الصفحة الرئيسية

LockBit 3.0 Ransomware: داخل التهديد السيبراني يكلف الملايين

 


أصدرت الوكالات الحكومية الأمريكية استشاريًا مشتركًا للأمن السيبراني يوضح بالتفصيل مؤشرات الاختراق (IoCs) والتكتيكات والتقنيات والإجراءات (TTPs) المرتبطة ببرنامج الفدية LockBit 3.0 الشهير .

وقالت السلطات: "تعمل عمليات LockBit 3.0 ransomware كنموذج Ransomware-as-a-Service (RaaS) وهي استمرار للإصدارات السابقة من برامج الفدية و LockBit 2.0 و LockBit" .

يأتي التنبيه مقدمًا من مكتب التحقيقات الفيدرالي الأمريكي (FBI) ، ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) ، ومركز تبادل المعلومات وتحليلها متعدد الولايات (MS-ISAC).

منذ ظهورها في أواخر عام 2019 ، استثمرت الجهات الفاعلة في LockBit جهودًا فنية كبيرة لتطوير برامجها الضارة وضبطها ، وأصدرت تحديثين رئيسيين - LockBit 2.0 ، الذي تم إصداره في منتصف عام 2021 ، و LockBit 3.0 ، الذي تم إصداره في يونيو 2022. الإصداران هما المعروف أيضًا باسم LockBit Red و LockBit Black ، على التوالي.

ووفقًا للتنبيه ، فإن "LockBit 3.0 يقبل الحجج الإضافية لعمليات محددة في الحركة الجانبية وإعادة التشغيل في الوضع الآمن" "إذا لم يكن لدى شركة تابعة لـ LockBit حق الوصول إلى برنامج الفدية LockBit 3.0 بدون كلمة مرور ، فإن وسيطة كلمة المرور إلزامية أثناء تنفيذ برنامج الفدية."

تم تصميم برنامج الفدية أيضًا لإصابة الأجهزة التي لا تتداخل إعدادات لغتها مع تلك المحددة في قائمة الاستبعاد ، والتي تشمل الرومانية (مولدوفا) والعربية (سوريا) والتتار (روسيا).

يتم الحصول على الوصول الأولي إلى شبكات الضحايا عبر استغلال بروتوكول سطح المكتب البعيد (RDP) ، والتسوية من السيارة ، وحملات التصيد الاحتيالي ، وإساءة استخدام الحسابات الصالحة ، وتسليح التطبيقات التي تواجه الجمهور.

عند العثور على نقطة دخول ناجحة ، تتخذ البرامج الضارة خطوات لإنشاء الثبات ، وتصعيد الامتيازات ، وتنفيذ الحركة الجانبية ، ومسح ملفات السجل ، والملفات الموجودة في مجلد سلة محذوفات Windows ، والنسخ الاحتياطية ، قبل بدء إجراءات التشفير.

وقالت الوكالات: "لوحظ أن الشركات التابعة لـ LockBit تستخدم العديد من الأدوات المجانية ومفتوحة المصدر أثناء عمليات اقتحامها". "تُستخدم هذه الأدوات في مجموعة من الأنشطة مثل استطلاع الشبكة والوصول عن بعد وحفر الأنفاق وإلقاء بيانات الاعتماد وتصفية الملفات."

إحدى السمات المميزة للهجمات هي استخدام أداة تسلل مخصصة يشار إليها باسم StealBit ، والتي توفرها مجموعة LockBit للشركات التابعة لأغراض ابتزاز مزدوج.

في نوفمبر ، أفادت وزارة العدل الأمريكية أنه تم استخدام سلسلة LockBit ransomware ضد 1000 ضحية على الأقل في جميع أنحاء العالم ، وحققت العملية أكثر من 100 مليون دولار من الأرباح غير المشروعة.

كشفت شركة Dragos للأمن السيبراني الصناعي ، في وقت سابق من هذا العام ، أن LockBit 3.0 كانت مسؤولة عن 21٪ من 189 هجومًا من هجمات الفدية التي تم اكتشافها ضد البنية التحتية الحيوية في الربع الرابع من عام 2022 ، وهو ما يمثل 40 حادثة. أثرت غالبية تلك الهجمات على قطاعي الأغذية والمشروبات والصناعة.

قام مركز شكاوى جرائم الإنترنت (IC3) التابع لمكتب التحقيقات الفيدرالي (FBI) ، في أحدث تقرير له عن جرائم الإنترنت ، بإدراج LockBit (149) و BlackCat (114) و Hive (87) كأهم ثلاثة أنواع من برامج الفدية التي تضر بالبنية التحتية الحيوية في عام 2022.

على الرغم من فورة هجوم LockBit الغزيرة ، تعرضت عصابة برامج الفدية لضربة قوية في أواخر سبتمبر 2022 عندما أصدر مطور LockBit الساخط رمز البناء لـ LockBit 3.0 ، مما أثار مخاوف من أن الجهات الإجرامية الأخرى قد تستفيد من الموقف وتفرخ متغيراتها الخاصة.

يأتي هذا الاستشارة في الوقت الذي حوَّلت فيه مجموعة BianLian ransomware تركيزها من تشفير ملفات الضحايا إلى هجمات ابتزاز سرقة البيانات الخالصة ، بعد شهور من إصدار شركة الأمن السيبراني Avast برنامج فك تشفير مجاني في يناير 2023.

في تطور ذي صلة ، نشرت Kaspersky برنامج فك تشفير مجاني لمساعدة الضحايا الذين تم قفل بياناتهم بواسطة إصدار من برامج الفدية استنادًا إلى كود مصدر Conti الذي تسرب بعد الغزو الروسي لأوكرانيا العام الماضي مما أدى إلى احتكاك داخلي بين الأعضاء الأساسيين.

"نظرًا لتطور متغيرات LockBit 3.0 و Conti ransomware ، فمن السهل أن ننسى أن الأشخاص يديرون هذه المؤسسات الإجرامية ،" كما أشارت Intel 471 العام الماضي. "وكما هو الحال مع المنظمات الشرعية ، لا يتطلب الأمر سوى شخص ساخط لتفكيك أو تعطيل عملية معقدة".

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة