كشفت شركة Recorded Future المتخصصة في استخبارات التهديدات عن تفاصيل حول كيفية قدرتها الآن على العثور على – وتنبيه – الضحايا المستقبليين لعصابة Rhysida Ransomware قبل أن تتاح له الفرصة لنشر خزانة برامج الفدية الخاصة به.
Rhysida، ربما الأكثر شهرة في المملكة المتحدة للهجوم الذي وقع أواخر عام 2023 على المكتبة البريطانية، نشط منذ يناير 2023 تقريبًا ويدير عملية ابتزاز مزدوجة قياسية وبرامج فدية كخدمة. وهي تعمل في قطاعات متنوعة، على الرغم من أنها تفضل على ما يبدو استهداف مؤسسات التعليم والرعاية الصحية.
والآن، قد تثبت تقنية الكشف المبكر الجديدة التي تم تطويرها في Recorded Future أنها قد تغير قواعد اللعبة في الحرب ضد برامج الفدية، حسبما قال فريق البحث الداخلي في Insikt Group التابع للمنظمة.
“حددت مجموعة Insikt أنه يمكن اكتشاف ضحايا Rhysida في المتوسط 30 يومًا قبل ظهورهم على مواقع الابتزاز العامة. وكتبوا أن مراقبة البنية التحتية لـ Rhysida… جعلت هذا الكشف ممكنًا.
“يوفر متوسط الوقت الفاصل بين الإصابة الأولية ونشر برامج الفدية للمدافعين نافذة مهمة للاستجابة. من خلال تحديد اتصالات الشبكة ومؤشرات التسوية الأخرى [IoCs] في وقت مبكر، يمكن للفرق الأمنية التصرف بسرعة لتحييد التهديدات قبل أن يتمكن المهاجمون من تشفير البيانات أو إصدار طلبات فدية.
تشريح هجوم ريسيدا
تستخدم Rhysida بنية تحتية متعددة المستويات لتسهيل إنشاء هجماتها المجالات المطبعية معززة بتقنيات تحسين محركات البحث (SEO) لخداع الأهداف لزيارة خادم حمولة يستضيف برنامجًا ضارًا خلفيًا يُعرف باسم CleanUpLoader.
يعد CleanUpLoader، وهو باب خلفي متعدد الاستخدامات، يتم تقديمه عادةً كمثبت مزيف لجزء مشروع من البرامج – ويحظى Google Chrome وMicrosoft Teams بتفضيل كبير في هذا الصدد لأنهما يستخدمان على نطاق واسع بحيث من المرجح أن ينقر عليهما عدد أكبر من الأشخاص.
بمجرد تشغيله على النظام المستهدف، يعمل CleanUpLoader على تسهيل الاستمرارية – مع ملفات متعددة القيادة والسيطرة (C2) المضمنة في تكوينه، يمكنه تجاوز الفشل بسرعة إلى نطاق آخر في حالة انقطاع الاتصال بالإنترنت أو تعرضه للاختراق – ويشتري وقت Rhysida لتصفية بيانات هدفهم.
تدير العصابة أيضًا بنية تحتية إدارية عالية المستوى تشتمل على لوحة إدارة، من المحتمل استخدامها لتشغيل عملية CleanUpLoader C2. يقوم عملاء Rhysida بتسجيل الدخول إلى هذه اللوحة من نقاط النهاية الخاصة بهم تمامًا كما لو كانوا موظفين عاديين يقومون بتسجيل الدخول إلى أداة عمل عبر الإنترنت. عادةً ما يتم ربط هذه اللوحة بمجال معين – وقد وجدت مجموعة Insikt العديد من هذه النطاقات المستخدمة في أوقات مختلفة.
يتضمن مستوى الإدارة أيضًا مصدرًا مفتوحًا زابيكس الخادم الذي يتصل بلوحة الإدارة. من المحتمل أن يتم استخدام هذا لمراقبة البنية التحتية، ومن غير المستغرب أن تكون اللغة الافتراضية الخاصة به مضبوطة على اللغة الروسية.
أوقات السكن
تتم كل هذه الأنشطة خلال الفترة ما بين حصول Rhysida على وصول أولي إلى بيئتها المستهدفة ووقت تنفيذ برنامج الفدية الخاص بها. لذلك، من خلال الاستفادة من وقت المكوث اللازم لتشغيل هذه المهام المختلفة لمراقبة والتقاط حركة المرور المتدفقة من البنية التحتية C2، تمكنت مجموعة Insikt Group من الخروج أمام العصابة.
كتب فريق Insikt Group: “من بين الضحايا الـ 11 الذين أدرجتهم Rhysida في موقع الابتزاز الخاص بها في يوليو 2024، أظهر سبعة – أكثر من 60٪ – علامات مبكرة للعدوى من خلال الإشارة إلى خوادم CleanUpLoader C2”.
“في المتوسط، انقضى أكثر من 30 يومًا بين أول إشارة من هذه المنظمات الضحية إلى خوادم CleanUpLoader C2 واليوم الذي ظهرت فيه على موقع الابتزاز.”
وقال الفريق إنهم تمكنوا أيضًا من اكتشاف حركة المرور من مجموعة واسعة من المنظمات الأخرى من وإلى البنية التحتية لـ CleanUpLoader C2، مما مكنهم من إجراء تقييم مستنير إلى حد معقول بأن تلك المنظمات قد تظهر قريبًا على موقع الابتزاز الخاص بـ Rhysida.
“يمكن نظريًا تطبيق طريقة الكشف المبكر هذه على أي مجموعة من برامج الفدية وضحاياها، بشرط إمكانية اكتشاف بنيتها التحتية ومن ثم دمجها مع معلومات شبكة المستقبل المسجلة. وقال الفريق إن تحقيق ذلك يعتمد على عاملين رئيسيين: التوقيت المناسب واتساع البنية التحتية الضارة المكتشفة.
“نظرًا لأن مجموعات برامج الفدية تستخدم في كثير من الأحيان مزيجًا من الأدوات المتاحة تجاريًا والمخصصة، وتقوم بتبديلها وتطويرها بشكل مستمر، فمن الضروري تحديد نطاق هذه الأدوات بسرعة من خلال مراقبة مشهد التهديدات وتطوير عمليات اكتشاف فعالة والحفاظ عليها.
“بالإضافة إلى ذلك، يعد حسن التوقيت أمرًا بالغ الأهمية، وتعد رؤيتنا بشأن البنية التحتية ذات المستوى الأعلى أمرًا حيويًا لأنها تمكننا من اكتشاف البنية التحتية الناشئة وتحديدها بسرعة، مما يكمل أساليب الصيد التقليدية.”
