عضو منتسب في ALPHV/BlackCat برامج الفدية لجأ الكارتل إلى تقنيات الإعلانات الخبيثة المحببة لدى المحتالين لتسوية ضحاياه، وإخفاء حمولاته كتنزيلات برامج مشروعة بما في ذلك Advanced IP Scanner وCisco AnyCONnect وSlack وWinSCP، وشراء إعلانات Google لجذب الضحايا.
تم ربط عملية برنامج الفدية ALPHV/BlackCat كخدمة بعمليات السطو الإلكترونية الأخيرة بما في ذلك الهجمات على اثنين من كازينوهات لاس فيغاس, شركة مستحضرات التجميل الدولية، و مؤسسة NHS Trust البارزة.
تاريخيًا، يستخدم أعضاء المجموعة أساليب قياسية إلى حد ما لتحقيق الوصول الأولي إلى شبكاتهم، إما من خلال بيانات الاعتماد الصالحة المسروقة، واستغلال خدمات الإدارة والمراقبة عن بعد، والهجمات المستندة إلى المتصفح.
يأتي أحدث تطور في قصة BlackCat بعد أن استجاب باحثون من وحدة الاستجابة للتهديدات (TRU) في eSentire لعدد من عمليات التطفل داخل شبكة عملائها والتي تم فيها جذب المستخدمين التجاريين المطمئنين إلى مواقع الويب التي يسيطر عليها المهاجمون عبر إعلانات Google المزيفة التي اشترتها الشركة التابعة.
وأوضح كيغان كيبلينغر، كبير باحثي التهديدات في TRU، أنه بمجرد استدراجهم، لم يقم الضحايا عن غير قصد بتنزيل المنتج الذي اعتقدوا أنهم سيحصلون عليه، بل قاموا بتنزيل البرامج الضارة النيتروجينية.
“النيتروجين هو برنامج خبيث يمكن الوصول إليه بشكل أولي ويستفيد من مكتبات بايثون للتخفي”، أوضح كيبلينغر مدونة الكشف المنشورة حديثا. “يوفر موطئ القدم هذا للمتسللين مدخلاً أوليًا إلى بيئة تكنولوجيا المعلومات الخاصة بالمؤسسة المستهدفة. بمجرد أن يحصل المتسللون على موطئ قدم أولي، يمكنهم بعد ذلك إصابة الهدف بالبرامج الضارة التي يختارونها.
تمت تسمية النيتروجين بهذا الاسم على اسم قطعة أثرية تم العثور عليها في اصطلاح التسمية الذي يستخدمه مشغل برامج الفدية. إنها فريدة من نوعها بين البرامج الضارة ذات الوصول الأولي من حيث أنها تستخدم مكتبات Python المبهمة للغاية للالتفاف على ضوابط الأمان الخاصة بالضحية.
قال كيبلينغر إن هذا ممكن، لأن مكتبات بايثون هي أدوات مشروعة – تُعرف غالبًا باسم ثنائيات العيش خارج الأرض أو LoLBins – وعادةً لا تثير الشكوك. وهذا أيضًا يجعل الأمر أكثر صعوبة على المحققين معرفة ما حدث بعد وقوع الحادث.
وفي الحوادث التي استجابت لها فرق TRU، تم إيقاف النشاط قبل أن يتم نشر هجوم فعلي ببرامج الفدية.
ومع ذلك، حذر كيبلينغر من أنه نظرًا لأن الكثير من التدريب على التوعية الأمنية لا يزال يركز على مرفقات البريد الإلكتروني الضارة، فإن تنزيلات البرامج الضارة المستندة إلى المتصفح تكتسب زخمًا باعتبارها ناقل وصول، وقد يكون هذا ضارًا بشكل خاص للمؤسسات التي يتمتع فيها المستخدمون النهائيون بحرية تنزيل برامجهم الخاصة.
“تحتاج المؤسسات إلى البدء في تضمين الهجمات المستندة إلى المتصفح، بما في ذلك تلك التي تستخدم إعلانات مزيفة، كجزء من التدريب على توعية المستخدمين. وكتب كيبنر: “تؤدي الهجمات المستندة إلى المتصفح بشكل متزايد إلى عمليات اقتحام برامج الفدية وسرقة المعلومات التي تمكن من عمليات اقتحام برامج الفدية لاحقًا”.
“تأكد من أنك تطبق قواعد تقليل سطح الهجوم حول ملفات البرامج النصية مثل .js و.vbs، ولكن ضع في اعتبارك أنه عندما تصل هذه الهجمات إلى ملفات .ISO، يتم فقدان “علامة الويب” وبالتالي يتم الفوز بقواعد تقليل سطح الهجوم “لا تكتشف الملفات من الإنترنت.”
“قم بتوظيف مراقبة نقطة النهاية لضمان قدرتك على اكتشاف التنفيذ الضار، عندما تتجاوز هجمات الهندسة الاجتماعية تدقيق المستخدم – وتأكد من أن تغطية نقطة النهاية شاملة تمامًا. لاحظت TRU ميلًا لهجمات برامج الفدية لجعلها أكثر انخفاضًا في سلسلة القتل عندما تبدأ في نقاط نهاية خارج نطاق مراقبة نقطة النهاية.
“[Also] استخدم التسجيل للتأكد من أنك تلتقط القياس عن بعد – خاصة بالنسبة للأجهزة والخدمات التي لا تدعم وكيل نقطة النهاية، بما في ذلك VPN وتسجيل الجهاز وبرامج الخادم للتطبيقات التي لا تولد قياسًا عن بعد لنقطة النهاية، مثل Citrix وIIS والخدمات السحابية.
