أصدرت سوفوس «لابز أنكت» في يوم الجمعة الموافق 3 مايو /أيار الجاري ، تحليلاً مفصلاً للبرمجيات الخبيثة الجديدة، وهي برمجيات الفدية ميغا كورتكس.
يوجد أدناه ملخص لبرنامج الفدية الجديد وتعليق من جون شاير مستشار الأمن الأول لدى سوفوس
وفقًا لشركة Sophos ، الشركة الرائدة عالميًا في مجال حلول الجيل المقبل لأمن الشبكات والنقاط النهائية، فإن «ميغا كورتكس» كان برمجيات خبيثة غير معروفة نسبياً ولكن انتشارها ارتفع بشكل مفاجئ وكبير في 1 مايو. وشهدت سوفوس الكشف عن ميغا كورتكس في كل من الولايات المتحدة الأمريكية وكندا والأرجنتين وإيطاليا وهولندا وفرنسا وإيرلندا وهونغ كونغ وإندونيسيا وأستراليا. تحتوي برمجيات طلب الفدية تلك على مكونات يدوية تشبه «ريوك» و «بت بايمر» ولكن المهاجمين الذين يستخدمون «ميغا كورتكس» استعملوا أدوات أكثر أتمتة لتنفيذ الهجمات وهذا جانب فريد. حتى الآن، رأت سوفوس هجمات آلية وأخرى يدوية وهجمات مدمجة تميل في الغالب نحو استخدام أساليب القرصنة اليدوية للتحرّك بشكل جانبي. أما في ميغا كورتكس، فترى سوفوس استخداماً أكثر كثافة للأتمتة إلى جانب العنصر اليدوي – وهذه معادلة جديدة صممت لنشر البرمجيات الخبيثة وإصابة ضحايا أكثر بسرعة أكبر.
وكما يظهر في مقال سوفوس لابز بعنوان برمجيات طلب الفدية ميغا كورتكس تتطلع إلى الصدارة، فليست هناك قيمة واضحة للفدية المطلوبة في مذكرة الفدية، حيث إن المهاجمين يدعون الضحايا لمراسلتهم عبر البريد الإلكتروني عبر واحد من عنوانين مجانيين على mail.com، وإرسال ملف تضعه البرمجيات في جهاز الضحية لطلب فك التشفير بعنوان «الخدمات». كما أن مذكرة طلب الفدية تعد بأن المجرمين «يقدمون ضمانة بعدم التعرض مجدداً لشركتك» في حال دفع الفدية، وتضيف «ستحصل على استشارة حول كيفية تحسين جوانب الأمن السيبراني في شركتك».
تقدم سوفوس لكم التوصيات التالية للحماية:
يبدو أن هناك ارتباطاً قوياً بين وجود ميغا كورتكس وبين وجود عدوى سابقة ومستمرة في شبكة الضحية بكل من «إيموتت» و «كيوبوت». إذا رأي مدراء تقنية المعلومات تنبيهات تتعلق بأي من برمجيات إيموتت أو كيوبوت، فلا بد من التعامل معها بسرعة، حيث يمكن استخدام كليهما في نشر البرمجيات الخبيثة الأخرى ومن الممكن أن تكون هذه الطريقة التي دخلت بها برمجيات ميغا كورتكس.
لم تر سوفوس أية إشارات حتى الآن على إساءة استخدام بروتوكول سطح المكتب RDP لاختراق الشبكات ولكننا نعرف أن الثغرات في الجدار الناري للمؤسسة، والتي تسمح للناس بالاتصال عن بعد ببروتوكول سطح المكتب، لا تزال شائعة. نؤكد أن هذه الممارسة غير مناسبة وندعو إلى التخلي عنها، كما نقترح على أي مدير تقنية معلومات يرغب بذلك أن يستخدم برامج VPN لحماية الجهاز المعني.
يبدو أن الهجمة تشير إلى إساءة استخدام كلمات المرور من قبل المجرمين، ولهذا نوصي بضرورة تطبيق عامل التحقق الثنائي من الهوية كلما أمكن
القيام بالنسخ الاحتياطي الدوري لأهم البيانات على جهاز تخزين غير متصل بالإنترنت هو الطريقة الأفضل لتجنب دفع الفدية.
استخدم الحماية ضد برمجيات طلب الفدية، ومنها Sophos Intercept X لحظر ميغا كورتكس وبرمجيات طلب الفدية الأخرى.
«نعتقد بأن هذه الطريقة مثال جيد على قيام المجرمين الإلكترونيين بإجراء الاختبارات مؤخراً، فقد استخدم المهاجمون في ميغا كورتكس أسلوباً مختلطاً ورفعوا مستواه إلى 11 عبر زيادة المكونات الآلية لاستهداف مزيد من الضحايا. وبمجرد حصولهم على معلومات كلمة المرور واسم المستخدم لن يكون من الممكن إيقافهم. كما أن إطلاق الهجمة من أداة تحكم المجال الخاصة بك تمثل وسيلة ممتازة للمهاجمين للحصول على كافة الصلاحيات التي يريدونها للسيطرة على كل ما في المؤسسة، ولهذا فإن على المؤسسات الانتباه بشكل دقيق لضوابط الأمن الأساسية وإجراء تقييم للأمن قبل أن يقوم المجرمون بذلك، بهدف منع المهاجمين من الدخول إلى الشبكة».
يرجى الرجوع إلى تحليل MegaCortex ransomware لمزيد من التفاصيل ، واتباع SophosLabs Uncut للحصول على التحديثات. إذا كنت ترغب في مقابلة باحث تهديد من سوفوس ، فيرجى إخبارنا بذلك.