خلَفًا لعصابتي «بلاك ماتر» و«ريفيل»
كشف تقرير جديد بعنوان «بلاك كات جالبة الحظ السيئ» عن تفاصيل حادثين نفذتهما عصابة طلب الفدية «بلاك كات»، التي تُعدّ أحد أبرز عصابات الإنترنت المختصة في هذا المجال، نظرًا لتعقيد البرمجيات التي تستخدمها واتساع خبرة الذين يقفون وراءها، وتؤكد الأدوات والأساليب التي توظفها العصابة أثناء هجماتها وجود صلة بينها وبين عصابات فدية أخرى معروفة، مثل «ريفيل»، و«بلاك ماتر».
برمجية متقدمة
وظهرت عصابة «بلاك كات»، في مجال تهديدات طلب الفدية منذ ديسمبر الماضي، وبخلاف العديد من الجهات الفاعلة في هذا المجال، فإن برمجيات «بلاك كات» الخبيثة تُكتب بلغة البرمجة «رست»، ذات الإمكانيات البرمجية المتقدمة التي تتيح للعصابة استهداف أنظمة «ويندوز» و«لينكس».
ووفقًا لباحثي «كاسبرسكي» الذين أعدوا التقرير، استطاعت «بلاك كات»، إحداث تطوّرات تدريجية وتحوّل في التقنيات المستخدمة للتصدّي للتحدّيات التي تواجه مشهد تطوير هجمات برمجيات الفدية.
روابط مباشرة
وتزعم العصابة أنها جاءت خلَفًا لعصابتي طلب الفدية الشهيرتين «بلاك متر»، و«ريفيل»، وتشير قياسات كاسبرسكي المستمدّة عن بُعد إلى وجود روابط مباشرة بين بعض أعضاء العصابة الأولى و«بلاك كات»، نظرًا لاستخدامهم أدوات وتقنيات مشابهة.
وألقى التقرير الجديد الضوء على حادثين رقميين مهمّين، يوضح أحدهما الأخطار التي تمثلها موارد الاستضافة المشتركة في البيئات السحابية، والآخر يوضح نهجًا يتسم بالخفة في إعادة استخدام البرمجيات الخبيثة المعدَّلة والمستخدمة في أنشطة «بلاك كات»، و«بلاك متر».
الحادث الأول يتمثل الحادث الأول بهجوم شُنّ ضدّ أحد مقدّمي خدمات التخطيط للموارد المؤسسية في الشرق الأوسط له مواقع متعددة ويعاني ثغرات أمنية، وأوصل المهاجمون بالتزامن ملفَين تنفيذيين مختلفين إلى جهاز خادم واحد، مستهدفين شركتين من الشركات التي يستضيفها عليه.
وبالرغم من أن العصابة ظنّت بالخطأ أن الخادم عبارة عن جهازين مختلفين، فقد ترك المهاجمون «مسارات» كانت مهمّة لتحديد أسلوب التشغيل المتبع من عصابة «بلاك كات»، التي وجد باحثو كاسبرسكي أنها تستغل الأخطار الكامنة في الأصول المشتركة في الموارد السحابية.
وكذلك قامت العصابة في هذا الحادث بإيصال ملف «باتش» مبني ببرمجية «ميمي كاتز»، مع برمجيات تنفيذية وأدوات «نيرسوفت» خاصة باستعادة كلمات المرور.
وكان حادث مماثل وقع في العام 2019 ظهر فيه أن «ريفيل»، التي سبقت ظهور «بلاك ماتر»، قد اخترقت خدمة سحابية تدعم الكثير من عيادات الأسنان في الولايات المتحدة.
ومن المرجّح أن تكون «بلاك كات» تبنَّت بدورها حاليًا بعض هذه الأساليب القديمة.
تقنية معدلةأما الحادث الآخر، فأصاب شركة عاملة في مجالات النفط والغاز والتعدين والإنشاءات في أمريكا الجنوبية، ويكشف عن العلاقة بين نشاط «بلاك كات» و«بلاك متر» في نشاط طلب الفدية.
ولم يقتصر الأمر على محاولة العصابة إيصال برمجية طلب الفدية «بلاك كات» إلى الشبكة المستهدفة، ولكنها استبقت هذه الخطوة بتثبيت أداة التنقية المعدّلة «فندر»، التي تُعرف أيضًا بالاسم «إكس ماتر»، والتي كانت تُستخدم سابقًا وحصريًا ضمن نشاط طلب الفدية الخاص بالعصابة «بلاك ماتر».
توحيد الجهودوقال ديميتري الوف الباحث الأمني في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن «بلاك كات»، حلّت محلّ العصابتين «ريفيل» و«بلاك ماتر» وبعد أن أنهتا نشاطهما بوقت قصير، موضحًا أن هذه العصابة الجديدة استطاعت أن تصبح إحدى أبرز العصابات في مجال برمجيات طلب الفدية، بفضل المعرفة بتطوير البرمجيات الخبيثة، والقدرة على ابتكار برمجيات خبيثة من الصفر باستخدام لغة برمجة غير مألوفة، والخبرة في الحفاظ على البنية التحتية.
وأضاف: استطعنا من خلال تحليل هذه الحوادث الكبيرة، الكشف عن الأدوات والتقنيات التي تستخدمها «بلاك كات» أثناء اختراق شبكات ضحاياها، ما يساعدنا في الحفاظ على أمن المستخدمين وحمايتهم من التهديدات المعروفة والمجهولة، مؤكدًا أهمية توحيد جهود مجتمع الأمن الرقمي ضد عصابات مجرمي الإنترنت الجدد من أجل مستقبل أكثر أمانًا.
تحديث وتوعيةويقترح الخبراء على الشركات المسارعة إلى اتخاذ بعض الإجراءات لمكافحة برمجيات طلب الفدية، من خلال الحفاظ على تحديث البرمجيات على جميع الأجهزة المؤسسية لمنع برمجيات الفدية من استغلال الثغرات الأمنية، وتوعية الموظفين بسبل حماية بيئة العمل عبر الدورات التدريبية التخصصية، وتركيز الإستراتيجية الدفاعية على الكشف عن الحركات الجانبية للبيانات ومحاولات تسريب البيانات إلى الإنترنت، والانتباه بالأخصّ لحركة البيانات الصادرة، والتي تكشف عن اتصالات مجرمي الإنترنت.
كما اقترحوا تنفيذ نسخ احتياطية من البيانات بانتظام والتأكّد من إمكانية الوصول إليها بسرعة في حالات الطوارئ، واستخدام أحدث معلومات التهديدات للبقاء على اطلاع على التكتيكات والأساليب والإجراءات التي تستخدمها عصابات الإنترنت، مؤكدين أهمية استخدام حلول، للمساعدة في تحديد الهجوم وإيقافه في مراحله الأولى قبل أن يتمكن المهاجمون من تحقيق أهدافهم النهائية.
برمجية متقدمة
وظهرت عصابة «بلاك كات»، في مجال تهديدات طلب الفدية منذ ديسمبر الماضي، وبخلاف العديد من الجهات الفاعلة في هذا المجال، فإن برمجيات «بلاك كات» الخبيثة تُكتب بلغة البرمجة «رست»، ذات الإمكانيات البرمجية المتقدمة التي تتيح للعصابة استهداف أنظمة «ويندوز» و«لينكس».
ووفقًا لباحثي «كاسبرسكي» الذين أعدوا التقرير، استطاعت «بلاك كات»، إحداث تطوّرات تدريجية وتحوّل في التقنيات المستخدمة للتصدّي للتحدّيات التي تواجه مشهد تطوير هجمات برمجيات الفدية.
روابط مباشرة
وتزعم العصابة أنها جاءت خلَفًا لعصابتي طلب الفدية الشهيرتين «بلاك متر»، و«ريفيل»، وتشير قياسات كاسبرسكي المستمدّة عن بُعد إلى وجود روابط مباشرة بين بعض أعضاء العصابة الأولى و«بلاك كات»، نظرًا لاستخدامهم أدوات وتقنيات مشابهة.
وألقى التقرير الجديد الضوء على حادثين رقميين مهمّين، يوضح أحدهما الأخطار التي تمثلها موارد الاستضافة المشتركة في البيئات السحابية، والآخر يوضح نهجًا يتسم بالخفة في إعادة استخدام البرمجيات الخبيثة المعدَّلة والمستخدمة في أنشطة «بلاك كات»، و«بلاك متر».
الحادث الأول يتمثل الحادث الأول بهجوم شُنّ ضدّ أحد مقدّمي خدمات التخطيط للموارد المؤسسية في الشرق الأوسط له مواقع متعددة ويعاني ثغرات أمنية، وأوصل المهاجمون بالتزامن ملفَين تنفيذيين مختلفين إلى جهاز خادم واحد، مستهدفين شركتين من الشركات التي يستضيفها عليه.
وبالرغم من أن العصابة ظنّت بالخطأ أن الخادم عبارة عن جهازين مختلفين، فقد ترك المهاجمون «مسارات» كانت مهمّة لتحديد أسلوب التشغيل المتبع من عصابة «بلاك كات»، التي وجد باحثو كاسبرسكي أنها تستغل الأخطار الكامنة في الأصول المشتركة في الموارد السحابية.
وكذلك قامت العصابة في هذا الحادث بإيصال ملف «باتش» مبني ببرمجية «ميمي كاتز»، مع برمجيات تنفيذية وأدوات «نيرسوفت» خاصة باستعادة كلمات المرور.
وكان حادث مماثل وقع في العام 2019 ظهر فيه أن «ريفيل»، التي سبقت ظهور «بلاك ماتر»، قد اخترقت خدمة سحابية تدعم الكثير من عيادات الأسنان في الولايات المتحدة.
ومن المرجّح أن تكون «بلاك كات» تبنَّت بدورها حاليًا بعض هذه الأساليب القديمة.
تقنية معدلةأما الحادث الآخر، فأصاب شركة عاملة في مجالات النفط والغاز والتعدين والإنشاءات في أمريكا الجنوبية، ويكشف عن العلاقة بين نشاط «بلاك كات» و«بلاك متر» في نشاط طلب الفدية.
ولم يقتصر الأمر على محاولة العصابة إيصال برمجية طلب الفدية «بلاك كات» إلى الشبكة المستهدفة، ولكنها استبقت هذه الخطوة بتثبيت أداة التنقية المعدّلة «فندر»، التي تُعرف أيضًا بالاسم «إكس ماتر»، والتي كانت تُستخدم سابقًا وحصريًا ضمن نشاط طلب الفدية الخاص بالعصابة «بلاك ماتر».
توحيد الجهودوقال ديميتري الوف الباحث الأمني في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن «بلاك كات»، حلّت محلّ العصابتين «ريفيل» و«بلاك ماتر» وبعد أن أنهتا نشاطهما بوقت قصير، موضحًا أن هذه العصابة الجديدة استطاعت أن تصبح إحدى أبرز العصابات في مجال برمجيات طلب الفدية، بفضل المعرفة بتطوير البرمجيات الخبيثة، والقدرة على ابتكار برمجيات خبيثة من الصفر باستخدام لغة برمجة غير مألوفة، والخبرة في الحفاظ على البنية التحتية.
وأضاف: استطعنا من خلال تحليل هذه الحوادث الكبيرة، الكشف عن الأدوات والتقنيات التي تستخدمها «بلاك كات» أثناء اختراق شبكات ضحاياها، ما يساعدنا في الحفاظ على أمن المستخدمين وحمايتهم من التهديدات المعروفة والمجهولة، مؤكدًا أهمية توحيد جهود مجتمع الأمن الرقمي ضد عصابات مجرمي الإنترنت الجدد من أجل مستقبل أكثر أمانًا.
تحديث وتوعيةويقترح الخبراء على الشركات المسارعة إلى اتخاذ بعض الإجراءات لمكافحة برمجيات طلب الفدية، من خلال الحفاظ على تحديث البرمجيات على جميع الأجهزة المؤسسية لمنع برمجيات الفدية من استغلال الثغرات الأمنية، وتوعية الموظفين بسبل حماية بيئة العمل عبر الدورات التدريبية التخصصية، وتركيز الإستراتيجية الدفاعية على الكشف عن الحركات الجانبية للبيانات ومحاولات تسريب البيانات إلى الإنترنت، والانتباه بالأخصّ لحركة البيانات الصادرة، والتي تكشف عن اتصالات مجرمي الإنترنت.
كما اقترحوا تنفيذ نسخ احتياطية من البيانات بانتظام والتأكّد من إمكانية الوصول إليها بسرعة في حالات الطوارئ، واستخدام أحدث معلومات التهديدات للبقاء على اطلاع على التكتيكات والأساليب والإجراءات التي تستخدمها عصابات الإنترنت، مؤكدين أهمية استخدام حلول، للمساعدة في تحديد الهجوم وإيقافه في مراحله الأولى قبل أن يتمكن المهاجمون من تحقيق أهدافهم النهائية.