المدونة
استكشاف جميع مشاركات المدونة

مرحبًا، أنا فريق دعم الدردشة الخاص ببرنامج الفدية الخاص بك

تم النشر في يوليو 21 ، 2021
 
بواسطة: فريق Cylera
 
9 — قراءة دقيقة

سجلات دعم الدردشة غير الآمنة في Egregor

مع ضحايا برامج الفدية:

رؤى وتحليلات من IBM وCylera

مقدمة

محللو IBM Security X-Force Threat Intelligence، جنبًا إلى جنب مع Cyleraحصلت شركة IBM Security، وهي شركة استخبارات أمنية لإنترنت الأشياء والأجهزة الطبية تعمل مع IBM Security لتقديم حلول إنترنت الأشياء والأجهزة الطبية، على ساعات من المراسلات التي جرت في ديسمبر 2020 بين مرتكبي برامج الفدية Egregor سيئي السمعة، المسؤولين عن ملايين الخسائر على مستوى العالم، والمنظمات الضحايا. يوفر النشاط الذي تم الكشف عنه في نصوص الدردشة هذه نظرة ثاقبة قيمة حول كيفية عمل بعض مرتكبي برامج الفدية - من كيفية إجراء مفاوضات دفع الفدية إلى الاستراتيجيات والبنية التشغيلية المستخدمة.

على الرغم من أن سلطات إنفاذ القانون اتخذت إجراءات ضد عمليات Egregor في فبراير 2021، إلا أن هذا الاكتشاف يوفر النتائج المفيدة التالية[1]:

  • مبلغ الفدية – تراوحت مبالغ الفدية الأولية بين 100 ألف دولار و35 مليون دولار. وكان متوسط ​​الفدية الأولية المطلوبة 5 ملايين دولار. وخلال إحدى المفاوضات، أشار الجناة إلى أن الفدية الأولية المطلوبة تعادل 5-10% من الخسارة المحتملة المقدرة المرتبطة بتسريب البيانات.
  • مفاوضات الفدية - لعبت عدة عوامل دورًا في تحديد الفدية النهائية التي تم التفاوض عليها أو نتيجة تسرب البيانات، بما في ذلك قدرة الضحية المتوقعة من قبل المشغلين واستعدادها للدفع، فضلاً عن استراتيجيات التفاوض التي يتبعها الضحية مثل شراء الوقت.
  • الهيكل التشغيلي – تكشف المحادثات عن وجود مجموعة جريمة منظمة متطورة للغاية وراء عمليات Egregor. وتم ذكر العديد من الأدوار أو الفرق بما في ذلك قسم الشؤون المالية، ومدير البيانات، والمهاجمين/متخصصي تكنولوجيا المعلومات، ومدير العلاقات العامة، ومدير المنشورات، وصانع أدوات فك التشفير.
  • التعاطف مع الصيد – يؤكد باحثو X-Force أن مشغلي برامج الفدية مثل Egregor هم جهات شريرة. ومع ذلك، كشفت سجلات الدردشة عن لمحات قليلة لما يمكن اعتباره تعاطفًا أو اعتبارًا عمليًا. أثناء إحدى المفاوضات، عرض Egregor تقديم مفتاح فك التشفير، مقابل إعلان المنظمة علنًا أن المجموعة لا تستهدف المستشفيات أو الجمعيات الخيرية عمدًا. في دردشة مع ضحية أخرى، ناقش الجهات الفاعلة في التهديد مصاعب COVID-19، حتى أنهم تمنوا للضحية عطلات سعيدة.

ما هو إيجريجور؟

تم الإبلاغ عن برنامج الفدية Egregor لأول مرة علنًا في منتصف عام 2020، مما يجعله دخولًا جديدًا نسبيًا في الاقتصاد الإجرامي. يعمل Egregor وفقًا لنموذج تابع، مما يعني أن مجموعة صغيرة من الجهات الفاعلة تدير قاعدة بيانات Egregor وتحافظ عليها بينما يشتري جهات فاعلة أخرى الوصول إلى Egregor لاستخدامه في الأنظمة التي تصيبها، والمعروفة أيضًا باسم برامج الفدية كخدمة (RaaS). تكهن العديد من محللي الأمن بأن Egregor كان متابعة لبرنامج الفدية Maze بعد أن أعلن هؤلاء الجهات الفاعلة التهديدية التقاعد في نوفمبر 2020، مشيرين إلى تداخل فني كبير بين عائلتي برامج الفدية.[2] اكتسبت Egregor شهرة كبيرة حيث تحول الشركاء من Maze إلى استخدام عائلة برامج الفدية الجديدة هذه وبالمثل سربت معلومات مسروقة من المنظمات المتأثرة في محاولة لجمع الأموال.[3]

كان تأثير برنامج الفدية Egregor محسوسًا في جميع أنحاء العالم، حيث تم تحقيق مكاسب تقدر بنحو 80 مليون دولار من خلال عملياته ضد ما لا يقل عن 150 منظمة.[4] وفيما يتعلق بالضحايا، كان أعلى عدد من الحالات المبلغ عنها في الولايات المتحدة، حيث تركزت العدوى في المقام الأول داخل قطاعي التصنيع والتجزئة.[5]  ومن بين الأهداف الكبرى شركة بارنز آند نوبل، وراندستاد، وشركة الخدمات اللوجستية الفرنسية جيفكو، وشركات ألعاب الفيديو يوبيسوفت وكريتيك. وفي فبراير/شباط 2021، عطلت عملية مشتركة لإنفاذ القانون في فرنسا وأوكرانيا البنية التحتية لشركة إيجريجور وألقت القبض على العديد من شركاء إيجريجور.[6]  اعتبارًا من هذا المنشور، لم يكن باحثو X-Force على علم باختراقات Egregor النشطة.

ماذا يوجد في الفدية؟

عند الاتصال الأولي بالضحايا، لاحظ محللو X-Force وCylera أن مرتكبي برامج الفدية Egregor قدموا طلبًا أوليًا بدفع فدية اعتمادًا على الضحية وقدرته المتصورة على الدفع. يُظهر تحليل ما يقرب من 50 مفاوضات فدية في سجلات دردشة Egregor من ديسمبر 2020 أن مطالب الفدية كانت متفاوتة بشكل كبير.

من المرجح أن يكون تحديد مبلغ الفدية لكل ضحية حكمًا يستند إلى مجموعة من المعلومات المتاحة للجمهور حول الضحية بالإضافة إلى ما تصوره المشغلون عن الضحية استطاع وفي النهاية، لاحظ الباحثون أن الجهات الفاعلة التي تهدد الضحايا بدت وكأنها تحقق التوازن بين قدرة الضحية واستعدادها للدفع مع مراعاة عوامل إضافية متعددة.

في إحدى المفاوضات، قدم مرتكبو Egregor للمنظمة الضحية طلب فدية أولي بقيمة 1.7 مليون دولار. ومن خلال بعض المفاوضات من قبل الضحية، وشرح أنهم شركة صغيرة، خفض مشغلو Egregor الفدية إلى مليون دولار. في مثال آخر، ألمح مشغلو Egregor إلى استخدام محلل مرتبط بعمليات Egregor لتقدير الخسارة الإجمالية للضحية بسبب تسرب البيانات. تشير تعليقات المهاجم إلى أن طلب الفدية الأولي هو 1-5٪ من تلك الخسارة المقدرة.

لقطة من الشاشة 2021-07-20 في 9.38.00 PM

في مثال آخر، يتوسل الضحية إلى المهاجمين للحصول على فدية أقل بسبب عدم القدرة على الدفع نتيجة للصعوبات المرتبطة بجائحة كوفيد. وطالب مرتكبو جريمة إيجريجور الضحية بإثبات أنهم كانوا يعانون من صعوبات مالية، حتى أنهم ذهبوا إلى حد طلب معلومات من مصلحة الضرائب.

لقطة من الشاشة 2021-07-20 في 9.45.22 PM

شراء الوقت: استراتيجية الضحية

إن اتخاذ قرار بشأن الدفع والتفاوض مع المهاجمين أمر مثير للجدل في مجتمع الأمن. توفر مراجعتنا لسجلات الدردشة الخاصة بـ Egregor بعض الرؤى حول تقنيات التخفيف أو خفض الفدية التي يمكن أن تكون فعالة في حالة مواجهة حادثة برامج الفدية.

على وجه التحديد، في بعض الحالات، أوضح الضحايا حجم أعمالهم مع الجهات الفاعلة في Egregor مما أدى إلى انخفاض مطالب الفدية. وفي حالات أخرى، لاحظ المحللون أن الضحايا يشرحون عملية الحصول على المال لدفع الفدية مما أدى إلى تمديد الوقت قبل أن يقوم الجهات الفاعلة بتسريب معلومات حول المنظمة المخترقة.

دفع فدية والقرار بعدم دفع العواقب المترتبة على ذلك. نشجع المنظمات على مراجعة برنامج X-Force الدليل النهائي لبرامج الفدية والتي تسرد المواضيع الرئيسية التي ينبغي للشركات أن تأخذها في الاعتبار عند اتخاذ قرار دفع فدية.

لقطة من الشاشة 2021-07-20 في 9.57.33 PM

الجريمة الإلكترونية المنظمة

أثناء تحليل العديد من المحادثات، لاحظ محللو X-Force وCylera مجموعة متنوعة من الأدوار المختلفة التي يُشار إليها عادةً أثناء عملية التفاوض. يشير مفاوضو Egregor إلى أنفسهم باعتبارهم أعضاء في فريق الدعم. أثناء المناقشات، يشيرون إلى فرق أخرى بما في ذلك القسم المالي، ومدير البيانات، والمهاجمين/متخصصي تكنولوجيا المعلومات، ومدير العلاقات العامة، ومدير النشر، وصانع أدوات فك التشفير.

لقطة من الشاشة 2021-07-20 في 9.59.29 PM

المشغلين مع القلب؟

وعلى الرغم من نية سرقة ملايين الدولارات من الضحايا، تراجع المهاجمون عن مطالبهم في بعض الظروف إذا اعتقدوا أنهم قد يحصلون على تغطية إعلامية إيجابية لقيامهم بذلك. وفي إحدى الحالات، لاحظ باحثو Cylera ومحللو X-Force مفاوضات بين Egregor ومؤسسة خيرية. وبعد محادثة طويلة بين المنظمة الضحية ومشغلي Egregor، عرضت Egregor تقديم مفتاح فك التشفير، وطلبت من المنظمة الإعلان علنًا عن أن المجموعة لا تستهدف المستشفيات أو المؤسسات الخيرية عمدًا.

لقطة من الشاشة 2021-07-20 في 9.33.38 PM

في مفاوضات فدية أخرى، يناقش الضحية وعيادة أسنان أمريكية صغيرة ودعم Egregor الصعوبات التي واجهها عام 2020، وخاصة فيروس كورونا المستجد.

لقطة من الشاشة 2021-07-20 في 9.33.19 PM

الوجبات الرئيسية

على الرغم من تمنيات الأعياد وتخفيض الفدية في بعض الحالات، فإن سجلات الدردشة لشهر ديسمبر 2020 التي حصلت عليها Cylera وX-Force تثبت أن Egregor كانت عملية إجرامية ناجحة وقاسية. وعلى الرغم من أن الجهات الفاعلة في التهديد توقفت عن استخدام عائلة برامج الفدية Egregor منذ نشاط إنفاذ القانون في فبراير 2021، إلا أن محللي X-Force وCylera يعتقدون أن عائلات جديدة من برامج الفدية ستظهر في مكانها وأن برامج الفدية ستظل تشكل التهديد الأكبر للمؤسسات على مستوى العالم حيث استمر هذا التهديد في النمو عامًا بعد عام.[7] ومع ذلك، حتى في هذه المواقف الصعبة، هناك إجراءات يمكن للشركات اتخاذها للمساعدة في تخفيف المخاطر وتقليل الأضرار:

  • إنشاء نسخ احتياطية دون اتصال بالإنترنت وصيانتها. تأكد من تخزين الملفات بشكل آمن بعيدًا عن متناول المهاجمين من خلال إمكانية الوصول للقراءة فقط. ضع أيضًا في اعتبارك استخدام حلول التخزين خارج الموقع/التخزين البارد. إن توفر ملفات النسخ الاحتياطي يشكل عامل تمييز مهم للمؤسسات التي يمكنها المساعدة في التعافي من هجوم برامج الفدية.
  • تنفيذ استراتيجية لمنع سرقة البيانات غير المصرح بها، خاصة فيما يتعلق بتحميل كميات كبيرة من البيانات إلى منصات تخزين سحابية شرعية يمكن للمهاجمين إساءة استخدامها. فكر في حظر حركة المرور الصادرة إلى خدمات الاستضافة السحابية غير المعتمدة.
  • استخدم تحليلات سلوك المستخدم والكيان لتحديد الحوادث الأمنية المحتملة.عند حدوث ذلك، افترض حدوث خرق. قم بإجراء التدقيق والمراقبة والتصرف بسرعة عند الاشتباه في حدوث انتهاكات تتعلق بالحسابات والمجموعات ذات الامتيازات.
  • توظيف مصادقة متعددة العوامل على جميع نقاط الوصول عن بُعد إلى شبكة المؤسسة — مع إيلاء اهتمام خاص لتأمين أو تعطيل الوصول إلى بروتوكول سطح المكتب البعيد (RDP). ومن المعروف أن العديد من هجمات برامج الفدية تستغل ضعف الوصول إلى بروتوكول سطح المكتب البعيد (RDP) للحصول على دخول أولي إلى الشبكة.
  • استعمل اختبار الاختراق لتحديد نقاط الضعف في شبكات المؤسسات والثغرات الأمنية التي يجب إعطاؤها الأولوية للإصلاح. وعلى وجه الخصوص، نوصي بتنفيذ تدابير التخفيف من حدة CVE-2019-19781، والتي استخدمها العديد من الجهات الفاعلة في مجال التهديدات لكسب الدخول الأولي إلى المؤسسات في عامي 2020 و2021 - بما في ذلك هجمات برامج الفدية. بالإضافة إلى ذلك، ضع في اعتبارك إعطاء الأولوية للإصلاح الفوري، حسب الاقتضاء، للثغرات الأمنية التالية التي يتم استغلالها بشكل متكرر في البرامج:
    • CVE-2019-2725
    • CVE-2020-2021
    • CVE-2020-5902
    • CVE-2018-8453
  • الثغرات الأمنية الشائعة المتعلقة بشبكة VPN
    • CVE-2019-11510
    • CVE-2019-11539
    • CVE-2018-13379
    • CVE-2019-18935
    • CVE-2021-22893

للحصول على عرض توضيحي أو مزيد من المعلومات حول قدرات Cylera الفريدة والمسجلة ببراءة اختراع لتأمين إنترنت الأشياء وتكنولوجيا التشغيل وإنترنت الأشياء الطبية، راسلنا على البريد الإلكتروني [البريد الإلكتروني محمي], [البريد الإلكتروني محمي] أو [البريد الإلكتروني محمي]

إطلع على هذه المقالات ذات الصلة:

 

 

[1] لوكلير، إيمانويل. "الأمن السيبراني: القراصنة "Egregor"، أصل الهجوم ضد غرب فرنسا، الغزو في أوكرانيا" 12 فبراير 2021. https://www.franceinter.fr/amp/justice/cybersecurite-des-pirates-egregor-a-l-origine-de-l-attaque-contre-ouest-france-interpelles-en-ukraine

[2] جالاجير، شون. "برنامج الفدية إيجريجور: الوريث الواضح لميز". 8 ديسمبر 2020.  https://news.sophos.com/en-us/2020/12/08/egregor-ransomware-mazes-heir-apparent/

[3] أبرامز، لورانس. "Maze تغلق عملياتها المتعلقة بالجرائم الإلكترونية". 29 أكتوبر 2020. https://www.bleepingcomputer.com/news/security/maze-ransomware-is-shutting-down-its-cybercrime-operation/

[4] بارث، برادلي. "إسقاط إيجريجور: تكتيكات جديدة لمحاربة مجموعات برامج الفدية تظهر نتائج واعدة". 18 فبراير 2021.  https://www.scmagazine.com/home/security-news/ransomware/the-egregor-takedown-new-tactics-to-take-down-ransomware-groups-show-promise/

[5] كوست، إدوارد. "ما هو برنامج الفدية Egregor؟ التهديد الجديد لعام 2020." 16 ديسمبر 2020. https://www.upguard.com/blog/what-is-egregor-ransomware

[6] لوكلير، إيمانويل. "الأمن السيبراني: القراصنة "Egregor"، أصل الهجوم ضد غرب فرنسا، الغزو في أوكرانيا" 12 فبراير 2021. https://www.franceinter.fr/amp/justice/cybersecurite-des-pirates-egregor-a-l-origine-de-l-attaque-contre-ouest-france-interpelles-en-ukraine

[7] IBM X-Force. "مؤشر التهديدات IBM X-Force 2021" https://www.ibm.com/downloads/cas/M1X3B7QG

 

 

 

 

قصص ذات صلة حديثة

تقسيم الشبكة وحمايتها
كيف يمكن لشبكات الرعاية الصحية منع الحركة الجانبية في الهجمات الإلكترونية
إن الهجوم على شبكة الرعاية الصحية للأمن السيبراني لا يعد خرقًا يحدث مرة واحدة فقط، بل إنه تهديد مستمر...
تفاصيل أكثر
الأمن السيبراني للرعاية الصحية
مراجعة الأمن السيبراني في مجال الرعاية الصحية لعام 2024
سيسجل التاريخ عام 2024 باعتباره عامًا فاصلًا آخر في مجال الأمن السيبراني في مجال الرعاية الصحية. مع الإبلاغ عن 386 هجومًا إلكترونيًا في مجال الرعاية الصحية من قبل...
تفاصيل أكثر
اكتشاف الأصول والجرد
كيف يعمل اكتشاف أجهزة إنترنت الأشياء في الرعاية الصحية الآلية على تحويل إدارة أصول الرعاية الصحية والأمن السيبراني
تعمل الأجهزة الطبية المتصلة على تحويل تقديم الرعاية الصحية بوتيرة غير مسبوقة. بالنسبة لمتخصصي تكنولوجيا المعلومات في مجال الرعاية الصحية ومديري المستشفيات، فإن الارتفاع في عدد…
تفاصيل أكثر

الأقسام

الاستخبارات التهديد (3)
المملكة المتحدة (UK) (3)
تقسيم الشبكة وحمايتها (5)
الذكاء الاصطناعي (AI) (2)
الذكاء الاصطناعي - دفاعي (2)
الذكاء الاصطناعي - الهجومي (1)
اكتشاف الأصول والجرد (3)
رؤية الأصول (3)
اتصالات مجلس الإدارة (1)
كاميرات الدوائر التلفزيونية المغلقة (1)
البنية التحتية الوطنية الحيوية (2)
الشركة (3)
الضوابط (12)
هجوم الانترنت (8)
جرائم الإنترنت (3)
الأمن السيبراني (9)
أفضل ممارسات الأمن السيبراني (5)
موهبة الأمن السيبراني (1)
تهديدات الإنترنت (13)
شركات ناشئة في مجال الأمن السيبراني (1)
الحرب الإلكترونية (2)
خرق البيانات (1)
إثراء البيانات (4)
فعاليات (1)
ادارة الاغذية والعقاقير (1)
المدفأة الدردشة (1)
تزوير (1)
أسئلة عامة (8)
علم السياسة الطبيعية (1)
قطاع الرعاية الصحية (7)
الأمن السيبراني للرعاية الصحية (18)
إنترنت الأشياء للرعاية الصحية (6)
أمن إنترنت الأشياء في الرعاية الصحية (HIoT) (6)
HIPPA (1)
الاستجابة للحادث (1)
آلية الربط (1)
المقابلة الشخصية (1)
IOT (1)
إنترنت الأشياء الأمن (9)
المعرض (5)
التعلم الآلي (ML) (2)
التصوير الطبي (1)
أمن الأجهزة الطبية (13)
مراقبة (1)
سياسة كلمة المرور (1)
الفدية (4)
اللائحة (3)
معالجة (2)
تحليل المخاطر (1)
التخفيف من المخاطر (9)
الرعاية الصحية الريفية (1)
روسيا (2)
التعليم الأمني (2)
تكنولوجيا (6)
شركة التكنولوجيا (1)
مشهد التهديد (2)
كشف التهديدات والاستجابة لها (7)
إدارة المخاطر والثغرات الأمنية (4)
VPN (1)
الويبينار (1)

التواصل