نبّه مكتب التحقيقات الفيدرالي الأميركي FBI من ارتفاع عدد هجمات برامج الفدية Egregor على الشركات في جميع أنحاء العالم، في حين أساءت البرمجيات الخبيثة بالفعل إلى أكثر من 150 مؤسسة أو شركة.
وأصدرت الوكالة تقريراً استشارياً (PDF) يلقي الضوء على الهجمات ويحدد كيفية عمل البرامج الضارة الغزيرة، والتي شوهدت وهي تعيث فساداً عشوائياً ضد أنواع مختلفة من المنظمات. ومن الضحايا المعروفين والمشهورين لبرمجيات الفدية: بائع الكتب Barnes & Noble، تاجر التجزئة Kmart، مزود برامج الألعاب Ubisoft ونظام مترو فانكوفر Translink.
Egregor .. ما هو؟
يشير اسم Egregor إلى مصطلح غامض يُقصد به الإشارة إلى الطاقة أو القوة الجماعية لمجموعة من الأفراد، وهو في الواقع عمل يتطلب عدداً كبيراً من الجهات الفاعلة، ويعمل كنموذج لتنفيذ برامج الفدية بحسب الطلب.
ونظراً للعدد الكبير من الجهات الفاعلة المشاركة في Egregor ، يمكن أن تختلف التكتيكات والتقنيات والإجراءات (TTPs) المستخدمة في الهجمات على نطاق واسع، مما يخلق تحديات كبيرة على صعيد تأمين أنظمة الدفاع المناسبة لصد الهجومات أو التخفيف منها قدر المستطاع.
كيفية تنفيذ الهجمات؟
أشار مكتب التحقيقات الفدرالي في تقريره إلى كيفية تنفيذ هجمات Egregor على شبكات الأعمال، بما في ذلك استهداف حسابات الموظفين الشخصية المرتبطة بشبكات العمل، أو إرسال روابط خبيثة عبر رسائل البريد الإلكتروني المخادعة التي تحتوي على مرفقات ضارة، أو استغلال بروتوكول سطح المكتب البعيد (RDP) أو شبكات VPN.
وبمجرد الحصول على قدرة الولوج إلى الشبكات، يمكن للجهات الفاعلة في التهديد التحرك بشكل جانبي لتأدية مهامها الضارة. ومن البرامج الشائعة التي يقومون باستغلالها لتنفيذ هجماتهم هي Cobalt Strike و Qakbot / Qbot و Advanced IP Scanner و AdFind بهدف تصعيد الامتيازات وإجراء تحركات جانبية عبر الشبكة، بالإضافة إلى استخدام أدوات مثل Rclone أو svchost و 7zip لسحب البيانات.
هذا بالإضافة إلى انخراط هذه المجموعة أيضاً في سلوكيات برامج الفدية النموذجية، مثل تهريب الملفات وتشفيرها على الشبكة وترك مذكرة فدية على الأجهزة لإرشاد الضحايا إلى كيفية التواصل مع الجهات الفاعلة عبر الإنترنت لدفع المبالغ المالية.
والمثير للاهتمام فعلاً، أن لدى Egregor ميزة فريدة من نوعها في طلب الفدية وهي أن المهاجمون يستخدمون وظيفة الطباعة على أجهزة الضحايا لكتابة ملاحظاتهم ومطالبهم.
تجدر الإشارة إلى أن مكتب التحقيقات الفيدرالي رصد تحركات Egregor للمرة الأولى في سبتمبر، وأوضح أنه منذ ذلك الحين عملت الجهات الفاعلة في التهديد وراء البرامج الضارة بسرعة كبيرة لتطوير تقنياتها وتحركاتها. فيما يحذر من أن دفع الفدية لا يضمن استعادة ملفات الضحية، وهي نتيجة سيئة أخرى معروفة قد تواجهها الشركات نتيجة هجمات برامج الفدية.