العصابات السيبرانية

11/11/2022 5:45 م بلا تعليق محمد يحيى

عامر لاخاني ، من FortiGuard Labs ، يجيب على السؤال ؛ لماذا تستهدف عصابة Conti ransomware الأشخاص والشركات في كوستاريكا؟

في أي وقت يندلع فيه الصراع ، يميل الناس إلى الانحياز إلى جانب واحد ، حتى عندما يتعلق الأمر بالجرائم الإلكترونية. منذ بداية الحرب الروسية الأوكرانية المستمرة ، أعلن بعض الفاعلين السيئين عن تحالفاتهم علنًا.

تعد مجموعة Conti Ransomware-as-a-Service (RaaS) واحدة من أبرزها – حيث أعلنت في فبراير أنها تدعم روسيا وستستخدم ترسانتها وفقًا لذلك.

يبدو أن هدفهم الأخير هو دولة كوستاريكا بأكملها ، والتي عبرت عن معارضتها للغزو الروسي. هذا يطرح السؤال التالي: هل يجب أن تكون الدول الأخرى معنية؟ لماذا يحدث هذا الآن وماذا ينذر؟

صعود كونتي
تقف مجموعة Conti ransomware وراء العديد من الهجمات البارزة ، بما في ذلك الهجوم الذي أسقط خدمة الرعاية الصحية الأيرلندية في مايو 2021. كما تم تصنيف Conti أيضًا من قِبل مكتب التحقيقات الفيدرالي (PDF) كأفضل متغير لبرامج الفدية التي تستهدف البنية التحتية الحيوية في عام 2021. حدد المكتب على الأقل 16 هجوماً من قبل Conti ransomware ضد شبكات الرعاية الصحية الأمريكية وشبكات First Responder ، بما في ذلك خدمات الطوارئ الطبية ووكالات إنفاذ القانون ومراكز إرسال 9-1-1 العام الماضي.

في العام الماضي ، تم تسريب سجلات الدردشة الداخلية لكونتي – بشكل أساسي ، تم نشر دليل التشغيل الخاص بهم. وأظهرت المزيد من السجلات الداخلية التي تم تسريبها في وقت سابق من هذا العام أن المجموعة كانت تعمل في الأساس مثل الشركة. أظهرت هذه المستندات – التي تم تسريبها على نحو مثير للسخرية ردًا على موقف كونتي المؤيد لروسيا – أن حلقة برامج الفدية لديها قسم للموارد البشرية ، وتقدم مكافآت ، بل وتسمي أحد موظفي الشهر.

ومنذ ذلك الحين ، يبدو أن ما نراه ونسمعه يشير إلى أن كونتي تحاول التغلب على هذه الانتكاسات التي تضر بالسمعة من خلال الشروع في إثبات أنها شرعية ومتطورة وما زالت ذات صلة. نحن نرى هذا من حيث كيفية تجنيدهم أيضًا – ملاحقة الجهات الفاعلة الأخرى المهددة والقيام ، بشكل أساسي ، بأحداث تجنيد لا تختلف كثيرًا عما قد تتوقعه من شركات وادي السيليكون الكبرى (على الرغم من أنه من الواضح أنها سرية أكثر قليلاً).

على الرغم من أننا لا نعتقد أنهم ممثلون للدولة القومية ، إلا أنهم بالتأكيد جعلوا انتمائهم معروفًا ويتصرفون وفقًا لذلك. ومع ذلك ، لا يزال العامل الدافع يعود دائمًا إلى المال. وهم يحاولون التأكد من بقائهم في القمة.

تطور فيروسات الفدية
كلف الهجوم على كوستاريكا الأمة ملايين الدولارات. تعطلت مدفوعات الضرائب واضطر موظفو الوكالات الحكومية الـ 27 المتضررة إلى استخدام القلم والورق لأن أجهزة الكمبيوتر الخاصة بهم ظلت عديمة الفائدة. مع هذا الهجوم ، هناك دليل على أن هذا هو في الأساس محاولة من قبل كونتي “لإعادة صياغة العلامة التجارية” – مع ورود أخبار بعد فترة وجيزة من الهجوم الذي أغلق كونتي في شكله الحالي.

لكن المهم هنا هو – ما الذي تقوله الهجمات مثل تلك التي تستهدف أمة بأكملها حول كيفية تطور برامج الفدية؟ لسبب واحد ، بينما لا يزال من الواضح أن المال هو العامل الدافع ، فإننا نرى أن الشهرة و “السعي وراء الشهرة” يلعبان أيضًا دورًا. كان كونتي مباشرًا في رغبته ليس فقط في ابتزاز الأموال ولكن في الإطاحة بالحكومة الكوستاريكية – وهذا تجعد جديد في برامج الفدية التي تضيف فقط إلى سمعة المهاجمين السيئة.

نشهد أيضًا هجمات يبدو أنها تركز بشكل أساسي على التدمير. كشف باحثو FortiGuard Labs مؤخرًا عن متغير جديد من Chaos ransomware حيث لا ينوي المهاجم توفير أداة فك تشفير أو تعليمات ملف – الأمر كله يتعلق بتدمير كل ما في وسعه.

من الواضح أن الجهات الفاعلة السيئة تحاول إثارة الخوف بشأن ما يمكن أن يحدث. لا يزال هناك المكون المالي لبرامج الفدية ، ولكن في الوقت نفسه ، يحاولون استعراض عضلاتهم أكثر. من المحتمل جدًا وجود اختلافات فلسفية متنافسة بين المجموعات. لكن الأمر بالتأكيد يتعلق بنشر الخوف بحيث تدفع الشركات أي مبلغ يطلبه المهاجمون. مع تصاعد التوترات ، يمكن أن يتغير ذلك يوميًا.

ماذا يعني هذا من حيث كيفية تطور البرامج الضارة وبرامج الفدية؟ من المحتمل أن نشهد المزيد من هجمات برامج الفدية المدمرة باستخدام برامج المسح الضارة ، والتي ستدمر البيانات تمامًا. سنشهد المزيد من هجمات برامج الفدية العدوانية باستخدام برامج Wiper الضارة. ما نراه هو أن الجهات الفاعلة السيئة أصبحت الآن أقل خوفًا من استخدام هجمات أكثر تعقيدًا – لم تعد تخشى تجربة تلك الهجمات – ولسوء الحظ ، سيكون احتوائها واكتشافها أصعب بكثير.

ابق قويا
في الآونة الأخيرة ، انحاز متغير Chaos ransomware إلى روسيا ، تاركًا المراقبين يتساءلون عما يمكن أن يعنيه هذا من وجهة نظر الأمن السيبراني. تداعيات حروب الوكلاء السيبرانية هائلة ، سواء بالنسبة للحكومات الوطنية أو الشركات المربحة داخل حدودها. يمكن أن يؤدي اتخاذ موقف الآن إلى عواقب رقمية إضافية.

ومع ذلك ، لا يتعين على المنظمات الخضوع قبل إعادة الفدية

يتساءل عما إذا كان لديهم استراتيجية أمنية مناسبة مطبقة. يتضمن ذلك شبكة أمان شاملة ومتكاملة ، ومعلومات عن التهديدات الحالية ، وبرنامج قوي للنظافة الإلكترونية وتدريب الموظفين من الدرجة الأولى. حافظ على أذنك على الأرض واستمر في التنفيذ على كل من الإجراءات الأمنية المتقدمة والأساسية ، ومن المحتمل أن تتغلب على عواصف الفدية.

عامر لاخاني هو باحث وممارس في الأمن السيبراني في مختبرات FortiGuard

324 مشاهدات

نشر في

السابق خطأ في جدار الحماية تحت الهجوم النشط يؤدي إلى تحذير CISA

التالي يجب ألا تكون صيانة الأمن المادي فكرة متأخرة على الإطلاق

رئيس التحرير

يحيى محمد المطري

العصابات السيبرانية

مواضيع ذات صلة

الاتجاهات السائدة في مجال الأمن السيبراني في عام 2024

عشر ضمانات أساسية للأمن السيبراني لحماية الاعمال

الأمن السيبراني الذكي: 5 مجالات تكنولوجية متطورة