مسقط- الرؤية
كشف باحثو كاسبرسكي عن عصابة رقمية تختصّ بشنّ هجمات ببرمجيات الفدية. ووجد الباحثون أن العصابة، التي أُطلق عليها اسم Luna، تستخدم برمجية فدية مكتوبة بلغة Rust، إحدى لغات البرمجة التي سبق استخدامها من قبل عصابات مثل BlackCat وHive وغيرها. وتسمح لغة البرمجة بنقل البرمجيات الخبيثة بسهولة من نظام تشغيل إلى آخر. وأوردت كاسبرسكي هذا الاكتشاف وغيره في تقرير حول أدوات الجريمة الرقمية، يمكن الاطلاع عليه في موقع Securelist التابع للشركة.
و تنشر Luna برامج ضارة مكتوبة بلغة Rust، تتيح إمكانياتها عبر الأنظمة الأساسية للمجموعة استهداف أنظمة تشغيل ومنصات متنوعة، بينها "ويندوز" و"لينكس" وESXi. وكانت Luna نشرت إعلانًا على شبكة الويب المظلمة رصدته كاسبرسكي، يفيد بأنها تعمل فقط مع "حلفاء" ناطقين باللغة الروسية. وعلاوة على ذلك، تحتوي برمجية الفدية المشفرة على بعض الأخطاء الكتابية، ما يدعو إلى استنتاج أن العصابة قد تكون ناطقة بالروسية. وليس هناك معلومات كثيرة متاحة عن ضحايا عصابة Luna نظرًا لكونها مكتشفة حديثًا، لكن كاسبرسكي أكّدت حرصها على تتبع نشاطها.
وتؤكّد Luna التوجّه الحديث المتمثل باهتمام عصابات الفدية بالبرمجيات العاملة على عدة أنظمة تشغيل، إذ اعتمد عدد من هذه العصابات الرقمية كثيرًا في العام الماضي على لغات برمجة مثل Golang وRust في تنفيذ برمجياتها الخبيثة. وتضمّ أبرز الأمثلة العصابتين BlackCat وHive، التي استخدمت كلًا من لغتي البرمجة Go وRust، المستقلتين وغير المرتبطتين بالطبيعة التقنية لأنظمة التشغيل، ما يمكّن الجهات التخريبية من نقل برمجيات الفدية المكتوبة باستخدامهما من نظام إلى آخر بحرّية. لذا يمكن أن تستهدف الهجمات أنظمة تشغيل متعدّدة في الوقت نفسه.
يقدّم تحقيق آخر أجرته كاسبرسكي حديثًا نظرة أعمق على نشاط عصابة الفدية Black Basta، التي توظّف إصدارًا جديدًا من برمجية فدية مكتوبة بلغة C++ التي ظهرت لأول مرة في فبراير 2022. وهاجمت Black Basta منذ ذلك الحين أكثر من 40 جهة معظمها في الولايات المتحدة وأوروبا وآسيا.
وأظهرت تحقيقات كاسبرسكي أن كلاً من Luna وBlack Basta تستهدفان كذلك أنظمة ESXi، إضافة إلى نظامي التشغيل "ويندوز" و"لينكس"، وهو توجه آخر لبرمجيات الفدية برز في العام 2022. ويُعتبر ESXi نظام تشغيل ومراقبة للأجهزة الافتراضية يمكن استخدامه باستقلالية على أي نظام تشغيل. ويسهل على الجهات التخريبية تشفير بيانات الضحايا بعد أن انتقلت العديد من المؤسسات إلى الأجهزة الافتراضية القائمة على هذا النظام.
وقال يورنت فان ديرفيل خبير الأمن لدى كاسبرسكي، إن التوجّهات التي حدّدتها الشركة في وقت سابق من هذا العام "تزداد وضوحًا"، لافتًا إلى أن المزيد من العصابات الرقمية بدأت تستخدم لغات برمجية متعدّدة الأنظمة لكتابة برمجيات الفدية الخاصة بها. وأضاف: "هذا التوجه يمكّن العصابات من توظيف برمجياتها الخبيثة في مجموعة متنوعة من أنظمة التشغيل، لذا نرى بأن الهجمات المتزايدة على الأجهزة الافتراضية العاملة بالنظام ESXi تثير القلق. ونتوقع في هذا السياق ظهور المزيد من عائلات برمجيات الفدية".
يمكن التعرّف أكثر على عصابات برمجيات الفدية الناشئة، على الموقع Securelist.
وتوصي كاسبرسكي المؤسسات باتباع التدابير التالية لحماية أصولها وأعمالها من الهجمات ببرمجيات الفدية:
• عدم تشغيل خدمات سطح المكتب البعيد (مثل RDP) عبر شبكات الإنترنت العامة ما لم يكن ذلك ضروريًا جدًا، مع الحرص على استخدم كلمات مرور قوية لها.
• تركيز الاستراتيجية الدفاعية المؤسسية على الكشف عن الحركات الجانبية ومحاولات سحب البيانات من الشبكة إلى الإنترنت، مع الانتباه إلى حركة المرور الصادرة التي قد تكشف عن اتصالات مجرمي الإنترنت.
• استخدام حلول مثل Kaspersky Endpoint Detection and Response Expert وKaspersky Managed Detection and Response، للمساعدة في تحديد الهجمات وإيقافها في مراحلها المبكرة، قبل أن يبلغ المهاجمون أهدافهم.
• الحرص على توعية الموظفين في سبيل حماية البيئة المؤسسية. وتساعد في هذا الجانب الدورات التدريبية المتخصصة، مثل تلك المتاحة في Kaspersky Automated Security Awareness Platform.
• استخدام أحدث معلومات التهديدات للبقاء على الطلاع على التكتيكات والأساليب والإجراءات التي تتبعها وتستخدمها الجهات التخريبية. وتقدّم بوابة Kaspersky Threat Intelligence Portal مدخلًا موحدًا إلى منصة معلومات التهديدات المتكاملة من كاسبرسكي، والتي تتيح بيانات الهجمات الرقمية والرؤى والمعلومات والتفصيلية التي جمعها فريق الشركة على مدار 25 عامًا. وأعلنت كاسبرسكي عن إتاحة المجال أمام المؤسسات للوصول إلى معلومات مستقلة ومحدّثة باستمرار من مصادر عالمية حول الهجمات الرقمية والتهديدات المستمرة، وذلك لمساعدة المؤسسات، مجانًا، على تعزيز دفاعاتها الأمنية في وسط الأوقات الصعبة التي يمرّ بها العالم حاليًا.
