ما هو برنامج Blackcat Ransomware وكيفية الدفاع عنه؟

الهجوم السيبراني هو محاولة متعمدة وخبيثة للوصول غير المصرح به إلى نظام كمبيوتر أو شبكة من خلال نقاط الضعف الموجودة. يمكن القيام بذلك لسرقة المعلومات الحساسة وتعطيل العمليات العادية.

في الآونة الأخيرة ، أصبحت برامج الفدية أداة الانتقال عبر الإنترنت بين مجرمي الإنترنت. تنتشر برامج الفدية عادةً من خلال رسائل البريد الإلكتروني المخادعة والتنزيلات من محرك الأقراص والبرامج المقرصنة وبروتوكول المكتب البعيد ، من بين أشياء أخرى.

بمجرد إصابة جهاز الكمبيوتر ببرنامج الفدية ، يقوم برنامج الفدية بتشفير الملفات الهامة في الكمبيوتر. ثم يطلب المتسللون فدية لاستعادة البيانات المشفرة.

يمكن للهجمات السيبرانية أن تعرض الأمن القومي للبلد للخطر ، وتعطل العمليات في القطاعات الرئيسية للاقتصاد ، وتتسبب في أضرار جسيمة وخسائر مالية خطيرة. هذا هو بالضبط ما حدث مع هجوم WannaCry ransomware الإلكتروني.

في 12 مايو 2017 ، يعتقد أن برنامج الفدية WannaCry قد نشأ من كوريا الشمالية وانتشر في جميع أنحاء العالم وأصاب أكثر من 200000 نظام كمبيوتر في أكثر من 150 دولة في أقل من يومين. استهدف WannaCry أنظمة الكمبيوتر التي تعمل بنظام التشغيل Windows. لقد استغل ثغرة أمنية في بروتوكول حظر رسائل خادم نظام التشغيل.

كانت خدمة الصحة الوطنية بالمملكة المتحدة (NHS) من أكبر ضحايا الهجوم. أصيب أكثر من 70000 من أجهزتهم ، بما في ذلك أجهزة الكمبيوتر والمسرح ومعدات التشخيص وأجهزة التصوير بالرنين المغناطيسي. لم يتمكن الأطباء من الوصول إلى أنظمتهم أو سجلات المرضى اللازمة لحضور المرضى. كلف هذا الهجوم NHS ما يقرب من 100 مليون دولار.

هذا هو مدى سوء يمكن الحصول عليها. ومع ذلك ، يمكن أن تزداد الأمور سوءًا ، خاصة مع برامج الفدية الجديدة والأكثر خطورة مثل BlackCat ، والتي تترك وراءها مسارًا مليئًا بالضحايا.

برنامج BlackCat Ransomware

يعد BlackCat ransomware ، الذي يشار إليه باسم ALPHV من قبل مطوريه ، عبارة عن برنامج ضار يقوم ، عند إصابة نظام ما ، بتسلل البيانات وتشفيرها في النظام المتأثر. يتضمن الاستخراج نسخ ونقل البيانات المخزنة في النظام. بمجرد قيام BlackCat بسرقة البيانات الهامة وتشفيرها ، يتم المطالبة بفدية مستحقة الدفع بالعملة المشفرة. يُطلب من ضحايا BlackCat دفع الفدية المطلوبة لاستعادة الوصول إلى بياناتهم.

BlackCat ليس برنامج فدية عادي. كان BlackCat أول برنامج فدية ناجح يتم كتابته بلغة Rust ، على عكس برامج الفدية الأخرى التي تتم كتابتها عادةً بلغة C أو C ++ أو C # أو Java أو Python. بالإضافة إلى ذلك ، كانت BlackCat أيضًا أول عائلة من برامج الفدية لديها موقع ويب على شبكة الويب الواضحة حيث يقومون بتسريب المعلومات المسروقة من هجماتهم.

هناك اختلاف رئيسي آخر عن برامج الفدية الأخرى وهو أن BlackCat يعمل كخدمة Ransomware (RaaS). Raas هو نموذج أعمال خاص بجرائم الإنترنت حيث يقوم منشئو برامج الفدية بتأجير أو بيع برامج الفدية كخدمة لأفراد أو مجموعات أخرى.

في هذا النموذج ، يوفر منشئو برامج الفدية جميع الأدوات والبنية التحتية اللازمة للآخرين لتوزيع هجمات برامج الفدية وتنفيذها. هذا في مقابل الحصول على حصة من أرباحهم من مدفوعات برامج الفدية.

وهذا يفسر سبب استهداف BlackCat للمنظمات والشركات في الغالب ، لأنهم عادة ما يكونون أكثر استعدادًا لدفع الفدية مقارنة بالأفراد. تدفع المنظمات والشركات أيضًا فدية أكبر مقارنة بالأفراد. يُعرف توجيه الإنسان واتخاذ القرارات في الهجمات الإلكترونية باسم الجهات الفاعلة في مجال التهديد السيبراني (CTA).

  كيفية مسح وتحويل صورك القديمة ضوئيًا باستخدام هاتفك

لإجبار الضحايا على دفع الفدية ، تستخدم BlackCat “تقنية الابتزاز الثلاثي”. يتضمن ذلك نسخ ونقل بيانات الضحايا وتشفير البيانات على أنظمتهم. ثم يُطلب من الضحايا دفع فدية للوصول إلى بياناتهم المشفرة. يؤدي عدم القيام بذلك إلى تسريب بياناتهم للجمهور و / أو هجمات رفض الخدمة (DOS) التي يتم إطلاقها على أنظمتهم.

أخيرًا ، يتم الاتصال بأولئك الذين سيتأثرون بتسرب البيانات وإبلاغهم بأنه سيتم تسريب بياناتهم. هؤلاء هم عادةً عملاء وموظفون وشركات تابعة أخرى للشركة. يتم ذلك للضغط على المنظمات الضحايا لدفع فدية لتجنب فقدان السمعة والدعاوى القضائية الناتجة عن تسرب البيانات.

كيف يعمل BlackCat Ransomware

وفقًا لتنبيه الفلاش الصادر عن مكتب التحقيقات الفيدرالي ، يستخدم BlackCat ransomware بيانات اعتماد المستخدم المخترقة مسبقًا للوصول إلى الأنظمة.

بمجرد دخول النظام بنجاح ، يستخدم BlackCat حق الوصول الذي يمتلكه لخرق حسابات المستخدم والمسؤول المخزنة في الدليل النشط. يسمح ذلك باستخدام برنامج جدولة مهام Windows لتكوين كائنات نهج المجموعة (GPOs) الضارة التي تسمح لـ BlackCat بنشر برامج الفدية الخاصة بها لتشفير الملفات في النظام.

أثناء هجوم BlackCat ، تُستخدم نصوص PowerShell النصية مع Cobalt Strike لتعطيل ميزات الأمان في شبكة الضحية. ثم تقوم BlackCat بسرقة بيانات الضحايا من مكان تخزينها ، بما في ذلك من مزودي الخدمات السحابية. بمجرد الانتهاء من ذلك ، يقوم ممثل التهديد الإلكتروني الذي يوجه الهجوم بنشر BlackCat ransomware لتشفير البيانات في نظام الضحية.

ثم يحصل الضحايا على مذكرة فدية لإبلاغهم بأن أنظمتهم تعرضت لهجوم وتم تشفير ملفات مهمة. توفر الفدية أيضًا إرشادات حول كيفية دفع الفدية.

لماذا يعد BlackCat أكثر خطورة من متوسط ​​برامج الفدية؟

يعد BlackCat خطيرًا مقارنة بمتوسط ​​برامج الفدية لعدد من الأسباب:

إنه مكتوب في Rust

Rust هي لغة برمجة سريعة وآمنة وتوفر أداءً محسنًا وإدارة فعالة للذاكرة. باستخدام Rust ، يجني BlackCat كل هذه الفوائد ، مما يجعله برنامج فدية معقدًا وفعالًا للغاية مع تشفير سريع. كما أنه يجعل من الصعب عكس هندسة BlackCat. Rust هي لغة مشتركة بين الأنظمة الأساسية تسمح للجهات الفاعلة في التهديد بتخصيص BlackCat بسهولة لاستهداف أنظمة تشغيل مختلفة ، مثل Windows و Linux ، مما يزيد من نطاق الضحايا المحتملين.

يستخدم نموذج أعمال RaaS

يسمح استخدام BlackCat لبرامج الفدية كنموذج خدمة للعديد من الجهات الفاعلة في التهديد بنشر برامج الفدية المعقدة دون الحاجة إلى معرفة كيفية إنشاء واحد. تقوم BlackCat بكل المهام الثقيلة لممثلي التهديد ، الذين يحتاجون فقط إلى نشره في نظام ضعيف. هذا يجعل هجمات برامج الفدية المعقدة سهلة للجهات الفاعلة في التهديد المهتمين باستغلال الأنظمة الضعيفة.

يقدم دفعات ضخمة للشركات التابعة

مع استخدام BlackCat لنموذج Raas ، يكسب المبدعون المال عن طريق أخذ جزء من الفدية المدفوعة لممثلي التهديد الذين ينشرونه. على عكس عائلات Raas الأخرى التي تحصل على ما يصل إلى 30٪ من دفع فدية ممثل التهديد ، تسمح BlackCat لممثلي التهديد بالاحتفاظ بـ 80٪ إلى 90٪ من الفدية التي يقدمونها. هذا يزيد من جاذبية BlackCat للجهات الفاعلة المهددة مما يسمح لـ BlackCat بالحصول على المزيد من الشركات التابعة المستعدة لنشرها في الهجمات الإلكترونية.

لديها موقع تسرب عام على شبكة الإنترنت الواضحة

على عكس برامج الفدية الأخرى التي تسرّب المعلومات المسروقة على الويب المظلم ، تقوم BlackCat بتسريب المعلومات المسروقة على موقع ويب يمكن الوصول إليه على شبكة الويب الواضحة. من خلال تسريب البيانات المسروقة بشكل واضح ، يمكن لعدد أكبر من الأشخاص الوصول إلى البيانات ، مما يزيد من تداعيات الهجوم الإلكتروني ويزيد من الضغط على الضحايا لدفع الفدية.

جعلت لغة البرمجة Rust BlackCat فعالة للغاية في هجومها. من خلال استخدام نموذج Raas وتقديم تعويضات ضخمة ، فإن BlackCat تناشد المزيد من الجهات الفاعلة التي تهدد والتي من المرجح أن تنشرها في الهجمات.

سلسلة عدوى برنامج الفدية BlackCat

تكتسب BlackCat وصولاً مبدئيًا إلى نظام باستخدام بيانات اعتماد تم اختراقها أو عن طريق استغلال نقاط الضعف في Microsoft Exchange Server. بعد الوصول إلى النظام ، تقوم الجهات الخبيثة بإزالة دفاعات النظام الأمنية وجمع المعلومات حول شبكة الضحية ورفع امتيازاتها.

  كيفية البحث عن سجل المواقع الخاص بك على iPhone أو iPad

ثم ينتقل برنامج BlackCat ransomware بشكل جانبي في الشبكة ، مما يتيح الوصول إلى أكبر عدد ممكن من الأنظمة. هذا مفيد أثناء طلب الفدية. كلما تعرضت الأنظمة للهجوم ، زاد احتمال دفع الضحية للفدية.

ثم تقوم الجهات الخبيثة بسرقة بيانات النظام التي سيتم استخدامها في الابتزاز. بمجرد استخراج البيانات الهامة ، يتم إعداد المرحلة لتسليم حمولة BlackCat.

تقوم الجهات الخبيثة بتسليم BlackCat باستخدام Rust. توقف BlackCat أولاً عن خدمات مثل النسخ الاحتياطية وتطبيقات مكافحة الفيروسات وخدمات إنترنت Windows والأجهزة الافتراضية. بمجرد الانتهاء من ذلك ، يقوم BlackCat بتشفير الملفات في النظام وتشويه صورة خلفية النظام واستبدالها بمذكرة الفدية.

الحماية من BlackCat Ransomware

على الرغم من إثبات أن BlackCat أكثر خطورة من برامج الفدية الأخرى التي شهدناها من قبل ، يمكن للمؤسسات حماية نفسها من فيروسات الفدية بعدة طرق:

تشفير البيانات الهامة

يتضمن جزء من استراتيجية ابتزاز بلاكهات التهديد بتسريب بيانات الضحية. من خلال تشفير البيانات الهامة ، تضيف المنظمة طبقة إضافية من الحماية لبياناتها ، وبالتالي تشل تقنيات الابتزاز التي يستخدمها ممثلو تهديد BlackHat. حتى لو تم تسريبه ، فلن يكون بتنسيق يمكن للبشر قراءته.

تحديث الأنظمة بانتظام

في بحث أجرته Microsoft ، تم الكشف عن أنه في بعض الحالات ، استغلت BlackCat خوادم التبادل غير المصححة للوصول إلى أنظمة المؤسسة. تقوم شركات البرمجيات بإصدار تحديثات البرامج بانتظام لمعالجة الثغرات الأمنية ومشكلات الأمان التي ربما تم اكتشافها في أنظمتها. لتكون آمنًا ، قم بتثبيت تصحيحات البرامج بمجرد توفرها.

بيانات النسخ الاحتياطي في مكان آمن

يجب على المؤسسات إعطاء الأولوية لنسخ البيانات احتياطيًا بشكل منتظم وتخزينها في مكان منفصل وآمن غير متصل بالإنترنت. هذا لضمان أنه حتى في حالة تشفير البيانات الهامة ، لا يزال من الممكن استعادتها من النسخ الاحتياطية الموجودة.

تنفيذ المصادقة متعددة العوامل

بالإضافة إلى استخدام كلمات مرور قوية في النظام ، قم بتنفيذ مصادقة متعددة العوامل ، والتي تتطلب بيانات اعتماد متعددة قبل منح الوصول إلى النظام. يمكن القيام بذلك عن طريق تكوين نظام لإنشاء كلمة مرور لمرة واحدة يتم إرسالها إلى رقم هاتف أو بريد إلكتروني مرتبط ، وهو أمر مطلوب للوصول إلى النظام.

مراقبة النشاط على الشبكة والملفات في النظام

يجب على المنظمات مراقبة النشاط على شبكاتها باستمرار لاكتشاف الأنشطة المشبوهة والرد عليها في شبكاتها بأسرع ما يمكن. يجب أيضًا تسجيل الأنشطة على الشبكة ومراجعتها من قبل خبراء الأمن لتحديد التهديدات المحتملة. أخيرًا ، يجب وضع أنظمة لتتبع كيفية الوصول إلى الملفات في النظام ومن يصل إليها وكيف يتم استخدامها.

من خلال تشفير البيانات الهامة ، والتأكد من تحديث الأنظمة ، والنسخ الاحتياطي للبيانات بانتظام ، وتنفيذ المصادقة متعددة العوامل ، ومراقبة النشاط في النظام. يمكن للمنظمات أن تكون خطوات للأمام وتمنع هجمات BlackCat.

مصادر التعلم: برامج الفدية

لمعرفة المزيد حول الهجمات الإلكترونية وكيفية حماية نفسك من هجمات برامج الفدية مثل BlackCat ، نوصي بأخذ أي من هذه الدورات التدريبية أو قراءة الكتب المقترحة أدناه:

# 1. تدريب توعية الحراس

هذه دورة رائعة لكل المهتمين بالأمان على الإنترنت. يقدم الدورة الدكتور مايكل بيوتشي ، أخصائي أمن نظم المعلومات المعتمد (CISSP).

تغطي الدورة التصيد ، والهندسة الاجتماعية ، وتسرب البيانات ، وكلمات المرور ، والتصفح الآمن ، والأجهزة الشخصية وتقدم نصائح عامة حول كيفية أن تكون آمنًا على الإنترنت. يتم تحديث الدورة بانتظام ، ويستفيد منها كل من يستخدم الإنترنت.

# 2. التدريب على الوعي الأمني ​​، أمن الإنترنت للموظفين

تم تصميم هذه الدورة التدريبية لمستخدمي الإنترنت اليوميين وتهدف إلى تثقيفهم حول التهديدات الأمنية التي غالبًا ما لا يكون الأشخاص على دراية بها وكيفية حماية أنفسهم من التهديدات.

تغطي الدورة التي يقدمها Roy Davis ، خبير أمن المعلومات المعتمد من CISSP ، مسؤولية المستخدم والجهاز ، والتصيد الاحتيالي ورسائل البريد الإلكتروني الضارة الأخرى ، والهندسة الاجتماعية ، ومعالجة البيانات ، وأسئلة كلمة المرور والأمان ، والتصفح الآمن ، والأجهزة المحمولة ، وبرامج الفدية. يمنحك إكمال الدورة التدريبية شهادة إتمام ، وهو ما يكفي للامتثال لسياسات تنظيم البيانات في معظم أماكن العمل.

  كيفية إيقاف تشغيل النسخ الاحتياطي والمزامنة لرسائل AT&T

# 3. الأمن السيبراني: تدريب توعوي للمبتدئين المطلقين

هذه دورة Udemy يقدمها عثمان أشرف من أكاديمية Logix ، وهي شركة تدريب وشهادات ناشئة. عثمان حاصل على شهادة CISSP وحاصل على درجة الدكتوراه. في شبكات الكمبيوتر والعديد من الخبرة في الصناعة والتعليم.

تقدم هذه الدورة التدريبية للمتعلمين الغوص العميق في الهندسة الاجتماعية وكلمات المرور والتخلص الآمن من البيانات والشبكات الخاصة الافتراضية (VPN) والبرامج الضارة وبرامج الفدية ونصائح التصفح الآمن وتشرح كيفية استخدام ملفات تعريف الارتباط لتتبع الأشخاص. الدورة غير فنية.

# 4. تم الكشف عن برامج الفدية الضارة

هذا كتاب من تأليف نهاد حسن ، مستشار أمن معلومات مستقل وخبير في الأمن السيبراني والطب الشرعي الرقمي. يعلم الكتاب كيفية التخفيف من هجمات برامج الفدية والتعامل معها ويعطي القراء نظرة متعمقة على الأنواع المختلفة لبرمجيات الفدية الموجودة واستراتيجيات التوزيع وطرق الاسترداد.

يغطي الكتاب أيضًا الخطوات الواجب اتباعها في حالة الإصابة بفيروس الفدية. يشمل ذلك كيفية دفع الفدية ، وكيفية إجراء النسخ الاحتياطية واستعادة الملفات المتأثرة ، وكيفية البحث عبر الإنترنت عن أدوات فك التشفير لفك تشفير الملفات المصابة. ويغطي أيضًا كيف يمكن للمؤسسات تطوير خطة استجابة لحوادث برامج الفدية لتقليل أضرار برامج الفدية إلى الحد الأدنى واستعادة العمليات العادية بسرعة.

# 5. فيروسات الفدية: فهم. يحول دون. استعادة

في هذا الكتاب ، يجيب Allan Liska ، كبير مهندسي الأمان ومتخصص في برامج الفدية في Recorded Future ، عن جميع الأسئلة الصعبة المتعلقة ببرنامج Ransomware.

يقدم الكتاب سياقًا تاريخيًا لسبب انتشار برامج الفدية في السنوات الأخيرة ، وكيفية إيقاف هجمات برامج الفدية ، ونقاط الضعف التي تستهدفها الجهات الفاعلة الخبيثة باستخدام برامج الفدية ، ودليل النجاة من هجوم رانسوم وير بأقل قدر من الضرر. بالإضافة إلى ذلك ، يجيب الكتاب على السؤال المهم للغاية ، هل يجب أن تدفع الفدية؟ يقدم هذا الكتاب استكشافًا مثيرًا لبرامج الفدية.

# 6. دليل الحماية من برامج الفدية

يجب قراءة هذا الكتاب لأي فرد أو منظمة تتطلع إلى تسليح نفسها ضد برامج الفدية. في هذا الكتاب ، يقدم Roger A. Grimes ، الخبير في أمان الكمبيوتر واختراقه ، خبرته الواسعة ومعرفته في هذا المجال لمساعدة الأشخاص والمؤسسات على حماية أنفسهم من برامج الفدية.

يقدم الكتاب مخططًا عمليًا للمؤسسات التي تسعى إلى صياغة دفاعات قوية ضد برامج الفدية. كما تعلم كيفية اكتشاف الهجوم ، والحد من الضرر بسرعة ، وتحديد ما إذا كنت ستدفع الفدية أم لا. كما يقدم خطة لعبة لمساعدة المؤسسات على تقييد السمعة والأضرار المالية الناجمة عن الانتهاكات الأمنية الخطيرة.

أخيرًا ، تعلم كيفية التوصل إلى أساس آمن لتأمين الأمن السيبراني والحماية القانونية للتخفيف من تعطل الأعمال والحياة اليومية.

مفكرة

BlackCat عبارة عن برنامج فدية ثوري لا بد أن يغير الوضع الراهن عندما يتعلق الأمر بالأمن السيبراني. اعتبارًا من مارس 2022 ، نجحت BlackCat في مهاجمة أكثر من 60 منظمة وتمكنت من جذب انتباه مكتب التحقيقات الفيدرالي. يمثل BlackCat تهديدًا خطيرًا ، ولا يمكن لأي منظمة أن تتجاهله.

من خلال استخدام لغة برمجة حديثة وأساليب غير تقليدية للهجوم والتشفير وابتزاز الفدية ، ترك BlackCat خبراء الأمن يلعبون دورًا في اللحاق بالركب. ومع ذلك ، فإن الحرب ضد برنامج الفدية هذا لم تخسر.

من خلال تنفيذ الاستراتيجيات الموضحة في هذه المقالة وتقليل فرصة الخطأ البشري لفضح أنظمة الكمبيوتر ، يمكن للمؤسسات أن تظل خطوة للأمام وتمنع الهجوم الكارثي لبرنامج BlackCat ransomware.