Encrypted ransomware captured in micro-virtual machines
نشر المركز الوطني للأمن السيبراني (NCSC) مؤخرًا مراجعته السنوية يوم أمس الثلاثاء، ويحتوي التقرير على بعض النتائج المثيرة للاهتمام التي تضيف نظرة ثاقبة إلى تقرير رؤى التهديدات الجديد من HP.
يُظهر تقرير المركز الوطني للأبحاث العلمية أنه كشف النقاب عن 15354 حملة استخدمت موضوعات فيروس كورونا كـ "إغراء" لخداع الأشخاص للنقر على رابط أو فتح مرفق يحتوي على برامج ضارة. ومع ذلك، وجد باحثو HPs أن 5% فقط من رسائل البريد الإلكتروني التي قاموا بفحصها استخدمت هذا كإغراء- لذلك في حين أن هذا مهم، إلا أنه لا يزال غير تكتيك أساسي.
وجد تقرير HPs أن استخدام Thread Jacking كان شائعًا، حيث يتمكن المتسللون من الوصول إلى صندوق الوارد الخاص بالمستخدم ويرسلون الرد على جميع الرسائل داخل سلاسل الرسائل لجذب الأشخاص إلى النقر فوق المحتوى الضار. بصرف النظر عن الـ thread-jacking، لا يزال المتسللون يفضلون traditional hooks لجذب المستخدمين: خُمس من عمليات إغراء البرامج الضارة Emotet التي يتم تسليمها عبر البريد الإلكتروني والتي يمكن تحديدها تشمل الفواتير وأوامر الشراء والعقود؛ ما يقرب من الثلث (31%) عبارة عن أشكال ورسائل؛ بينما ما يقرب من الربع (24%) كانت إخطارات بالتعديل.
كما ذكر تقرير المركز الوطني للأسلحة النارية أنه تعامل مع أكثر من ثلاثة أضعاف عدد حوادث برامج الفدية في عام 2020 مقارنة بالعام الماضي. مرة أخرى، هذا مجال تم تناوله في تقرير HP والذي وجد تحولًا في طريقة تسليم برامج الفدية. بينما كان يتم تسليم برامج الفدية غالبًا عبر البريد الإلكتروني في الماضي- كان المستخدم يفتح مرفقًا أو رابطًا بالبريد الإلكتروني، وسيبدأ برنامج الفدية على الفور في تشفير ملفاته- وهذا أقل شيوعًا الآن، حيث أصبح مشغلو برامج الفدية أكثر انتقائية بشأن المؤسسات التي يستهدفونها. اليوم، غالبًا ما يكون المهاجمون قد تمكنوا بالفعل من الوصول إلى أنظمة الضحايا من خلال أحصنة طروادة، مثل Emotet. ثم يستخدمون وصولهم لفهم شبكة الضحية والتحرك فيها قبل نشر برامج الفدية في أقل من ساعات.
بشكل عام، يوضح تقرير HP أيضًا أن حملات البريد العشوائي Emotet قد زادت بأكثر من 1200% في الربع الثالث من عام 2020 (من يوليو إلى سبتمبر)، مقارنةً بالربع الثاني من عام 2020. يتم استهداف الشركات على وجه التحديد، حيث تم إرسال ربع رسائل البريد العشوائي الخاصة بـ Emotet إلى نطاقات .org، بينما كانت المنظمات اليابانية والأسترالية هي الأكثر تضررًا من نشاط البريد العشوائي Emotet؛ يظهر التحليل أن 32% من العينات تم إرسالها إلى المجالات اليابانية، بينما استهدفت حوالي 20% المجالات الأسترالية. ما يقرب من نصف (43%) التهديدات التي تم تسليمها عبر البريد الإلكتروني في الربع الثالث كانت من أحصنة طروادة.
علق Alex Holland، كبير محللي البرامج الضارة في HP الذي أجرى بحثًا عن التقرير: "يشير النمط المعتاد لحملات Emotet التي رأيناها منذ عام 2018 إلى أنه من المحتمل أن نشهد نشاطًا أسبوعيًا للبريد العشوائي حتى أوائل عام 2021. ويتوافق استهداف المؤسسات مع أهداف مشغلي Emotet، الذين يحرص الكثير منهم على التوسط في الوصول إلى الأنظمة المخترقة لممثلي برامج الفدية.
"داخل المنتديات والأسواق السرية، غالبًا ما يعلن وسطاء الوصول عن خصائص تتعلق بالمؤسسات التي انتهكوها- مثل الحجم والإيرادات- لجذب المشترين. وأصبح مشغلو برامج الفدية على وجه الخصوص مستهدفين بشكل متزايد في نهجهم لزيادة المدفوعات المحتملة، والابتعاد عن التكتيكات المعتادة. وقد ساهم هذا في ارتفاع متوسط مدفوعات برامج الفدية، والتي زادت بنسبة 60%".
تم تجميع التقرير بين شهري يوليو وسبتمبر 2020 باستخدام بيانات العملاء التي تم جمعها من Sure Click Enterprise من HP. تعمل تقنية HP Sure Click على تعويض البرامج الضارة داخل أجهزة افتراضية صغيرة آمنة معزولة عن الشبكة والجهاز. يتمثل أحد الآثار الجانبية لحماية المستخدمين بهذه الطريقة في قدرتها على التقاط البرامج الضارة التي لم يتم اكتشافها بواسطة أدوات الأمان الأخرى، لأنها تخدع البرامج الضارة لإظهار يدها- حتى بالنسبة للبرامج الضارة المصممة فقط للتنفيذ بعد التفاعل البشري. يسمح HP Sure Click بعد ذلك بتشغيله في بيئة آمنة؛ يتيح هذا للباحثين الوصول إلى سلسلة القتل الكاملة التي توفر قياسًا ثريًا للتهديدات حول كيفية تصرف البرامج الضارة.
تعني هذه الرؤية أنه في إحدى الحملات، شاهدت HP متسللين يقومون بتشفير المستندات الضارة باستخدام ميزة "التشفير باستخدام كلمة المرور" في Microsoft Word، لتخطي أدوات أمان الشبكة والكشف عنها. لن يتم نشر البرامج الضارة، في هذه الحالة، TrickBot، إلا إذا أدخل المستخدم كلمة مرور تم إرسالها مع البريد الإلكتروني للتصيد الاحتيالي. هذا يعني أن معظم أدوات مكافحة الفيروسات لم تكن قادرة على الوصول إلى الملف لفحصه. ومع ذلك، تمكنت HP من مشاهدته في micro-VM وهو تكتيك بسيط نسبيًا، لكنه أثبت فعاليته في تجاوز الاكتشاف.
توضح البيانات إخفاقات الاكتشاف، وتسلط الضوء على سبب حاجة المؤسسات إلى التركيز على تدابير الحماية الاستباقية، كما يوضح Ian Pratt، الرئيس العالمي للأمن للأنظمة الشخصية في شركة HP Inc: "نحن بحاجة إلى إعادة اختراع كيفية تعاملنا مع الأمان؛ هناك حاجة إلى نهج جديد مدعوم بالأجهزة بحيث يتوقف عن وضع عبء الأمان على المستخدمين عن طريق عزل التهديدات لضمان عدم تمكنها من إصابة أجهزة الكمبيوتر أو الانتشار عبر شبكات الشركة.
في حين أن الافتراض الصناعي حتى الآن هو أن الحماية لا يمكن أن تنجح، فإننا نتحدى هذا من خلال تقديم سوق جديد معماريًا"
يُظهر تقرير المركز الوطني للأبحاث العلمية أنه كشف النقاب عن 15354 حملة استخدمت موضوعات فيروس كورونا كـ "إغراء" لخداع الأشخاص للنقر على رابط أو فتح مرفق يحتوي على برامج ضارة. ومع ذلك، وجد باحثو HPs أن 5% فقط من رسائل البريد الإلكتروني التي قاموا بفحصها استخدمت هذا كإغراء- لذلك في حين أن هذا مهم، إلا أنه لا يزال غير تكتيك أساسي.
وجد تقرير HPs أن استخدام Thread Jacking كان شائعًا، حيث يتمكن المتسللون من الوصول إلى صندوق الوارد الخاص بالمستخدم ويرسلون الرد على جميع الرسائل داخل سلاسل الرسائل لجذب الأشخاص إلى النقر فوق المحتوى الضار. بصرف النظر عن الـ thread-jacking، لا يزال المتسللون يفضلون traditional hooks لجذب المستخدمين: خُمس من عمليات إغراء البرامج الضارة Emotet التي يتم تسليمها عبر البريد الإلكتروني والتي يمكن تحديدها تشمل الفواتير وأوامر الشراء والعقود؛ ما يقرب من الثلث (31%) عبارة عن أشكال ورسائل؛ بينما ما يقرب من الربع (24%) كانت إخطارات بالتعديل.
كما ذكر تقرير المركز الوطني للأسلحة النارية أنه تعامل مع أكثر من ثلاثة أضعاف عدد حوادث برامج الفدية في عام 2020 مقارنة بالعام الماضي. مرة أخرى، هذا مجال تم تناوله في تقرير HP والذي وجد تحولًا في طريقة تسليم برامج الفدية. بينما كان يتم تسليم برامج الفدية غالبًا عبر البريد الإلكتروني في الماضي- كان المستخدم يفتح مرفقًا أو رابطًا بالبريد الإلكتروني، وسيبدأ برنامج الفدية على الفور في تشفير ملفاته- وهذا أقل شيوعًا الآن، حيث أصبح مشغلو برامج الفدية أكثر انتقائية بشأن المؤسسات التي يستهدفونها. اليوم، غالبًا ما يكون المهاجمون قد تمكنوا بالفعل من الوصول إلى أنظمة الضحايا من خلال أحصنة طروادة، مثل Emotet. ثم يستخدمون وصولهم لفهم شبكة الضحية والتحرك فيها قبل نشر برامج الفدية في أقل من ساعات.
بشكل عام، يوضح تقرير HP أيضًا أن حملات البريد العشوائي Emotet قد زادت بأكثر من 1200% في الربع الثالث من عام 2020 (من يوليو إلى سبتمبر)، مقارنةً بالربع الثاني من عام 2020. يتم استهداف الشركات على وجه التحديد، حيث تم إرسال ربع رسائل البريد العشوائي الخاصة بـ Emotet إلى نطاقات .org، بينما كانت المنظمات اليابانية والأسترالية هي الأكثر تضررًا من نشاط البريد العشوائي Emotet؛ يظهر التحليل أن 32% من العينات تم إرسالها إلى المجالات اليابانية، بينما استهدفت حوالي 20% المجالات الأسترالية. ما يقرب من نصف (43%) التهديدات التي تم تسليمها عبر البريد الإلكتروني في الربع الثالث كانت من أحصنة طروادة.
علق Alex Holland، كبير محللي البرامج الضارة في HP الذي أجرى بحثًا عن التقرير: "يشير النمط المعتاد لحملات Emotet التي رأيناها منذ عام 2018 إلى أنه من المحتمل أن نشهد نشاطًا أسبوعيًا للبريد العشوائي حتى أوائل عام 2021. ويتوافق استهداف المؤسسات مع أهداف مشغلي Emotet، الذين يحرص الكثير منهم على التوسط في الوصول إلى الأنظمة المخترقة لممثلي برامج الفدية.
"داخل المنتديات والأسواق السرية، غالبًا ما يعلن وسطاء الوصول عن خصائص تتعلق بالمؤسسات التي انتهكوها- مثل الحجم والإيرادات- لجذب المشترين. وأصبح مشغلو برامج الفدية على وجه الخصوص مستهدفين بشكل متزايد في نهجهم لزيادة المدفوعات المحتملة، والابتعاد عن التكتيكات المعتادة. وقد ساهم هذا في ارتفاع متوسط مدفوعات برامج الفدية، والتي زادت بنسبة 60%".
تم تجميع التقرير بين شهري يوليو وسبتمبر 2020 باستخدام بيانات العملاء التي تم جمعها من Sure Click Enterprise من HP. تعمل تقنية HP Sure Click على تعويض البرامج الضارة داخل أجهزة افتراضية صغيرة آمنة معزولة عن الشبكة والجهاز. يتمثل أحد الآثار الجانبية لحماية المستخدمين بهذه الطريقة في قدرتها على التقاط البرامج الضارة التي لم يتم اكتشافها بواسطة أدوات الأمان الأخرى، لأنها تخدع البرامج الضارة لإظهار يدها- حتى بالنسبة للبرامج الضارة المصممة فقط للتنفيذ بعد التفاعل البشري. يسمح HP Sure Click بعد ذلك بتشغيله في بيئة آمنة؛ يتيح هذا للباحثين الوصول إلى سلسلة القتل الكاملة التي توفر قياسًا ثريًا للتهديدات حول كيفية تصرف البرامج الضارة.
تعني هذه الرؤية أنه في إحدى الحملات، شاهدت HP متسللين يقومون بتشفير المستندات الضارة باستخدام ميزة "التشفير باستخدام كلمة المرور" في Microsoft Word، لتخطي أدوات أمان الشبكة والكشف عنها. لن يتم نشر البرامج الضارة، في هذه الحالة، TrickBot، إلا إذا أدخل المستخدم كلمة مرور تم إرسالها مع البريد الإلكتروني للتصيد الاحتيالي. هذا يعني أن معظم أدوات مكافحة الفيروسات لم تكن قادرة على الوصول إلى الملف لفحصه. ومع ذلك، تمكنت HP من مشاهدته في micro-VM وهو تكتيك بسيط نسبيًا، لكنه أثبت فعاليته في تجاوز الاكتشاف.
توضح البيانات إخفاقات الاكتشاف، وتسلط الضوء على سبب حاجة المؤسسات إلى التركيز على تدابير الحماية الاستباقية، كما يوضح Ian Pratt، الرئيس العالمي للأمن للأنظمة الشخصية في شركة HP Inc: "نحن بحاجة إلى إعادة اختراع كيفية تعاملنا مع الأمان؛ هناك حاجة إلى نهج جديد مدعوم بالأجهزة بحيث يتوقف عن وضع عبء الأمان على المستخدمين عن طريق عزل التهديدات لضمان عدم تمكنها من إصابة أجهزة الكمبيوتر أو الانتشار عبر شبكات الشركة.
في حين أن الافتراض الصناعي حتى الآن هو أن الحماية لا يمكن أن تنجح، فإننا نتحدى هذا من خلال تقديم سوق جديد معماريًا"