تعد Ransom Cartel واحدة من العديد من عائلات برامج الفدية التي ظهرت خلال عام 2021. تستخدم عصابة برامج الفدية تلك ابتزازاً مزدوجاً وبعض من نفس التكتيكات والتقنيات والإجراءات (TTPs) التي نلاحظها غالباً أثناء هجمات برامج الفدية. يضاف لذلك أدوات أقل شهرة مثل DonPAPI لم تلاحظ في هجمات فدية أخرى. الابتزاز المزدوج يجمع بين تشفير و سرقة و تسريب البيانات إضافة لتهديدات الإضرار بالسمعة عبر إرسال معلومات حساسة إلى شركاء الضحايا ومنافسيهم و مواقع الأخبار لإلحاق أكبر قدر ممكن من الضرر.
يشارك معكم روبودين في هذا المقال رأي Lucian Constantin حول سلوك Ransom cartel و خطرها على الأمن السيبراني في العالم. زادت Ransom Cartel ، وهي عصابة تعمل ببرنامج الفدية كخدمة (RaaS) ، من هجماتها خلال العام الماضي. أتى ذلك بعد حل عصابات بارزة مثل REvil و Conti. يعتقد الخبراء أنه تم إطلاق Ransom Cartel في كانون الأول -2021. و من ذلك الحين طالت نشاطاتهم الإجرامية ضحايا في قطاعات التعليم والتصنيع والطاقة. و استخدمت في هجماتها برامج ضارة و تكتيكات عدوانية تشبه تلك المستخدمة من قبل REvil.
قال باحثون من Palo Alto Networks في تحليل لشفرة برامج الفدية تلك: “أن مشغلي Ransom Cartel لديهم إمكانية الوصول إلى الإصدارات السابقة من شفرة REvil ransomware. ولكن ليس الإصدارات الأحدث منها”.ويشير ذلك إلى وجود علاقة بين المجموعتين في وقت ما.
عصابة برامج الفدية – الوصول الأولي
يستخدم مهاجمو Ransom Cartel بشكل مكثف الحسابات المسروقة stolen credentials للوصول الأولي إلى ضحاياهم. يتيح ذلك لهم وصولاً إلى العديد من الخدمات عبر الانترنت. و بالإضافة لها الوصول من خلال بروتوكولات العمل أو الإدارة عن بعد SSH ، RDP و كذلك الشبكات الخاصة الافتراضية (VPN).
يحصل المخترقون المتعاونون مع تلك المجموعة على بيانات الاعتماد هذه بأنفسهم. أو يحصلون عليها من وسطاء في السوق السرية التابعة للمجموعة و يستخدمونها لنشر برامج الفدية مقابل نسب من مدفوعات الفدية. هؤلاء المتعاونين هم وسطاء الوصول الأوليين؟ و هم أيضاً مجرمو انترنت دافعهم ليس تنفيذ الهجمات الإلكترونية بأنفسهم ولكن بيع الوصول الأولي Initial access إلى جهات تهديد أخرى. نظراً لربحية برامج الفدية ، فمن المحتمل أن يكون لهؤلاء الوسطاء علاقات عمل مع مجموعات برامج الفدية المدارة RaaS. من الواضح أن Ransom Cartel قد اعتمدت على هذا النوع من الخدمة للحصول على وصول أولي لنشر برامج الفدية .
بمجرد الدخول إلى شبكة الشركة ، يكون هدف مهاجمي Ransom Cartel هو سرقة بيانات اعتماد credentials إضافية والوصول إلى المخدمات. استخدم المهاجمون في إحدى الحالات أداة مفتوحة المصدر تسمى DonPAPI يمكنها تحديد وتفريغ بيانات الاعتماد المخزنة. تستهدف تلك الأداة الحسابات المخزنة ضمن المهام المجدولة في Windows و المتصفحات المستخدمة للعمل على واجهة VMware vCenter و التي يمكن استخدامها للوصول إلى خوادم ESXi.
ولتجنب خطر الكشف عن طريق برامج مكافحة الفيروسات (AVs) تقوم الأداة بتنزيل الملفات وفك تشفيرها محلياً على الجهاز. وبعد نجاحهم بالمصادقة من خلال الـ vCenter ، يقوم المهاجمون بتفعيل SSH وإنشاء حسابات جديدة. يتم تعيين معرف المستخدم (UID) صفراً ، وهو ما يعني root في Linux. يسمح لهم ذلك تجاوز فحوصات الأمان والحفاظ على وصول مستمر إلى الخوادم. و يبحث برنامج تشفير الملفات المستخدم على أجهزة Linux بشكل خاص عن الملفات ذات الامتدادات .log و. vmdk و. vmem و. vswp و. vmsn ، المرتبطة بالنسخ الاحتياطية من ESXi والأقراص الافتراضية. إن النجاح بتشفير هذه الموارد من قبل منفذي الهجمات يمثل كابوساً للمؤسسات.
التشابه مع REvil
بالإضافة إلى التشابه القوي في أساليب التشفير وإنشاء المفاتيح بين برامج الفدية من REvil و Ransom Cartel ، هناك تشابه في طريقة التخزين في برنامج الفدية و كذلك طريقة تنسيق الملفات بعد فك تشفيرها. تشابه آخر هو مذكرة الفدية. في الهجمات الأولى المنفذة من Ransom Cartel ، كانت مذكرة الفدية متطابقة تقريباً في التنسيق واللغة مع مذكرة الفدية التي استخدمها REvil. كان الاختلاف الوحيد هو في التعليمات الخاصة بالوصول إلى موقع Tor المستخدم للتواصل مع الضحايا ، الأمر الذي يتطلب المصادقة باستخدام مفتاح فريد تم إنشاؤه بواسطة برنامج الفدية لكل ضحية. لكن الإصدارات اللاحقة ، التي لوحظت في آب -2022 ، كان لها رسالة فدية مختلفة بشكل كبير.
يتمثل الاختلاف المثير للاهتمام بشكل خاص بين مجموعتي البرامج الضارة في أن REvil تختار التعتيم على برامج الفدية بشكل أكبر بكثير من مجموعة Ransom Cartelوذلك باستخدام تشفير أعقد. لكن Ransom Cartel ليس لديها تقريباً تلك الميزة مما يشير إلى أنها ربما لا تمتلك التقنيات التي تستخدمها REvil.
لكن من وجهة نظر أكثر براغماتية فمن المحتمل أن يكون الاتصال بـ REvil مشكلة بالنسبة لمشغلي Ransom Cartel. نظراً لسمعة REvil السيئة ، لن يكون من المستغرب أنهم يحاولون عن قصد إخفاء علاقتهم بها. كانت REvil التي نشطت بين عامي 2019 و 2021 ، من رواد نشر برامج الفدية يدوياً بدلاً من الاعتماد على الانتشار آلياً من خلال كود الفدية. لقد مهدوا الطريق للتكتيكات التي تستخدمها معظم مجموعات برامج الفدية اليوم.
عصابة برامج الفدية في مواجهة دول كبرى
لقد جعلهم استخدام هذه الأساليب ناجحين للغاية في مهاجمة عدد كبير من المنظمات. جذب ذلك الأمر في النهاية انتباه الحكومات على أعلى المستويات. في حزيران 2021 ، استغلت شركة تابعة لشركة REvil ثغرات zero day في أداة إدارة تكنولوجيا المعلومات التي طورتها شركة تسمى Kaseya.
سمح لهم ذلك الهجوم باختراق أكثر من 30 مزود خدمة مُدار (MSPs) من جميع أنحاء العالم وأكثر من 1000 شبكة أعمال يديرها هؤلاء MSPs. دفع الحادث إلى اتصال بين الرئيس الأمريكي جو بايدن والرئيس الروسي فلاديمير بوتين ، حيث دعا بايدن السلطات الروسية إلى اتخاذ موقف أكثر تشدداً بشأن مجموعات برامج الفدية.
بعد شهرين ، أغلقت شركة REvil عملياتها وحلها ، ربما بعد حملة من قبل سلطات إنفاذ القانون الروسية. في تشرين الثاني2021 ، أعلنت وزارة العدل الأميركية عن لوائح اتهام ضد اثنين من منتسبي REvil. يُعتقد أن أحدهما متورط في هجوم Kaseya وتم القبض عليه في بولندا. في الوقت نفسه ، أعلنت الشرطة الأوربية عن اعتقال خمسة شركات أخرى تابعة لـ REvil. لكن ليس مستبعداً أن بعض منتسبي REvil أعادوا تجميعهم تحت مسميات مختلفة.
إن مشغلي Ransom Cartel يمكنهم الوصول بوضوح إلى شفرة مصدر REvil ransomware الأصلية. ولكن من المحتمل ألا يمتلكوا محرك التشويش obfuscation engine المستخدم لديهم. يتوقع الخبراء أن مشغلي Ransom Cartel لديهم علاقة مع REvil. و من المحتمل أن يستمر مشغلو برنامج الفدية في مهاجمة المنظمات وابتزازها.