كاسبرسكي تكتشف نشاطاً جديداً لعصابة Cubaالسيبرانيةالمعروفة بتطويرها لبرمجيات الفدية الخبيثة

12 سبتمبر 2023

اكتشفت كاسبرسكي مؤخراً نشاطاً جديداً لمجموعة عصابة الإنترنت Cuba المعروفة بتطويرها لبرمجيات الفدية الخبيثة، حيث قامت المجموعة بنشر برمجية خبيثة مقلقة. إذ تمكنت البرمجية من تجنب عمليات الاكتشاف المتقدمة، واستهدفت المؤسسات حول العالم، وتركت خلفها قائمة من الشركات المخترقة في مختلف القطاعات.

كشفت كاسبرسكي في ديسمبر 2022 عن نشاط مشبوه في نظام أحد عملائها، وعثرت على ثلاث ملفات مشبوهة. كانت هذه الملفات تشغّل سلسلة من الإجراءات التي تقوم بتحميل مكتبة komar65، المعروفة أيضاً باسم BUGHATCH، التي تعد باباً خلفياً متطوراً ويتم تفعيلها في ذاكرة العملية.

تقوم BUGHATCH بتنفيذ جزء مضمن من النص البرمجي لواجهة البرمجة (Shellcode) داخل مساحة الذاكرة المخصصة له باستخدام واجهة برمجة التطبيقات لنظام Windows، ويتضمن هذا النص البرمجي وظائف متعددة. وبعد ذلك، يتصل البرنامج بخادم قيادة وتحكم (C2) وينتظر تلقي المزيد من الأوامر. ويمكن أن تطلب هذه الأوامر تثبيت برامج مخصصة للاختراق مثل Cobalt Strike Beacon وMetasploit. كما يشير استخدام أداة سرقة كلمات المرور Veeamp بقوة إلى يد برمجية الفدية Cuba في الأمر.

بشكل مثير للاهتمام، يشير ملف قاعدة بيانات البرنامج إلى مجلد باسم «komar»، وهي كلمة روسية تعني «البعوضة»، مما يشير إلى احتمال وجود أعضاء ناطقين بالروسية داخل المجموعة، ما يتطابق مع أدلة سابقة متعلقة بالمجموعة. وكشف تحليل إضافي أجرته كاسبرسكي عن نشر Cuba لنماذج إضافية تحسن وظائف هذه البرمجية الخبيثة. حيث يقوم أحد هذه النماذج بجمع معلومات النظام ليتم إرسالها إلى خادم عبر طلبات HTTP POST.

واصلت كاسبرسكي تحقيقاتها، واكتشفت عينات جديدة من البرامج الخبيثة المنسوبة إلى مجموعة Cuba على موقع VirusTotal. وتمكنت بعض هذه البرمجيات من تجنب الاكتشاف من مزودي الخدمات الأمنية الآخرين. تمثل هذه العينات نسخاً جديدة لبرمجية BURNTCIGAR الخبيثة، وتستخدم بيانات مشفرة لتجنب اكتشافها من برامج مكافحة الفيروسات.

يقول جليب إيفانوف، خبير الأمن السيبراني لدى كاسبرسكي، عن هذا الاكتشاف: «تؤكد النتائج التي توصلنا إليها أهمية الوصول إلى أحدث التقارير والمعلومات عن التهديدات. فمع مواصلة عصابات برمجيات الفدية، مثل مجموعة Cuba تطوير وتحسين تقنياتها، تعد المعرفة المسبقة إجراءً مهم للتصدي للهجمات المحتملة بشكل فعال. ففي مشهد التهديدات السيبرانية دائم التغير، تعد المعرفة وسيلة الدفاع النهائية ضد المجرمين السيبرانيين الجدد.»

تعد Cuba سلالة برمجيات فدية أحادية الملف وصعبة الاكتشاف نظراً لعملها دون مكتبات إضافية. وتشتهر المجموعة الإجرامية الناطقة بالروسية بانتشارها الواسع، وتستهدف صناعات مثل البيع بالتجزئة، والتمويل، والخدمات اللوجستية، بالإضافة إلى المصانع والمنشآت الحكومية حول أمريكا الشمالية، وأوروبا، وأوقيانوسيا، وآسيا. تستخدم المجموعة مزيجاً من الأدوات العامة والخاصة، وتحدّث مجموعة أدواتها بانتظام، كما تستخدم مناورات مثل هجمات BYOVD (أحضر برنامج التعريف المعرض للخطر الخاص بك).

ما يميز عمليات المجموعة هي تلاعبها بالطوابع الزمنية لوقت تجميع برمجياتها الخبيثة بهدف تضليل المحققين. مثلاً، في عام 2020 تم العثور على عينات كان تاريخ تجميعها 4 يونيو 2020، فيما حملت الإصدارات الأحدث طوابع زمنية تشير إلى تجميعها في 19 يونيو 1992. ولا يقتصر نهج المجموعة الفريد على تشفير البيانات فقط، بل يتضمن تخصيص الهجمات لسرقة المعلومات الحساسة مثل المستندات المالية، والسجلات المصرفية، وحسابات الشركات، والكود المصدري. وتعد شركات تطوير البرمجيات معرضة للخطر الأكبر من هذه المجموعة. وعلى الرغم من ظهور المجموعة منذ فترة ليست بقصيرة، فهي لا تزال مرنة وتطور أساليبها باستمرار.

يمكنك قراءة التقرير الكامل على موقع Securelist.com

تحث كاسبرسكي المنظمات بأنواعها على اتباع ما يلي من التوصيات في سبيل الوقاية من برامج الفدية:

• احرصوا دائماً على تحديث البرامج على جميع الأجهزة التي تستخدمونها لمنع المخترقين من استغلال نقاط الضعف واختراق شبكتكم.
• ركزوا إستراتيجياتكم الدفاعية على اكتشاف الحركات الجانبية وتسرُّب البيانات إلى الإنترنت. أولوا انتباهكم لتدفق البيانات الصادرة لاكتشاف المخترقين المتصلين بشبكتكم. ومن المهم تجهيز نسخ احتياطية غير متصلة بالإنترنت لا يمكن للمخترقين التلاعب بها، وتأكدوا من قدرتكم على الوصول إليها بسرعة عند الحاجة أو في حالات الطوارئ.
• احموا جميع النقاط الطرفية في شبكتكم من برامج الفدية باستخدام الحلول والأدوات مثل أداة Kaspersky Anti-Ransomware Tool for Business المجانية التي تحمي الحواسيب والخوادم من برامج الفدية وأنواع أخرى من البرمجيات الخبيثة، وتحمي من الثغرات، وتتوافق مع الحلول الأمنية المثبتة مسبقاً.
• تبنّوا حلولاً لمكافحة هجمات التهديد المتقدم المستمر (APT) وبرامج الاكتشاف والاستجابة للنقاط الطرفية (EDR) التي تحتوي على إمكانات متقدمة للكشف عن المخاطر والتحقيق فيها ومعالجتها السريعة. وامنحوا فرق مركز العمليات الأمني (SOC) في شركتكم وصولاً إلى أحدث معلومات التهديدات، وحسّنوا مهاراتهم بانتظام من خلال التدريب الاحترافي. يمكنكم ضمان كل هذا مع إطار عمل Kaspersky Expert Security.
• زودوا أعضاء فريقكم الأمني بأحدث المعلومات عن التهديدات السيبرانية. تعد منصة Kaspersky Threat Intelligence Portal نقطة وصول موحدة لمعلومات كاسبرسكي عن التهديدات، وتوفر معلومات وتحاليل حول الهجمات السيبرانية جمعها فريق كاسبرسكي على مدار أكثر من 20 عاماً. ولمساعدة الشركات على حماية نفسها بفعالية في هذه الأوقات المضطربة، أعلنت كاسبرسكي عن تقديم الوصول إلى معلوماتها دائمة التحديث وعالمية المصادر عن الهجمات والتهديدات السيبرانية الحالية دون أي رسوم. 

يمكنك طلب الحصول على هذا العرض من هنا.