عصابات برامج الفدية تستغل سمعة LockBit للضغط على الضحايا في هجمات جديدة
يطور مجرمو الإنترنت تكتيكاتهم باستمرار، وتتضمن إحدى استراتيجياتهم الأخيرة الاستفادة من سمعة برنامج الفدية LockBit سيئ السمعة لتخويف الضحايا. وقد شهدت الهجمات الأخيرة قيام جهات التهديد باستغلال ميزة Transfer Acceleration في Amazon S3 لاستخراج البيانات، باستخدام اسم LockBit لإثارة الخوف، على الرغم من أنه ليس برنامج الفدية الفعلي المعني.
اتجاه متزايد: إساءة استخدام خدمات الحوسبة السحابية
لاحظ باحثو الأمن من Trend Micro ارتفاعًا في عدد مجموعات برامج الفدية التي تسيء استخدام Amazon Web Services (AWS). يقوم المهاجمون الآن بتضمين بيانات اعتماد AWS داخل برامجهم الخبيثة لسرقة البيانات بكفاءة أكبر من خلال تحميلها إلى دلاء S3 الخاضعة لسيطرتهم. وبينما يمكن للمهاجمين استخدام حسابات AWS الخاصة بهم أو المسروقة، فإن النتيجة هي نفسها: تنتهي البيانات الحساسة في أيديهم. ولحسن الحظ، تحركت AWS بسرعة، حيث أوقفت الحسابات المخترقة بمجرد تنبيهها من قبل Trend Micro.
يشير هذا الاتجاه إلى أن مجرمي الإنترنت أصبحوا أكثر مهارة في تسليح خدمات الحوسبة السحابية الشائعة لتعزيز هجماتهم. اكتشفت Trend Micro أكثر من 30 عينة تحتوي على مفاتيح وصول AWS، مما يشير إلى أن هذه الحملات نشطة ومتوسعة.
التمويه في صورة LockBit لتشديد الخناق
في هذه الهجمات، حاول مشغلو برامج الفدية إخفاء برمجياتهم الخبيثة تحت اسم LockBit، وهو اسم سيئ السمعة في عالم برامج الفدية. ومن خلال استدعاء اسم LockBit، كان المهاجمون يهدفون إلى إضافة الضغط النفسي، مما يجعل الضحايا أكثر ميلاً إلى دفع الفدية بسبب الخوف. يمكن لبرنامج الفدية، المكتوب بلغة Golang، أن يصيب أنظمة Windows وmacOS، لكنه ليس مرتبطًا بشكل مباشر بمجموعة LockBit الأصلية.
بعد التنفيذ، يستحوذ برنامج الفدية على معرف فريد للجهاز (UUID)، والذي يستخدم لتوليد مفتاح رئيسي لتشفير الملفات. ويستهدف أنواع ملفات معينة، ويستخرجها إلى AWS، ويعيد تسمية الملفات في هذه العملية. على سبيل المثال، يصبح الملف المسمى "text.txt" "text.txt. وأخيرًا، لتكثيف عامل الخوف، يقوم برنامج الفدية بتغيير خلفية شاشة الضحية إلى رسالة LockBit 2.0، مما يربط الهجوم بشكل خاطئ بعصابة برامج الفدية المعروفة. المشهد المتطور للتهديدات التي تشكلها برامج الفدية
تأتي هذه التطورات في الوقت الذي يستمر فيه مشهد برامج الفدية في التحول. وفي حين تم إضعاف LockBit بسبب جهود إنفاذ القانون الدولية ، فإن مجموعات أخرى مثل RansomHub و Qilin و Akira تتدخل لملء الفراغ. وقد عادت Akira، على وجه الخصوص، إلى تكتيكات الابتزاز المزدوج، حيث تجمع بين سرقة البيانات والتشفير. كما كشف باحثو شركة SentinelOne أن الشركات التابعة لعملية Mallox ransomware بدأت في استخدام إصدارات معدلة من Kryptina ransomware لاختراق أنظمة Linux. ويسلط هذا التنوع الضوء على كيفية قيام مجموعات برامج الفدية بتلقيح مجموعات أدوات مختلفة وإنشاء سلالات أكثر تعقيدًا وهجينة من البرامج الضارة. المعركة ضد برامج الفدية وعلى الرغم من التعقيد المتزايد لهجمات برامج الفدية، فقد حدثت بعض التطورات الإيجابية. على سبيل المثال، أصدرت شركة Gen Digital برنامج فك تشفير لفيروس الفدية Mallox، مما يمنح الضحايا فرصة استعادة ملفاتهم مجانًا إذا أصيبوا بنوع سابق. ورغم أن هذا ليس حلاً لجميع ضحايا برامج الفدية، إلا أنه يُظهر أن هناك تقدمًا يتم إحرازه في مكافحة هذه التهديدات. بالإضافة إلى ذلك، أشار تقرير مايكروسوفت الأخير إلى أنه في حين انخفض الحجم الإجمالي لهجمات برامج الفدية، فقد زادت حوادث برامج الفدية التي ينفذها البشر بشكل كبير. ويشير هذا التحول إلى هجمات أكثر استهدافًا حيث يدير مجرمو الإنترنت عملياتهم بنشاط، مما يزيد من الضغوط على المنظمات لتظل يقظة. تستمر هجمات برامج الفدية في التطور، حيث يستغل المهاجمون بشكل متزايد خدمات الحوسبة السحابية ويخفون جهودهم تحت أسماء معروفة مثل LockBit. إن التعقيد المتزايد لهذه الهجمات يعني أن المنظمات بحاجة إلى البقاء في الصدارة، والاستثمار في تدابير الأمن السيبراني القوية والبقاء حذرة من التهديدات الناشئة. في حين أن بعض الانتصارات، مثل إصدار أجهزة فك التشفير، تشكل خطوة في الاتجاه الصحيح، فإن المعركة ضد برامج الفدية لم تنته بعد.