعادة البيانات وفك تشفير الملفات صعبة للغاية ، إن لم تكن شبه مستحيلة ، في معظم الحالات.

إجراءات أمنية مهمة لإيقاف هجوم برامج الفدية

يمكن تنفيذ إجراءات أمنية فعالة لحماية الأجهزة والبيانات من هجمات برامج الفدية الضارة. أولاً ، يعد الحفاظ على برامج الأمان المحدثة والقوية أمرًا ضروريًا. يساعد التحديث المنتظم لبرامج مكافحة البرامج الضارة ، جنبًا إلى جنب مع تمكين التحديثات التلقائية ، على الحماية من أحدث التهديدات.

يعد تنفيذ كلمات مرور قوية وفريدة من نوعها لجميع الحسابات خطوة مهمة أخرى. يتضمن ذلك استخدام مجموعة من الأحرف والأرقام والرموز ، بالإضافة إلى تجنب كلمات المرور الشائعة والتي يسهل تخمينها. بالإضافة إلى ذلك ، يضيف تمكين المصادقة متعددة العوامل طبقة إضافية من الأمان من خلال طلب خطوات تحقق إضافية للوصول إلى الحسابات.

يعد النسخ الاحتياطي للبيانات ذات الصلة بشكل منتظم أمرًا حيويًا للتخفيف من تأثير هجوم برامج الفدية. يضمن إنشاء نسخ احتياطية في وضع عدم الاتصال أو استخدام حلول التخزين السحابي إمكانية استرداد الملفات الهامة في حالة التشفير أو الفقد.

من الضروري توخي الحذر أثناء تصفح الإنترنت والتفاعل مع رسائل البريد الإلكتروني. يجب على المستخدمين ممارسة الشك عند النقر على الروابط المشبوهة أو تنزيل الملفات من مصادر غير موثوق بها. من الضروري توخي الحذر وتجنب زيارة مواقع الويب التي قد تكون ضارة أو التعامل مع رسائل البريد الإلكتروني المشبوهة ، حيث قد تحتوي على حمولات برامج الفدية.

يعد تثقيف الذات والبقاء على اطلاع بأحدث تهديدات الأمن السيبراني وتقنيات الهجوم مفيدًا للغاية. إن التعرف على أساليب الهندسة الاجتماعية الشائعة المستخدمة في هجمات التصيد الاحتيالي وإدراك علامات الإصابة المحتملة ببرنامج الفدية يمكن أن يساعد المستخدمين على اتخاذ تدابير استباقية لمنع مثل هذه الهجمات والاستجابة لها.

يعد التحديث المنتظم لأنظمة التشغيل والتطبيقات والبرامج الثابتة جانبًا حيويًا آخر للحفاظ على أمان قوي. غالبًا ما تتضمن التصحيحات والتحديثات إصلاحات أمنية تعالج الثغرات الأمنية التي يمكن استغلالها بواسطة برامج الفدية والبرامج الضارة الأخرى.

من خلال تنفيذ مجموعة من هذه الإجراءات الأمنية ، يمكن للمستخدمين تعزيز حماية أجهزتهم وبياناتهم من التأثير المدمر لهجمات برامج الفدية.