التخطي إلى المحتوى الرئيسي

تقول Microsoft إن "البرامج الضارة المدمرة" تُستخدم ضد المنظمات الأوكرانية


قالت فرق الأمن في Microsoft إن البرنامج الضار ظهر لأول مرة على أنظمة الضحايا في أوكرانيا في 13 يناير.







قالت مايكروسوفت إنها اكتشفت برامج ضارة مدمرة تُستخدم لإفساد أنظمة منظمات متعددة في أوكرانيا. في مدونة نُشرت يوم السبت ، قال مركز Microsoft Threat Intelligence Center (MSTIC) إنه اكتشف لأول مرة البرامج الضارة الشبيهة ببرامج الفدية في 13 يناير.

وتأتي هذه الأخبار بعد أيام من تشويه أكثر من 70 موقعًا إلكترونيًا حكوميًا أوكرانيًا من قبل مجموعات يُزعم أنها مرتبطة بالمخابرات الروسية . لكن مايكروسوفت قالت إنها "لم تعثر على أي ارتباطات ملحوظة" بين البرامج الضارة التي عثرت عليها وهجمات مواقع الويب التي حدثت الأسبوع الماضي.

أوضحت Microsoft أن "MSTIC يقيّم أن البرامج الضارة ، المصممة لتبدو وكأنها برامج فدية ولكنها تفتقر إلى آلية استرداد الفدية ، تهدف إلى أن تكون مدمرة ومصممة لجعل الأجهزة المستهدفة غير قابلة للتشغيل بدلاً من الحصول على فدية".

"في الوقت الحالي واستنادًا إلى رؤية Microsoft ، حددت فرق التحقيق لدينا البرامج الضارة في عشرات الأنظمة المتأثرة ، ويمكن أن يزداد هذا العدد مع استمرار تحقيقنا. تشمل هذه الأنظمة العديد من المؤسسات الحكومية وغير الربحية ومؤسسات تكنولوجيا المعلومات ، وكلها تقع في أوكرانيا. لا نعرف المرحلة الحالية من الدورة التشغيلية لهذا المهاجم أو عدد منظمات الضحايا الأخرى التي قد تكون موجودة في أوكرانيا أو في مواقع جغرافية أخرى. ومع ذلك ، فمن غير المحتمل أن تمثل هذه الأنظمة المتأثرة النطاق الكامل للتأثير كما تقوم المنظمات الأخرى بالإبلاغ. "

وأضافت مايكروسوفت أنه لا يزال الغرض من البرمجيات الخبيثة غير واضح ، لكنها قالت إن جميع الوكالات الحكومية الأوكرانية والمؤسسات غير الربحية والشركات يجب أن تراقبها.

قالوا في البداية إنه بدا أنه نشاط ممسحة لسجلات التمهيد الرئيسية (MBR) ووصفوا قدرات البرمجيات الخبيثة بأنها "فريدة".

يتم تنفيذ البرنامج الضار عبر Impacket واستبدال MBR على نظام بمذكرة فدية تتطلب 10000 دولار من Bitcoin. بمجرد أن يتم إيقاف تشغيل الجهاز ، يتم تنفيذ البرامج الضارة ، وقالت مايكروسوفت إن برنامج الفدية الذي يستخدمه مجرمو الإنترنت هو أمر "غير اعتيادي" لاستبدال MBR.

وفقًا لتحليل Microsoft ، على الرغم من تضمين مذكرة الفدية ، إلا أنها خدعة. تحدد البرامج الضارة موقع الملفات في أدلة معينة مع عشرات من امتدادات الملفات الأكثر شيوعًا وتقوم بالكتابة فوق المحتويات بعدد ثابت من وحدات بايت 0xCC. أوضحت Microsoft بعد الكتابة فوق المحتويات ؛ يقوم المدمر بإعادة تسمية كل ملف بامتداد رباعي بايت على ما يبدو عشوائيًا.

وقالت مايكروسوفت إن هذا النوع من الهجوم "يتعارض مع نشاط برامج الفدية لمجرمي الإنترنت" الذي لاحظوه لأنه ، عادة ، يتم تخصيص حمولات برامج الفدية لكل ضحية.

"في هذه الحالة ، تمت ملاحظة نفس حمولة الفدية عند العديد من الضحايا. تقريبًا تقوم جميع برامج الفدية بتشفير محتويات الملفات على نظام الملفات. وفي هذه الحالة ، تقوم البرامج الضارة بالكتابة فوق MBR بدون آلية للاسترداد. مبالغ صريحة للدفع وعناوين محفظة العملات المشفرة نادرًا ما يتم تحديدها في مذكرات الفدية الجنائية الحديثة ولكن تم تحديدها بواسطة DEV-0586 ".

"تمت ملاحظة نفس عنوان محفظة Bitcoin عبر جميع عمليات اقتحام DEV-0586 وفي وقت التحليل ، كان النشاط الوحيد هو نقل صغير في 14 يناير. من النادر أن تكون طريقة الاتصال عبارة عن معرف Tox فقط ، وهو معرف لـ تستخدم مع بروتوكول المراسلة المشفر Tox. عادةً ، هناك مواقع ويب بها منتديات دعم أو طرق متعددة للاتصال (بما في ذلك البريد الإلكتروني) لتسهيل إجراء اتصال الضحية بنجاح. تتضمن معظم ملاحظات الفدية الجنائية معرفًا مخصصًا يتم توجيه الضحية إليه لإرسال اتصالاتهم إلى المهاجمين. يعد هذا جزءًا مهمًا من العملية حيث يتم تعيين المعرف المخصص على الواجهة الخلفية لعملية برنامج الفدية إلى مفتاح فك تشفير خاص بالضحية. ملاحظة الفدية ، في هذه الحالة ، لا تتضمن مخصصًا بطاقة تعريف."

وأضافت Microsoft أنها كانت بصدد إنشاء عمليات اكتشاف للبرامج الضارة وقدمت قائمة من التوصيات الأمنية للمؤسسات التي ربما تكون مستهدفة.

قال ريك هولاند ، CISO في Digital Shadows ، لـ ZDNet إنه على الرغم من أن Microsoft لا تنسب النشاط إلى روسيا ، إلا أنه ليس امتدادًا تحليليًا كبيرًا لربط هذه الأعمال الخبيثة بالمصالح الروسية.

قال إن خدعة برنامج الفدية تمنح الممثل المهدد مظهرًا رقيقًا من الإنكار المعقول ، ولكن كما تقول Microsoft ، فإن النطاق الكامل للحملة ليس واضحًا.

قال هولاند: "لن تكون برامج الفدية المدمرة هي الخيار الوحيد المتاح للمهاجم. إذا نظرت إلى الوراء إلى هجمات الجهات الخارجية مثل SolarWinds العام الماضي ، يمكنك مشاهدة حملات من نفس النمط حيث أمضت الجهات الفاعلة الخبيثة سنوات دون أن يتم اكتشافها على شبكات الضحايا الأوكرانية" .

"هذا النشاط ليس غير مسبوق ؛ إنه جزء من العقيدة الروسية. وسواء شجعت روسيا الجهات الفاعلة الأخرى أو وجهت العمليات الإلكترونية بأنفسها ، فإن روسيا تسعى إلى تعطيل المؤسسات الحكومية والخاصة لخصومها الجيوسياسيين. لقد رأينا أدلة مماثلة في إنكار عام 2007 لـ هجمات الخدمة ضد إستونيا ، والهجمات الإلكترونية خلال ضم شبه جزيرة القرم عام 2014 ، والبرامج الضارة المدمرة المستخدمة في هجمات Petya و MeDoc ضد أوكرانيا في عام 2017. "

أشار هولاند إلى أن عملية الاسترداد باستخدام البرامج الضارة المدمرة تمثل تحديًا ويمكن أن تعتمد غالبًا على ضوابط الأمان التي كانت موجودة قبل الهجوم. وقدر أن الأمر قد يستغرق أيامًا إلى أسابيع حتى تتعافى المنظمات المتضررة ، موضحًا أن الأمر استغرق أكثر من أسبوع حتى تتعافى أرامكو السعودية من شمعون في عام 2012 وشهورًا حتى تتعافى المنظمات من NotPetya .

ردد جون بامبنيك من نيتينريش تصريحات هولاند ، وقال لشبكة Mulkhas إن روسيا استخدمت في السابق برامج الفدية كغطاء لهجمات مدمرة في الماضي.

"تتمثل حيلة روسيا النموذجية في ترك ما يكفي من الغموض للادعاء علنًا أنه لم يكن لهم ولكن ترك بصمات أصابع كافية ، لذلك يعرف كل من في الغرفة أنه يجب عليهم فرض ردع على البلدان الأخرى في المنطقة. يعتمد التعافي على كل كيان لكن أوكرانيا لديها تاريخ طويل في الرد والتعافي من الهجمات التخريبية من روسيا ".

"MBR وماسحات أخرى شائعة إلى حد ما. لم نر الكثير في السنوات الأخيرة ، لكن الأداة كانت دائمًا في صندوق الأدوات عندما تكون المهمة تخريبية."

المشاركات الشائعة من هذه المدونة

دعنا نذهب فيديو: الاتصال بصريا

يعد الفيديو وسيلة ميسورة التكلفة لزيادة المبيعات والتواصل مع الفرق ودعم العملاء وتدريب الموظفين. أظهر العامان الماضيان مدى أهمية الفيديو بالنسبة للشركات الصغيرة. سرّع جائحة COVID من تبني الأعمال للفيديو ، سواء من أجل التعاون أو الاتصالات الخارجية. بالنسبة للعديد من الشركات ، يعد الفيديو أيضًا أداة للبحث عن العملاء المحتملين في جميع أنحاء العالم وتسويقهم وتقديمهم والالتقاء بهم. على نحو متزايد ، تقوم الشركات بتنفيذ الفيديو لدعم مبادرات العمل عن بعد. تقدر مؤسسة جارتنر أن 31٪ من جميع العاملين في جميع أنحاء العالم سيكونون عن بُعد هذا العام ، وهو رقم يشمل أولئك الذين يعملون بجدول زمني هجين أو بعيد تمامًا. سيكون لدى الولايات المتحدة أكبر نسبة من العمال عن بعد في عام 2022 ، حيث ستشكل 53٪ من القوة العاملة. القدرة على دعم الفيديو الفيديو عنصر حاسم في العمل عن بعد. هناك شيء مميز حول مشاركة الاتصال المرئي مع زملاء العمل ، وغالبًا ما يحفز الإبداع والتعاون. يمكنك رؤية تفاعل الأشخاص في الوقت الفعلي ، دون الحاجة إلى التردد أو محاولة قراءة "نغمة" البريد الإلكتروني. بالإضافة إلى ذلك ، يمكن مق...

لا يزال هجوم برامج الفدية على FinalSite يعطل خدمات البريد الإلكتروني في آلاف المدارس

أوصت الشركة العملاء بالحد من استخدام البرامج لتحديثات المعلومات الهامة صباح يوم الجمعة حيث سعت المدارس إلى مراسلة أولياء الأمور حول COVID والإغلاق المرتبط بالثلوج. لا تزال شركة FinalSite لتكنولوجيا التعليم في طور التعافي من هجوم فدية مدمر أدى إلى شل العديد من الخدمات التي تقدمها لآلاف المدارس في جميع أنحاء العالم هذا الأسبوع. في تحديث صباح يوم الجمعة ، قالت الشركة إن "الغالبية العظمى" من مواقعها تعمل على الواجهة الأمامية ، لكن العديد من الأنظمة لا تزال تواجه مجموعة متنوعة من المشكلات. وحثوا عملاءهم - الذين يشملون آلاف المدارس في 115 دولة مختلفة - على تقييد "استخدام البرامج لتحديثات المعلومات الهامة للواجهة الأمامية" حتى يتأكدوا من أن جميع الوظائف تعمل بشكل كامل. وقالت الشركة: "تشمل أمثلة الاستخدام التي يجب تجنبها إرسال بريد إلكتروني / إشعارات ، ومهام سير العمل ، والاعتماد على التقويم والتنبيهات الرياضية ، وتحميل البيانات وما إلى ذلك". أثناء عودة بعض أنظمة الواجهة الأمامية ، قال موقع FinalSite إن بعض التصميم قد يكون مفقودًا ، وقد لا يتمكن المستخدمون من الو...

Samsung Galaxy S22 مقابل iPhone 13: دعنا نقارن الأرقام

الرائد الجديد الأكثر ملاءمةً للميزانية من Samsung وعروضه متوسطة المدى تتماشى مع نظيرتها التي تعمل بنظام iOS لمعرفة ما إذا كانت Apple أو Samsung ستسودان الصدارة في أوائل عام 2022 في ذلك الوقت من السنة مرة أخرى. لقد انتهينا جميعًا من التعافي من العطلات ، والحب في الأجواء مع اقتراب عيد الحب ، وتطلق Samsung أحدث وأكبر الإدخالات في خط Galaxy S الرئيسي . هذه المرة ، تقدم الشركة بعضًا من أفضل كاميراتها على الإطلاق ، وتقليل مطبات الكاميرا ، وشحن أسرع ، من بين تحسينات أخرى. في حين أن المقارنة الأكثر منطقية بين هاتفي Galaxy S22 و Galaxy S22 + الجديدتين قد تكون عبارة عن تشكيلة تفاح إلى تفاح مقابل برامج Android الرئيسية الأخرى ، سنفعل شيئًا مختلفًا قليلاً هنا ونقارن بين هذه التفاحات ، حسناً ، Apple. على وجه التحديد ، iPhone 13. ستساعد هذه المقارنة جنبًا إلى جنب هؤلاء المتسوقين الذين ما زالوا على الحياد حول ما إذا كانوا يريدون الانضمام إلى فريق Blue Bubble أو فريق Green Bubble من خلال وضع مواصفات Samsung Galaxy S22 و Galaxy S22 + جنبًا إلى جنب مع أقرب نظيرتها التي تعمل بنظام iOS. بالطبع ، الاختلافا...