تكتيكات Qilin الجديدة “مضاعف المكافأة” لفوضى برامج الفدية
يبدو أن عصابة برامج الفدية الإجرامية الإلكترونية Qilin تزيد من المخاطر في برامج الفدية الهجمات، التي لا تسرق بيانات ضحاياها فحسب، بل تحصد أيضًا بيانات الاعتماد المخزنة داخل جوجل كروم المتصفحات على نقاط النهاية الخاصة بها، وهو أمر لم يتم ملاحظته من قبل.
تم وصفه بأنه “مضاعف إضافي للفوضى المتأصلة بالفعل في مواقف برامج الفدية” من قبل فريق البحث في Sophos X-Ops إن ما كشف لأول مرة عن هذه التقنية الجديدة، والتي تتمثل في سرقة بيانات الاعتماد بالجملة والتي يخزنها الموظفون ببراءة في متصفحات العمل الخاصة بهم تحت الانطباع بأنهم سيكونون آمنين، أمر مثير للقلق الشديد. والواقع أن العواقب قد تمتد إلى ما هو أبعد من مجرد المنظمة المستهدفة.
Qilin، التي هاجمت بشكل مشهور مزود خدمات مختبر علم الأمراض Synnovis في يونيو 2024، التسبب في الفوضى في جميع أنحاء هيئة الخدمات الصحية الوطنية في لندنكانت شركة Sophos قد استخدمت في السابق تقنية الابتزاز المزدوج القياسية، ولكن في يوليو 2024، اكتشف المستجيبون للحوادث في شركة Sophos نشاطًا غريبًا على وحدة تحكم مجال واحدة ضمن نطاق Active Directory الخاص بالضحية.
تمكنت العصابة أولاً من الوصول عبر بيانات اعتماد مخترقة تم أخذها من بوابة VPN التي تفتقر إلى المصادقة متعددة العوامل (MFA). بعد ذلك بـ 18 يومًا، بدأ العاملون في تنفيذ حركة جانبية إلى وحدة تحكم المجال، حيث قاموا بتحرير سياسة المجال الافتراضية لتقديم كائن نهج المجموعة (GPO) المستند إلى تسجيل الدخول.
كان أول هذه البرامج النصية عبارة عن برنامج نصي PowerShell تم كتابته في دليل مؤقت داخل دليل NTFS المشترك على وحدة تحكم المجال. حاول هذا البرنامج النصي المكون من 19 سطرًا حصاد بيانات الاعتماد المخزنة داخل Chrome. كان العنصر الثاني عبارة عن برنامج نصي دفعي يحتوي على الأوامر لتنفيذ الأول. أدى هذا المزيج إلى استخراج بيانات الاعتماد المحفوظة على الأجهزة المتصلة بالشبكة، ولأن البرنامجين النصيين كانا موجودين في كائن نهج المجموعة لتسجيل الدخول، فقد كانا قادرين على التنفيذ على كل عميل عند تسجيل الدخول.
قال فريق X-Ops إن عملاء Qilin بدوا واثقين جدًا من أن هذا لن يلاحظه أحد لدرجة أنهم تركوا GPO نشطًا لمدة ثلاثة أيام – وهو وقت كافٍ لغالبية المستخدمين لتسجيل الدخول إلى أجهزتهم وتشغيل البرنامج النصي عن غير قصد. بالإضافة إلى ذلك، بمجرد اختفاء الملفات التي تحتوي على بيانات الاعتماد، حذفت Qilin جميع الملفات ومسحت سجلات الأحداث لكل من وحدة التحكم في المجال وأجهزة المستخدم. بعد ذلك فقط بدأوا في تشفير ملفات الضحية وإسقاط مذكرة الفدية الخاصة بهم.
قال فريق البحث، الذي يضم لي كيركباتريك وبول جاكوبس وهارشال جوساليا وروبرت ويلاند من شركة سوفوس، إنه من الطبيعي أن تستهدف شركة تشيلين متصفح كروم بهذه الطريقة – فهي تمتلك حصة الأغلبية في سوق المتصفحات و وفقًا لمسح NordPass الذي أُجري في أبريل 2024يتعين على المستخدم العادي إدارة ما يقرب من 90 كلمة مرور مرتبطة بالعمل، ناهيك عن كلمات المرور الشخصية.
“إن مثل هذا الاختراق الناجح يعني أنه ليس فقط يجب على المدافعين تغيير جميع كلمات مرور Active Directory؛ بل يجب عليهم أيضًا، من الناحية النظرية، أن يطلبوا من المستخدمين النهائيين تغيير كلمات المرور الخاصة بهم لعشرات، وربما مئات، المواقع التابعة لجهات خارجية والتي حفظ المستخدمون مجموعات اسم المستخدم وكلمة المرور الخاصة بهم في متصفح Chrome”، كما كتب الفريق.
“من المؤكد أن المدافعين عن حقوق المستخدمين لن يجدوا وسيلة لإجبارهم على القيام بذلك. أما فيما يتصل بتجربة المستخدم النهائي، فرغم أن كل مستخدم للإنترنت تقريباً في هذه المرحلة تلقى على الأقل إشعاراً واحداً مفاده “”تم اختراق معلوماتك”” من موقع فقد السيطرة على بيانات مستخدميه، فإن الأمر في هذه الحالة معكوس ــ مستخدم واحد، أو عشرات أو مئات من الخروقات المنفصلة.”
ومن المعروف بالطبع أن عصابات برامج الفدية تعمل باستمرار على تغيير تكتيكاتها وتقنياتها وإجراءاتها (TTPs)، وهي – للأسف – مبتكرة كفؤة عندما يتعلق الأمر بتوسيع ذخيرتها.
وفي ضوء ذلك، قال فريق X-Ops إن سعي Qilin إلى تغيير الأمور بعد أن كان نشطًا لمدة عامين تقريبًا كان متوقعًا تمامًا. ومع ذلك، فقد خلصوا إلى أنه إذا كانوا يقومون الآن بالتنقيب عن بيانات الاعتماد المخزنة في نقاط النهاية، فيمكنهم هم وغيرهم بسهولة أكبر أن يخطوا خطواتهم نحو الأهداف التالية، أو الحصول على معلومات مفيدة عن الأفراد الذين قد يكونون موضع اهتمام لهجمات التصيد الاحتيالي المستهدفة.
وقال الفريق “ربما يكون فصل جديد مظلم قد تم فتحه في قصة الجرائم الإلكترونية المستمرة”.
ماذا أفعل الآن؟
جوجل تعلن عن خدمة إدارة كلمات المرور الخاصة بها كطريقة “سهلة” لمساعدة المستخدمين على تسجيل الدخول إلى المواقع والتطبيقات عبر الأجهزة دون الحاجة إلى تذكر كلمات المرور أو إعادة استخدامها. تم تضمين هذه الميزة في Chrome على جميع الأنظمة الأساسية، وفي كل تطبيق يعمل بنظام Android أيضًا.
ومع ذلك، فإن برامج إدارة كلمات المرور المستندة إلى المتصفح بعيدة كل البعد عن كونها الكلمة الأخيرة في مجال الأمان، وكثيراً ما نجد أنها معرضة للخطر. ورغم أن القيام بذلك يزيد من الاحتكاك للمستخدمين، فإن أفضل ممارسة هي استخدام تطبيق لإدارة كلمات المرور، مع الحرص على اختيار تطبيق يتبع أفضل ممارسات الصناعة للتطوير، وتم اختباره والتأكد منه من قبل جهة خارجية.
في سلسلة الهجمات التي وصفها فريق X-Ops، كان من الممكن أن يكون MFA بمثابة إجراء وقائي فعال لأنه كان من المرجح أن يمنع Qilin من الوصول إلى أي من أنظمة الضحية. والخبر السار هو أن استخدام MFA آخذ في الارتفاع بين الشركات، لكن مستويات التبني لا تزال تنخفض بشكل كبير بين الشركات الصغيرة والمتوسطة الحجم.
وخلص الفريق إلى أنه “بصراحة، يتعين على الشركات أن تبذل المزيد من الجهود من أجل سلامتها – وفي هذه الحالة، سلامة الشركات الأخرى أيضًا”.
اتصلت مجلة Computer Weekly بشركة Google للحصول على تعليق، لكنها لم تتلق ردًا حتى وقت النشر.