قرصنة شركة “كاسيا” الأمريكية التي تزود العديد من الشركات بخدمة إدارة تكنولوجيا المعلومات ببرمجية الفدية REvil مع مطالبة ما يزيد على ألف شركة تستخدم نظام “كاسيا” بدفع فدية تبلغ سبعين مليون دولار أمريكي من العملة الرقمية المشفرة البيتكوين. عملية تذكر بقرصنة شركة “سولار ويندز” غير أن لهذه البرمجية الخبيثة ميزة خاصة.
REvil أو Ransomware Evil هو مشغل برامج الفدية كخدمة Ransomware-as-a-service، اسم أدوات القرصنة هذه مستوحى من سلسلة ألعاب الفيديو Resident Evil. ظهرت مجموعة REvil المعروفة أيضًا باسم Sodinokibi، في أبريل 2019 بعد وقف مجموعة GandCrab مشغل برامج الفدية كخدمة، لعملياتها الإجرامية.
تتميز عمليات REvil باعتماد مطوري برمجية الفدية على مجموعات قراصنة آخرين كـ “شركاء تابعين” يستخدمون برامج الفدية هذه، فيكسب مطورو REvil ما بين 20٪ و 30٪ من الإيرادات من عمليات القرصنة، بينما يذهب الباقي إلى القراصنة الذين يقومون بالاختراق. فكلما كانت عملية RaaS ناجحة، كلما زاد احتمال جذب مجموعات القراصنة لاستخدام المشغل وتقاسم الأرباح.
عند توقف عمل “مشغل برامج الفدية كخدمة” RaaS فإن مجموعات أخرى من المطورين تحل محل السابقين باستعمال أدواتهم وبتطويرها؛ كما حدث مع مجموعة GandCrab ومؤخرًا مع مجموعة Maze، التي أعلنت وقف نشاطاتها وتبنت مجموعات أخرى جديدة الأدوات الخبيثة من برامج الفدية لتحمل اسم Egregor والمعروفة أيضًا باسم Sekhmet.
أسلوب طلب دفع فدية غير مألوف
تقترح مجموعة REvil / Sodinokibi في عملية اختراق شركة “كاسيا” الأميركية توفيرأداة فك تشفير مقابل دفع 70 مليون دولار أمريكي من العملة الرقمية المشفرة البيتكوين. أما الذين يرفضون دفع هذا السعر، تقدم المجموعة أيضًا أدوات فك تشفير فردية لكل مؤسسة بأسعار منخفضة.
حسب خبراء أمن المعلومات والأمن السيبراني استخدمت مجموعة REvil طريقة جديدة لتشفير البيانات، بحيث يتم تشفير الملفات بامتدادات مختلفة، وعروض فك تشفير مختلفة لكل امتداد. بالنسبة للشركات التي تحتوي على ملفات مشفرة بامتدادات مختلفة، فقد تكون الكلفة مرتفعة جدا.
كيف تعمل مجموعات برمجية الفدية REvil
REvil على غرار Ryuk و WastedLocker كمشغل برامج الفدية كخدمة Ransomware as a service، بعد الاختراق، يستخدم القراصنة مجموعة متنوعة من الأدوات والتقنيات لكشف تفاصيل الشبكة المعلوماتية، والتعرف على الحركة الجانبية للشبكة Network Lateral Movement. مبدأ هذه التقنية هو الحصول على امتيازات مسؤول الشبكة، ثم الاختراق ونشر برامج الفدية على جميع أجهزة الكمبيوتر في الشركة المستهدفة وبعدها تشفير البيانات وطلب الفدية لفك التشفير.
تنشر أدوات REvil من قبل “شركاء تابعين” مختلفين، لذا تختلف استراتيجيات الهجمات وعمليات الخداع الأولية بين مجموعات القراصنة، منها ما يستخدم التصّيد عبر رسائل البريد الإلكتروني مع بملفات مرفقة مفخخة ببرمجيات فدية خبيثة وأخرى تعمل على استغلال الثغرات الأمنية التحكم بالأجهزة الملوثة بواسطة بروتوكول Remote Desktop Protocol سطح المكتب البعيد.
يختلف REvil عن برامج الفدية الأخرى باستخدامه خوارزميات تشفير مع مفاتيح قصيرة، وهي فعالة للغاية وغير قابلة للكسر إذا تم تنفيذها بشكل صحيح. كما تعطل برامج الفدية عمليات معينة على الأجهزة المخترقة كتعطيل عميل البريد الإلكتروني و SQL- Structured Query Language لغة للتعامل والتحكم مع قواعد البيانات المترابطة، بالإضافة لخوادم قواعد البيانات الأخرى وبرامج “مايكروسوفت أوفيس“، برامج التصفح والأدوات التي من الممكن أن تساعد على حماية الملفات المهمة من التشفير الخبيث. أيضا يمكن للبرمجية الخبيثة مسح النسخات الاحتياطية في ذاكرة الوصول العشوائي لمنع استرجاع البيانات المحفوظة. ثم يقوم بعد ذلك بإزالة نسخة برنامَج التشغيل “ويندوز “ والنسخ الاحتياطية الأخرى لمنع استرداد الملفات.
مهاجمة آلاف الشركات في وقت واحد سيؤدي إلى تحفيز السلطات على بذل كلّ ما في وسعها لتعقب القراصنة. فقد تحركت السلطات الأمريكية وعلى رأسها وكالة الأمن السيبراني، CISA، ومكتب التحقيق الفدرالي الأمريكي لكشف الجناة، ما يعني أن عملية القرصنة هذه لا تعد عملية إجرامية بسيطة.
نايلة الصليبي
NewsFrontPage 