ظهرت عائلة برامج الفدية الجديدة الشهر الماضي مع مجموعة من الحيل الخاصة بها لتجاوز الحماية من برامج الفدية من خلال الاستفادة من تقنية جديدة تسمى "التشفير المتقطع".
تم اكتشاف أن مشغلي برنامج الفدية ، الذي يُطلق عليه اسم LockFile ، يستغلون الثغرات التي تم الكشف عنها مؤخرًا مثل ProxyShell و PetitPotam لاختراق خوادم Windows ونشر البرامج الضارة المشفرة للملفات التي تقوم بتشويش كل 16 بايت فقط من الملف ، مما يمنحها القدرة على التهرب من دفاعات برامج الفدية. .
قال مارك لومان ، مدير الهندسة في Sophos ، في بيان: "يتم استخدام التشفير الجزئي بشكل عام من قبل مشغلي برامج الفدية لتسريع عملية التشفير وقد رأينا أنه يتم تنفيذه بواسطة BlackMatter و DarkSide و LockBit 2.0 ransomware". "ما يميز LockFile عن غيره هو أنه ، على عكس الآخرين ، لا يقوم بتشفير الكتل القليلة الأولى. بدلاً من ذلك ، يقوم LockFile بتشفير كل 16 بايت أخرى من المستند."
وأضاف لومان: "هذا يعني أن ملفًا مثل المستند النصي يظل قابلاً للقراءة جزئيًا ويبدو من الناحية الإحصائية مثل الملف الأصلي. يمكن أن تكون هذه الخدعة ناجحة ضد برامج الحماية من برامج الفدية التي تعتمد على فحص المحتوى باستخدام التحليل الإحصائي لاكتشاف التشفير".
يأتي تحليل Sophos لـ LockFile من قطعة أثرية تم تحميلها على VirusTotal في 22 أغسطس 2021.
بمجرد إيداع البرنامج الضار ، يتخذ أيضًا خطوات لإنهاء العمليات الحرجة المرتبطة ببرامج المحاكاة الافتراضية وقواعد البيانات عبر واجهة إدارة Windows (WMI) ، قبل الشروع في تشفير الملفات والكائنات المهمة ، وعرض ملاحظة عن برامج الفدية التي تحمل أوجه تشابه أسلوبية مع تلك الموجودة في LockBit 2.0 .
التشفير
كما تحث مذكرة الفدية الضحية على الاتصال بعنوان بريد إلكتروني محدد "contact@contipauper.com" ، والذي يشتبه Sophos في أنه يمكن أن يكون مرجعًا مهينًا لمجموعة برامج فدية منافسة تسمى Conti.
إدارة كلمة مرور المؤسسة
والأكثر من ذلك ، أن برنامج الفدية يحذف نفسه من النظام بعد تشفير ناجح لجميع المستندات الموجودة على الجهاز ، مما يعني أنه "لا يوجد ملف ثنائي لبرامج الفدية للمستجيبين للحوادث أو برامج مكافحة الفيروسات للعثور عليها أو تنظيفها."
قال لومان: "الرسالة هنا للمدافعين هي أن مشهد التهديد السيبراني لا يتوقف أبدًا ، وأن الخصوم سينتهزون بسرعة كل فرصة أو أداة ممكنة لشن هجوم ناجح".
يأتي هذا الكشف في الوقت الذي أصدر فيه مكتب التحقيقات الفيدرالي الأمريكي (FBI) تقريرًا سريعًا يوضح بالتفصيل تكتيكات جهاز Ransomware-as-a-Service (RaaS) الجديد المعروف باسم Hive ، ويتألف من عدد من الجهات الفاعلة التي تستخدم آليات متعددة اختراق شبكات الأعمال ، وسرقة البيانات وتشفير البيانات على الشبكات ، ومحاولة جمع فدية مقابل الوصول إلى برنامج فك التشفير.
المصادر:
- The Hacker News