كاسبرسكي: برنامج الفدية "لوكبيت" يوسع نطاق انتشاره ويستهدف نظام التشغيل macOS

الثلاثاء 18 يوليو 2023 | 12:07 مساءً
كاسبرسكي
كاسبرسكي

اكتشف خبراء الأمن السيبراني في كاسبرسكي أن "لوكبيت" LockBit، أحد أكثر مجموعات برامج الفدية انتشاراً في العالم، قد تمكن من توسيع عملياته مؤخراً وتعزيزها بوظائف محسنة تمكّنه من الوصول إلى العديد من المنصات.

واكتسب البرنامج ذاته سمعة سيئة لاستهدافه المستمر للشركات حول العالم، ليحدث دماراً مالياً وتشغيلياً واسع النطاق. ويظهر التقرير الأخير الصادر عن كاسبرسكي تصميم المجرمين القائمين على البرنامج لتوسعة نطاق استهدافه لضحاياه وزيادة تأثير أنشطته الخبيثة.

وكان LockBit يعمل في مراحله الأولى من دون وجود بوابات تسريب ولا طرق ابتزاز مزدوجة أو سرقة البيانات قبل تشفير بيانات الضحية، لكن المجموعة عملت باستمرار على تطوير بنيتها التحتية وتدابيرها الأمنية لحماية أصولها من التهديدات المتغيرة، بما في ذلك الهجمات على لوحات الإدارة الخاصة بها، وهجمات حجب الخدمة الموزعة (DDoS). 

ولاحظ مجتمع الأمن السيبراني أن مجموعة LockBit تتبنى لغة برمجية استخلصتها من مجموعات برامج الفدية الأخرى التي اكتسبت سمعة سيئة، ومنها على سبيل المثال BlackMatter و DarkSide، وتعمل هذه الخطوة الاستراتيجية على تبسيط العمليات للبرامج التابعة المحتملة. 

كما أنها توسع نطاق المسارات أو الطرق التي يسلكها المجرمون السيبرانيون ممن يستخدمون برنامج الفدية LockBit في هجماتهم. 

وأظهرت النتائج الأخيرة التي توصل إليها محرك كاسبرسكي لإحالة للتهديدات (KTAE) أن مطوري برنامجLockBit قد عمدوا إلى إدراج ما يقرب من 25% من الشيفرة المستخدمة سابقاً من قبل عصابة Conti ransomware التي انتهت صلاحيتها، الأمر الذي أدى إلى ظهور نسخة جديدة تعرف باسم LockBit Green.

وتمكّن باحثو كاسبرسكي من تحقيق إنجاز كبير عندما نجحوا في الكشف عن ملف مضغوط يحتوي على عينات من برنامج LockBit صممت خصيصاً لمهاجمة العديد من البنى الحاسوبية، بما في ذلك Apple M1 و ARM v6 و ARM v7 و FreeBSD والمزيد غيرها. ومن خلال التحليل والتحقيق باستخدام محرك كاسبرسكي لإحالة للتهديدات، أكد الباحثون أن هذه العينات نشأت من إصدارات LockBit Linux / ESXi التي تم رصدها في فترات سابقة.

ومع أن بعض العينات، مثل نسخة macOS، تتطلب إعدادات إضافية، ولم يتم اختتامها بشكل صحيح، يبدو واضحاً أن LockBit تختبر بنشاط برامجها على منصات مختلفة، الأمر الذي ينذر باحتمال التوسع الوشيك في هجماتها. 

ويؤكد هذا التطور على الحاجة الملحّة إلى اتخاذ تدابير الأمن الإلكتروني القوية عبر جميع المنصات، وزيادة الوعي داخل مجتمع الأعمال.

مارك ريفيرو: LockBit نالت شهرة واسعة بسبب هجماتها الإلكترونية المدمرة

وقال مارك ريفيرو، كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي: "تعتبر LockBit مجموعة نشطة للغاية، ونالت شهرة واسعة بسبب هجماتها الإلكترونية المدمرة التي استهدفت الشركات حول العالم. 

ومع إجرائها المزيد من التحسينات المستمرة لبنيتها التحتية ودمج اللغات البرمجية من عصابات برامج الفدية الأخرى، فقد أصبحت LockBit تشكل تهديداً كبيراً ومتطوراً للمؤسسات عبر مختلف الصناعات، لذا .. فقد بات من الضروري بالنسبة إلى الشركات العمل على تعزيز دفاعاتها، وتحديث أنظمتها الأمنية بانتظام، ونشر الوعي بين موظفيها حول أفضل ممارسات الأمن السيبراني، وتوظيف بروتوكولات الاستجابة للحوادث للتخفيف بشكل فعال من المخاطر التي تشكلها LockBit ومجموعات برامج الفدية المماثلة".

ويمكن معرفة المزيد حول مجموعة أدوات LockBit المحدثة على Securelist.

وحتى تتمكّن من حماية نفسك وعملك من هجمات برامج الفدية، ننصحك أن تتبع القواعد التالية التي اقترحتها كاسبرسكي:

• احرص دائماً على تحديث البرنامج على جميع الأجهزة التي تستخدمها، لمنع المهاجمين من استغلال نقاط الضعف والتسلل إلى شبكتك.

• اتبع إستراتيجية دفاعية تركز فيها على اكتشاف الحركات الجانبية وتسريبات البيانات عبر الإنترنت، والانتباه بشكل خاص لحركة المرور الصادرة لاكتشاف الاتصالات التي يقوم بها مجرمي الإنترنت بشبكتك. وينصح هنا بضرورة إعداد نُسخ احتياطية في نسق الفصل التام أو عدم الاتصال مع الشبكة، حتى لا يتمكن المتسللون من العبث بها. وتأكد من قدرتك على الوصول إليها بسرعة عند الحاجة، أو في حالة الطوارئ.

• تفعيل خاصية الحماية من برامج الفدية على جميع نقاط النهاية. وهناك أداة مجانية توفرها كاسبرسكي وهي Kaspersky Anti-Ransomware، حيث يمكن للشركات الاستفادة منها لحماية أجهزة الكمبيوتر والخوادم من برامج الفدية وأنواع أخرى من البرامج الخبيثة. 

كما أنها تمنع عمليات الاستغلال، وتكون متوافقة مع حلول الأمنية المثبتة بالفعل.

• ينصح بتثبيت حلول مكافحة التهديدات المتقدمة المستمرة والكشف عن نقاط النهاية والاستجابة للتهديدات، لامتلاك إمكانات اكتشاف التهديدات المتقدمة والتحقيق فيها ومعالجتها في الوقت المناسب. 

وينصح أيضاً بتزويد فريقك العامل في مركز العمليات الأمنية بفرص الوصول إلى أحدث معلومات التهديدات، وإكسابهم المهارات الضرورية والعمل على تطويرها بانتظام من خلال التدريب الاحترافي. وتتوفر جميع المتطلبات الواردة أعلاه في إطار الأمن الخبراء من كاسبرسكي Kaspersky Expert Security framework.

• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات. وتعتبر بوابة "معلومات التهديدات من كاسبرسكي" Kaspersky Threat Intelligence Portal نقطة شاملة للاطلاع على المعلومات المتعلقة بمختلف التهديدات، حيث توفر البيانات والمعلومات المتعلقة بالهجمات الإلكترونية التي جمعها فريقنا على مدار العشرين عاماً الماضية. 

ولمساعدة الشركات على تقديم دفاعات فعالة في مثل هذه الأوقات الصعبة، أعلنت كاسبرسكي عن توفيرها معلومات مستقلة ومحدثة باستمرار ومن مصادر عالمية حول الهجمات الإلكترونية والتهديدات الحالية بالمجان. 

ويمكن طلب الوصول إليها من خلال هذا الرابط.

إقرأ أيضا