قام باحثو الأمن السيبراني بتفصيل تكتيكات عصابة المجرمين الإلكترونيين "الصاعدة" المسماة بقفل "قراءة الدليل" (RTM) والتي تعمل كمزود خاص لبرامج الفدية كخدمة (RaaS) وتنفذ هجمات انتهازية لتحقيق أرباح غير مشروعة.
وقالت شركة الأمن السيبراني Trellix في تقرير تمت مشاركته مع The Hacker News إن "عصابة 'Read The Manual' Locker تستخدم الشركات التابعة لفدية الضحايا ، وجميعهم مجبرون على الالتزام بقواعد العصابة الصارمة".
"يُظهر إنشاء المجموعة على غرار الأعمال التجارية ، حيث يُطلب من المنتسبين أن يظلوا نشطين أو إخطار العصابة بمغادرتهم ، النضج التنظيمي للمجموعة ، كما لوحظ أيضًا في مجموعات أخرى ، مثل كونتي . "
بدأ تشغيل RTM ، الذي تم توثيقه لأول مرة بواسطة ESET في فبراير 2017 ، في عام 2015 كبرنامج ضار مصرفي يستهدف الشركات في روسيا عبر التنزيلات بالسيارة ، والبريد العشوائي ، ورسائل البريد الإلكتروني المخادعة. تطورت سلاسل الهجوم التي شنتها المجموعة منذ ذلك الحين لنشر حمولة برامج الفدية على المضيفين المخترقين.
في مارس 2021 ، نُسبت المجموعة الناطقة بالروسية إلى حملة ابتزاز وابتزاز نشرت ثلاثة تهديدات ، بما في ذلك طروادة المالية ، وأدوات الوصول عن بُعد المشروعة ، وسلسلة برامج الفدية تسمى Quoter .
أخبر Trellix The Hacker News أنه لا توجد علاقة بين Quoter و RTM Locker Ransomware القابل للتنفيذ المستخدم في الهجمات الأخيرة.
السمة الرئيسية للجهة المهددة هي قدرتها على العمل تحت الظل من خلال تجنب الأهداف البارزة عمداً والتي يمكن أن تلفت الانتباه إلى أنشطتها. تحقيقا لهذه الغاية ، فإن بلدان رابطة الدول المستقلة ، فضلا عن المشارح والمستشفيات والشركات المرتبطة بلقاح COVID-19 والبنية التحتية الحيوية وإنفاذ القانون وغيرها من الشركات البارزة محظورة على المجموعة.
وقال الباحث الأمني ماكس كيرستن: "هدف عصابة RTM هو جذب أقل قدر ممكن من الاهتمام ، حيث تساعدهم القواعد على تجنب إصابة أهداف عالية القيمة". "تتطلب إدارتهم للشركات التابعة لتحقيق هذا الهدف مستوى معينًا من التطور ، على الرغم من أنه ليس بمستوى عالٍ في حد ذاته."
تلتزم عمليات إنشاء البرامج الضارة لـ RTM Locker بتفويضات صارمة تمنع الشركات التابعة من تسريب العينات ، وإلا فإنها تخاطر بمواجهة الحظر. من بين القواعد الأخرى المنصوص عليها ، بند يقفل الشركات التابعة في حالة بقائها غير نشطة لمدة 10 أيام بدون إشعار مقدمًا.
وأوضح كيرستين أن "الجهد الذي بذلته العصابة في تجنب لفت الانتباه كان الأكثر غرابة". "يجب أن تكون الشركات التابعة نشطة أيضًا ، مما يجعل من الصعب على الباحثين التسلل إلى العصابة. وبشكل عام ، فإن جهود العصابة المحددة في هذا المجال أعلى مما تُلاحظ عادةً مقارنة بمجموعات برامج الفدية الأخرى".
يُشتبه في أن الخزانة يتم تنفيذها على شبكات خاضعة بالفعل لسيطرة الخصم ، مما يشير إلى أن الأنظمة ربما تكون قد تعرضت للاختراق بوسائل أخرى ، مثل هجمات التصيد الاحتيالي أو الرسائل غير المرغوب فيها أو استغلال الخوادم المعرضة للخطر على الإنترنت.
يستخدم ممثل التهديد ، مثل مجموعات RaaS الأخرى ، تقنيات الابتزاز لإجبار الضحايا على الدفع. الحمولة ، من جانبها ، قادرة على رفع الامتيازات وإنهاء خدمات مكافحة الفيروسات والنسخ الاحتياطي وحذف النسخ الاحتياطية قبل بدء إجراء التشفير الخاص بها.
إنه مصمم أيضًا لتفريغ سلة المحذوفات لمنع الاسترداد وتغيير الخلفية ومسح سجلات الأحداث وتنفيذ أمر shell الذي يحذف الخزانة ذاتيًا كخطوة أخيرة.
وأشار كيرستن إلى أن النتائج تشير إلى أن مجموعات الجرائم الإلكترونية ستستمر في "تبني تكتيكات وأساليب جديدة لتجنب العناوين الرئيسية ومساعدتها على التحليق تحت رادار الباحثين وأجهزة إنفاذ القانون على حد سواء".