مجموعات الفدية تغير أسماءها: نفس الاختراقات القديمة
مجموعة برامج فدية أعادت تسمية نفسها مؤخرًا، ضربت ثلاث شركات من Fortune 500 في أسبوعها الافتتاحي وقامت بتسريب بيانات عقود حساسة علنًا. تسلط هذه الحادثة الضوء على مشهد تهديد مستمر ومتطور يتطلب دفاعًا استباقيًا ومدفوعًا بالمعلومات الاستخبارية من قبل مديري أمن المعلومات ومهندسي الأمن.
ماذا حدث
في استعراض مقلق للمرونة التشغيلية، أطلقت عصابة برامج فدية، كانت تعرف سابقًا باسم مختلف، مبادرة إعادة تسمية علامتها التجارية بتأثير فوري ومؤثر. في غضون الأيام السبعة الأولى من عملها العلني تحت الهوية الجديدة، أنشأت المجموعة موقع تسريب مخصص على الشبكة المظلمة. وسرعان ما عرضت هذه المنصة ثلاث شركات مختلفة من Fortune 500، عارضة البيانات المستخرجة كدليل على الاختراق.
تضمن التسريب الأولي للبيانات، الذي استهدف بشكل خاص شركة مطاعم سريعة كبرى، وموردًا رائدًا للسيارات، وشركة لوجستيات عالمية، وثائق عقود حساسة بشكل أساسي. شمل ذلك اتفاقيات البائعين، وقوائم العملاء مع الشروط المرتبطة بها، والتوقعات المالية الداخلية. أكد الكشف العلني السريع ثقة المجموعة وقدرتها في كل من التسلل واستخراج البيانات.
يشير هذا التتابع السريع للاختراقات رفيعة المستوى، التي نفذها كيان أعاد تسمية نفسه، إلى تحول استراتيجي. إنه يشير إلى محاولة متعمدة للتخلص من الأعباء التاريخية، وربما التهرب من تدقيق سلطات إنفاذ القانون، وإعادة ترسيخ الوجود في السوق داخل النظام البيئي الإجرامي السيبراني. يشير الاستهداف الفوري لعدة شركات كبيرة إلى وجود وصول مسبق أو شبكات وساطة وصول أولية (IAB) عالية الكفاءة.
لماذا يتكرر هذا النمط
ينبع النجاح المستمر لعمليات برامج الفدية هذه من تضافر عدة عوامل، أبرزها الاستغلال المستمر لنقاط الضعف الأمنية الشائعة وقدرة الجهات الفاعلة على التكيف. غالبًا ما تواجه المنظمات صعوبة في الرؤية الشاملة للأصول، وانضباط إدارة التصحيحات، وضوابط الهوية والوصول القوية. توفر هذه الثغرات الأساسية أرضًا خصبة للاختراق الأولي.
تتقن الجهات الفاعلة في التهديد، بما في ذلك تلك التي تقف وراء المجموعات التي أعادت تسمية نفسها، استغلال نقاط الضعف المعروفة والتكوينات الخاطئة. إنهم يقومون باستمرار بتحسين تكتيكاتهم وتقنياتهم وإجراءاتهم (TTPs)، متجاوزين التشفير البسيط لتبني الابتزاز المزدوج، مما يزيد بشكل كبير من الضغط على الضحايا. لا تزال الحوافز المالية هائلة، مما يؤجج الاستثمار المستمر في الأدوات ومنهجيات الهجوم الجديدة.
ظاهرة إعادة تسمية العلامة التجارية نفسها هي مناورة تكتيكية. تسمح للمجموعات بالابتعاد عن العقوبات السابقة، أو الإسناد العام، أو البنية التحتية المخترقة. توفر الهوية الجديدة بداية نظيفة للتجنيد والتفاوض والعلاقات العامة داخل العالم الإجرامي، وغالبًا ما تكون مصحوبة بسلالات برامج ضارة محدثة أو ممارسات أمنية تشغيلية محسنة.
كتيب المهاجم خطوة بخطوة
الوصول الأولي
من المحتمل أن تكون هذه المجموعة قد اكتسبت وصولاً أوليًا من خلال مجموعة من الأساليب. لا تزال حملات التصيد الاحتيالي، غالبًا ما تكون تصيدًا موجهًا للغاية، ناقلًا أساسيًا، حيث تقدم برامج ضارة أو روابط حصاد بيانات الاعتماد. يعد استغلال التطبيقات المكشوفة للجمهور غير المصححة، خاصة تلك التي تحتوي على ثغرات CVEs معروفة مثل تلك التي شوهدت في حلول VPN الشائعة أو خوادم الويب (مثل Fortinet و Apache Struts)، نقطة دخول شائعة أخرى. كما أن استخدام بيانات اعتماد RDP المخترقة، التي يتم شراؤها غالبًا من IABs، يسهل الدخول السريع.
موطئ قدم واكتشاف
بمجرد الدخول، يقوم المهاجمون بتأسيس استمرارية، عادةً عبر المهام المجدولة، أو عناصر بدء التشغيل المعدلة، أو أدوات الوصول عن بعد المشروعة مثل TeamViewer أو AnyDesk. ثم يقومون بإجراء استطلاع داخلي مكثف، ورسم خرائط طوبولوجيا الشبكة، وتحديد الأصول الهامة، وتحديد مواقع مخازن البيانات الحساسة. غالبًا ما تُستخدم أدوات مثل BloodHound أو AdFind لتعداد Active Directory.
الحركة الجانبية وتصعيد الامتيازات
باستخدام بيانات الاعتماد المكتشفة، أو التكوينات الخاطئة، أو الأنظمة غير المصححة، يتحرك المهاجمون جانبيًا عبر الشبكة. تشمل التقنيات Pass-the-Hash، و Pass-the-Ticket، واستغلال خدمات Windows. يعد تصعيد الامتيازات خطوة حاسمة، غالبًا ما تستهدف حسابات مسؤول النطاق من خلال تقنيات مثل Kerberoasting أو استغلال نقاط الضعف في مكونات نظام التشغيل Windows.
استخراج البيانات
قبل نشر برامج الفدية، تركز المجموعة على استخراج البيانات. إنهم يحددون الملكية الفكرية عالية القيمة، والسجلات المالية، وبيانات الموارد البشرية، ومعلومات العملاء. يتم عادةً تجميع البيانات على الخوادم الداخلية، وضغطها، ثم استخراجها عبر قنوات مشفرة إلى التخزين السحابي أو البنية التحتية التي يتحكم فيها المهاجم، وغالبًا ما يتجاوز ذلك تصفية الخروج التقليدية عبر المنافذ الشائعة أو خدمات الويب المشروعة.
التشفير والابتزاز
أخيرًا، يتم نشر حمولة برامج الفدية عبر الأنظمة الهامة، مما يؤدي إلى تشفير الملفات وجعلها غير قابلة للوصول. بالتزامن مع ذلك، يتم تحديث موقع التسريب بدليل على الاستخراج وإعلان عام عن الاختراق. تزيد آلية الابتزاز المزدوج — التهديد بنشر البيانات إلى جانب التشفير — من الضغط على الضحايا لدفع الفدية.
ما فات المدافعين
في هذه الحوادث المحددة، تبدو العديد من أوجه القصور الدفاعية الشائعة واضحة. يشير الاختراق الأولي السريع إلى فشل في النظافة الأمنية الأساسية، مثل التصحيح في الوقت المناسب للأنظمة المواجهة للإنترنت أو الحماية القوية ضد هجمات التصيد الاحتيالي المتطورة. حتى مع حلول EDR الحديثة، يمكن أن يؤدي نقص البحث الاستباقي عن التهديدات أو قواعد الكشف غير الصحيحة إلى السماح للمهاجمين بالعمل دون اكتشاف لفترات طويلة.
"إعادة تسمية العلامة التجارية مجرد زخرفة. نقاط الضعف الأساسية لا تزال كما هي، وأعداؤنا هم سادة استغلال النقاط العمياء البشرية والتكنولوجية."
تشير القدرة على استخراج كميات كبيرة من بيانات العقود إلى عدم وجود ضوابط فعالة لمنع فقدان البيانات (DLP) أو فشل في مراقبة حركة مرور الشبكة الصادرة غير العادية بشكل كافٍ. علاوة على ذلك، فإن ظهور موقع التسريب العام دون وعي تنظيمي مسبق يشير إلى فجوة في مراقبة معلومات التهديدات الخارجية، وتحديداً فيما يتعلق بنشاط الويب المظلم وتتبع مواقع التسريب.
لا تزال العديد من المنظمات تعمل بعقلية "إذا لم يتعطل، فلا تصلحه" فيما يتعلق بالأنظمة القديمة أو قطاعات الشبكة المعقدة. يؤدي هذا إلى إنشاء نقاط عمياء وأسطح هجوم غير مدارة يحددها المهاجمون ويستغلونها ببراعة، وغالبًا ما يتجاوزون الدفاعات المصممة للبنية التحتية الأكثر حداثة. تشير الكمية الهائلة من البيانات المستخرجة إلى وقت بقاء محتمل طويل، مما يشير إلى فشل الكشف خلال مراحل الاستطلاع والحركة الجانبية.
قائمة تدقيق دفاعية عملية
- إعطاء الأولوية لإدارة التصحيحات: قم بتنفيذ جدول تصحيح صارم لجميع التطبيقات وأنظمة التشغيل وأجهزة الشبكة المواجهة للإنترنت. ركز على ثغرات CVEs الحرجة وعالية الخطورة على الفور.
- تعزيز إدارة الهوية والوصول: فرض المصادقة متعددة العوامل (MFA) عبر جميع الوصول عن بعد، وحسابات المسؤول، وتطبيقات الأعمال الهامة. طبق مبادئ الحد الأدنى من الامتيازات بدقة.
- تقوية حلول اكتشاف نقاط النهاية والاستجابة لها (EDR): تأكد من نشر حلول EDR بالكامل، وتكوينها لتحقيق أقصى قدر من الرؤية، ومراقبتها بنشاط. ادمج تنبيهات EDR مع نظام SIEM مركزي للترابط والاستجابة السريعة.
- تقسيم الشبكات وتطبيق الثقة الصفرية: عزل الأصول الهامة ومخازن البيانات الحساسة من خلال التجزئة الدقيقة. اعتمد بنية الثقة الصفرية، والتحقق من كل مستخدم وجهاز قبل منح الوصول، بغض النظر عن الموقع.
- تنفيذ منع فقدان البيانات (DLP) القوي: نشر حلول DLP لمراقبة ومنع الاستخراج غير المصرح به للبيانات الحساسة. قم بتكوين التنبيهات لعمليات نقل البيانات غير العادية إلى وجهات خارجية.
- إجراء اختبار اختراق منتظم واختبار الفريق الأحمر: إشراك أطراف ثالثة لإجراء عمليات محاكاة واقعية للتهديدات المستمرة المتقدمة. ركز على تحديد المسارات القابلة للاستغلال للبيانات الهامة، وليس فقط نقاط الضعف على المستوى السطحي.
- الاستثمار في معلومات التهديدات الخارجية: مراقبة منتديات الويب المظلمة ومواقع التسريب ونشاط مجموعات برامج الفدية باستمرار بحثًا عن إشارات إلى مؤسستك أو الشركات التابعة لها أو الموظفين الرئيسيين. يمكن أن توفر هذه المعلومات الاستخبارية الاستباقية تحذيرات مبكرة من الهجمات الوشيكة أو الاستخراج.
كيف كان من الممكن أن يكشف الاختبار الهجومي الحديث عن هذا
يقدم الاختبار الأمني الهجومي الحديث، لا سيما في شكل فرق الألوان المختلطة المستمرة واشتباكات الفريق الأحمر المتقدمة، ميزة حاسمة. فبدلاً من الاعتماد فقط على عمليات مسح الثغرات الدورية، تحاكي هذه الأساليب تكتيكات وتقنيات وإجراءات المهاجم الحقيقية عبر سلسلة القتل بأكملها. ويشمل ذلك محاولة الوصول الأولي عبر التصيد الاحتيالي المتطور، واستغلال الثغرات الأمنية الجديدة أو القديمة (N-day)، وإجراء حركة جانبية باستخدام بيانات اعتماد مسروقة، ومحاولة استخراج البيانات.
كان هذا الاختبار سيحدد بشكل منهجي المتجهات والتكوينات الخاطئة المحددة التي سمحت بالاختراق الأولي، ويكشف مسارات الحركة الجانبية، ويؤكد قنوات الاستخراج. ويشمل برنامج قوي أيضًا المراقبة المستمرة لأسطح الهجوم الخارجية، ومناقشات الويب المظلم التي تشير إلى الأصول التنظيمية الرئيسية، وتطور تكتيكات وتقنيات وإجراءات مجموعات التهديد المعروفة. يوفر هذا معلومات استخباراتية تسمح للمدافعين بتعزيز وضعهم بشكل استباقي ضد التهديدات الأكثر صلة وحالية.
ماذا يجب أن نراقب لاحقًا
من المرجح أن يستمر اتجاه مجموعات برامج الفدية التي تعيد تسمية نفسها وتستأنف عملياتها العدوانية على الفور. يجب على مديري أمن المعلومات توقع زيادة التركيز على هجمات سلسلة التوريد، واستغلال علاقات البائعين الموثوقة للحصول على وصول أولي إلى أهداف أكبر. سنرى أيضًا مزيدًا من التحسين في تقنيات استخراج البيانات، وربما استخدام قنوات أكثر مراوغة وخدمات سحابية مشروعة لتجاوز الدفاعات التقليدية.
توقع حملات هندسة اجتماعية أكثر تطورًا تستهدف الأفراد ذوي الامتيازات العالية، باستخدام محتوى تم إنشاؤه بواسطة الذكاء الاصطناعي لتعزيز الواقعية. علاوة على ذلك، يمكن أن يؤدي تقارب برامج الفدية مع أنشطة الجرائم الإلكترونية الأخرى، مثل سرقة العملات الرقمية أو التجسس الذي ترعاه الدولة، إلى تعقيد الإسناد وتصعيب الاستجابة للحوادث. سيكون الدفاع الاستباقي القائم على المعلومات الاستخباراتية، الذي يركز على المرونة والتعافي السريع، أمرًا بالغ الأهمية في التخفيف من هذه التهديدات المتطورة.