اكتشفت خبراء الأمن في شركة كاسبرسكي حديثًا نشاطًا جديًدا لعصابة Cuba المعروفة بتطويرها لبرمجيات الفدية الخبيثة، حيث قامت المجموعة بنشر برمجية خبيثة مقلقة. إذ تمكنت البرمجية من تجنب عمليات الاكتشاف المتقدمة، واستهدفت المؤسسات حول العالم، وتركت خلفها قائمة من الشركات المخترقة في مختلف القطاعات.
كشفت كاسبرسكي في ديسمبر 2022 عن نشاط مشبوه في نظام أحد عملائها، وعثرت على ثلاث ملفات مشبوهة. كانت هذه الملفات تشغّل سلسلة من الإجراءات التي تقوم بتحميل مكتبة komar65، المعروفة أيضًا باسم BUGHATCH، التي تعد بابًا خلفيًا متطورًا وتُفعل في ذاكرة العملية.
تقوم برمجية BUGHATCH بتنفيذ جزء مضمن من النص البرمجي لواجهة البرمجة (Shellcode) داخل مساحة الذاكرة المخصصة لها باستخدام واجهة برمجة التطبيقات لنظام Windows، ويتضمن هذا النص البرمجي وظائف متعددة.
وبعد ذلك، يتصل البرنامج بخادم قيادة وتحكم (C2) وينتظر تلقي المزيد من الأوامر. ويمكن أن تطلب هذه الأوامر تثبيت برامج مخصصة للاختراق مثل: Cobalt Strike Beacon وMetasploit. كما يشير استخدام أداة سرقة كلمات المرور Veeamp بقوة إلى وجود برمجية الفدية Cuba في الأمر.
بشكل مثير للاهتمام، يشير ملف قاعدة بيانات البرنامج إلى مجلد باسم (komar)، وهي كلمة روسية تعني «البعوضة»، مما يشير إلى احتمال وجود أعضاء ناطقين بالروسية داخل المجموعة، ما يتطابق مع أدلة سابقة متعلقة بالمجموعة.
وكشف تحليل إضافي أجرته كاسبرسكي عن نشر Cuba لنماذج إضافية تحسن وظائف هذه البرمجية الخبيثة، حيث يقوم أحد هذه النماذج بجمع معلومات النظام ليتم إرسالها إلى خادم عبر طلبات HTTP POST.
واصلت كاسبرسكي تحقيقاتها، واكتشفت عينات جديدة من البرامج الخبيثة المنسوبة إلى مجموعة Cuba على موقع VirusTotal. وتمكنت بعض هذه البرمجيات من تجنب الاكتشاف من مزودي الخدمات الأمنية الآخرين. تمثل هذه العينات نسخًا جديدة لبرمجية BURNTCIGAR الخبيثة، وتستخدم بيانات مشفرة لتجنب اكتشافها من برامج مكافحة الفيروسات.
يقول (جليب إيفانوف) Gleb Ivanov، خبير الأمن السيبراني في شركة كاسبرسكي، عن هذا الاكتشاف: “تؤكد النتائج التي توصلنا إليها أهمية الوصول إلى أحدث التقارير والمعلومات عن التهديدات. فمع مواصلة عصابات برمجيات الفدية، مثل مجموعة Cuba تطوير تقنياتها وتحسينها، تعد المعرفة السابقة إجراءً مهمًا للتصدي للهجمات المحتملة بشكل فعال. ففي مشهد التهديدات السيبرانية الدائم التغير، تعد المعرفة وسيلة الدفاع النهائية ضد المجرمين السيبرانيين الجدد”.
تعد Cuba سلالة برمجيات فدية أحادية الملف وصعبة الاكتشاف نظرًا إلى عملها دون مكتبات إضافية. وتشتهر المجموعة الإجرامية الناطقة بالروسية بانتشارها الواسع، وتستهدف صناعات مثل: البيع بالتجزئة، والتمويل، والخدمات اللوجستية، بالإضافة إلى المصانع والمنشآت الحكومية حول أمريكا الشمالية، وأوروبا، وأوقيانوسيا، وآسيا.
وتستخدم المجموعة مزيجًا من الأدوات العامة والخاصة، وتحدّث مجموعة أدواتها بانتظام، كما تستخدم مناورات مثل هجمات BYOVD.
وما يميز عمليات المجموعة هي تلاعبها بالطوابع الزمنية لوقت تجميع برمجياتها الخبيثة بهدف تضليل المحققين. فعلى سبيل المثال: في عام 2020 تم العثور على عينات كان تاريخ تجميعها 4 يونيو 2020، فيما حملت الإصدارات الأحدث طوابع زمنية تشير إلى تجميعها في 19 يونيو 1992. ولا يقتصر نهج المجموعة الفريد على تشفير البيانات فقط، بل يتضمن تخصيص الهجمات لسرقة المعلومات الحساسة مثل: المستندات المالية، والسجلات المصرفية، وحسابات الشركات، والكود المصدري. وتعد شركات تطوير البرمجيات معرضة للخطر الأكبر من هذه المجموعة. وعلى الرغم من ظهور المجموعة منذ فترة ليست بقصيرة، فهي لا تزال مرنة وتطور أساليبها باستمرار.
وصايا كاسبرسكي للوقاية من برامج الفدية:
تحث كاسبرسكي المنظمات بأنواعها على اتباع التوصيات التالية في سبيل الوقاية من برامج الفدية:
- احرصوا دائمًا على تحديث البرامج في جميع الأجهزة التي تستخدمونها لمنع المخترقين من استغلال نقاط الضعف واختراق شبكتكم.
- ركزوا إستراتيجياتكم الدفاعية على اكتشاف الحركات الجانبية وتسرُّب البيانات إلى الإنترنت.
- أولوا انتباهكم لتدفق البيانات الصادرة لاكتشاف المخترقين المتصلين بشبكتكم. ومن المهم تجهيز نسخ احتياطية غير متصلة بالإنترنت لا يمكن للمخترقين التلاعب بها، وتأكدوا من قدرتكم على الوصول إليها بسرعة عند الحاجة أو في حالات الطوارئ.
- احموا جميع النقاط الطرفية في شبكتكم من برامج الفدية باستخدام الحلول والأدوات مثل: أداة Kaspersky Anti-Ransomware Tool for Business المجانية التي تحمي الحواسيب والخوادم من برامج الفدية وأنواع أخرى من البرمجيات الخبيثة، وتحمي من الثغرات، وتتوافق مع الحلول الأمنية المثبتة سابقًا.
- تبنّوا حلولًا لمكافحة هجمات التهديد المتقدم المستمر (APT) وبرامج الاكتشاف والاستجابة للنقاط الطرفية (EDR) التي تحتوي على إمكانات متقدمة للكشف عن المخاطر والتحقيق فيها ومعالجتها السريعة.
- امنحوا فرق مركز العمليات الأمني (SOC) في شركتكم وصولًا إلى أحدث معلومات التهديدات، وحسّنوا مهاراتهم بانتظام من خلال التدريب الاحترافي. يمكنكم ضمان كل هذا مع إطار عمل Kaspersky Expert Security.
- زودوا أعضاء فريقكم الأمني بأحدث المعلومات عن التهديدات السيبرانية. تعد منصة Kaspersky Threat Intelligence Portal نقطة وصول موحدة لمعلومات كاسبرسكي عن التهديدات، وتوفر معلومات وتحاليل حول الهجمات السيبرانية جمعها فريق كاسبرسكي على مدار أكثر من 20 عامًا.
ولمساعدة الشركات على حماية نفسها بفعالية في هذه الأوقات المضطربة، أعلنت كاسبرسكي تقديم الوصول إلى معلوماتها الدائمة التحديث والعالمية المصادر عن الهجمات والتهديدات السيبرانية الحالية دون أي رسوم. يمكنك طلب الحصول على هذا العرض من هنا.