اضطراب كبير في الدفع: برامج الفدية تضرب البنية التحتية المصرفية الهندية

الفئة: استخبارات الخصم

الصناعة: بي إف إس آي

المنطقة: آسيا

التحفيز: الشؤون المالية

أعلى: كهرمان

‍

ملخص تنفيذي

يراقب فريق أبحاث التهديدات في CloudSek عن كثب هجومًا كبيرًا من برامج الفدية أدى إلى تعطيل النظام البيئي المصرفي في الهند، مما أثر على البنوك ومقدمي خدمات الدفع. يهدف هذا التقرير إلى تحليل سلسلة الهجمات وكشف تكتيكات الخصم وتقديم رؤى قابلة للتنفيذ للمؤسسات لتعزيز وضعها الأمني. نظرًا لأن الوضع لا يزال يتكشف، سيقدم هذا التقرير تحديثات وتوصيات مستمرة لمعالجة مشهد التهديدات المتطور.

الكيان المتأثر في هذه الحالة هو Brontoo Technology Solutions، وهو متعاون رئيسي مع C-EDGE، وهو مشروع مشترك بين TCS و SBI. يهدف هذا التقرير إلى استكشاف الآثار الأوسع لهذا الهجوم على النظام البيئي.

‍

فهم سلسلة الهجوم المحتملة

وفقًا للتقرير الذي قدمته Brontoo Technology Solutions مع CertIN (فريق الاستجابة لطوارئ الكمبيوتر الهندي)، فقد ذُكر أن سلسلة الهجوم بدأت في خادم jenkins الذي تم تكوينه بشكل خاطئ. تمكن فريق أبحاث التهديدات في CloudSek من تحديد خادم jenkins المتأثر وبالتالي سلسلة الهجوم.

في التاريخ الحديث، نشرنا على نطاق واسع حول استغلال Jenkins باستخدام ثغرة أمنية محلية في تضمين الملفات، اقرأ عن دراسة الحالة هنا وسلسلة الاستغلال الكاملة هنا

‍

• نقطة الضعف الأمنية: CVE-2024-23897: تأثر مثيل Jenkins الذي تستخدمه Brontoo Technology بنفس LFI CVE الذي يمكن الاستفادة منه لقراءة الكود الداخلي أو في هذه الحالة عندما كان المنفذ 22 مفتوحًا، احصل على وصول آمن إلى الغلاف من خلال قراءة المفاتيح الخاصة.
• جزء أساسي من عالم برامج الفدية هو وساطة الوصول الأولي، ونعتقد (بثقة منخفضة) بالنظر إلى التاريخ وسلاسل الهجوم الأخيرة التي تم استغلالها، أنه كان من الممكن بيع هذا الوصول بواسطة إنتل بروكر (ممثل تهديد/مشرف من منتديات الاختراق) إلى مجموعة RansomeXX لمزيد من الاستغلال.

‍

‍

التحليل والإسناد

من خلال تحقيقنا والاستفادة من المصادر الحساسة، أكدنا أن مجموعة برامج الفدية المسؤولة عن هذا الهجوم هي RansomeXX. تم تسهيل هذا التحديد من خلال مشاركتنا الواسعة مع القطاع المصرفي المتضرر في الهند.

‍

‍

RansomeXX v2.0 هو نوع متطور من برنامج الفدية RansomeXX، المعروف باستهداف المؤسسات الكبيرة والمطالبة بدفع فدية كبيرة. تعمل هذه المجموعة كجزء من اتجاه أوسع حيث يقوم مطورو برامج الفدية باستمرار بتطوير برامجهم الضارة لتجاوز الدفاعات الأمنية وتعظيم تأثيرها.

‍

فيما يلي تحليل مفصل لمجموعة برامج الفدية RansomeXX v2.0:

‍

1. الخلفية والتطور

• الظهور الأولي: ظهرت RansomeXX، المعروفة في البداية باسم Defray777، لأول مرة في عام 2018. تم تغيير علامتها التجارية إلى RansomeXX في عام 2020.
• التطور إلى الإصدار 2.0: ظهر متغير v2.0 كاستجابة للفعالية المتزايدة للتدابير الدفاعية. يشير هذا التطور إلى التحسينات في تقنيات التشفير وتكتيكات التهرب وطرق تسليم الحمولة.

‍

2. نواقل العدوى والتكتيكات

• الوصول الأولي: تشمل النواقل الشائعة رسائل البريد الإلكتروني المخادعة، واستغلال الثغرات الأمنية في بروتوكولات سطح المكتب البعيد (RDP)، والاستفادة من نقاط الضعف في شبكات VPN وخدمات الوصول عن بُعد الأخرى.
• الحركة الجانبية: بعد الوصول الأولي، تستخدم المجموعة أدوات مثل Cobalt Strike و Mimikatz وغيرها من الأدوات الإدارية الشرعية للتحرك أفقيًا داخل الشبكة.
• تصعيد الامتيازات: استخدام عمليات الاستغلال المعروفة وسرقة بيانات الاعتماد للحصول على امتيازات أعلى داخل البيئة المخترقة. (يرجى إلقاء نظرة على الملحق للحصول على الجدول الكامل)

‍

3. الحمولة والتشفير

• خوارزمية التشفير: يستخدم RansomeXX v2.0 خوارزميات تشفير قوية، مثل RSA-2048 و AES-256، مما يجعل استرداد الملفات بدون مفتاح فك التشفير مستحيلًا تقريبًا.
• تشفير الملفات: يستهدف الملفات الهامة والنسخ الاحتياطية، مما يجعلها غير قابلة للوصول. غالبًا ما قامت المجموعة بسحب البيانات قبل التشفير لاستخدامها كرافعة مالية (ابتزاز مزدوج).

‍

4. طلبات الفدية والتفاوض

• ملاحظات الفدية: يتلقى الضحايا مذكرات فدية مفصلة مع تعليمات الدفع، عادةً بعملة البيتكوين أو العملات المشفرة الأخرى.
• تكتيكات التفاوض: من المعروف أن RansomeXX تشارك في المفاوضات، وأحيانًا تخفض طلبات الفدية بناءً على استجابة الضحية والقدرة المتصورة على الدفع.

‍

5. حوادث بارزة

• الهجمات البارزة: استهدفت RansomeXX مجموعة من المنظمات البارزة في مختلف القطاعات، بما في ذلك الوكالات الحكومية ومقدمي الرعاية الصحية والشركات متعددة الجنسيات.
• التأثير والاستجابة: أدت الهجمات إلى اضطرابات تشغيلية كبيرة وخروقات للبيانات وخسائر مالية. لجأ العديد من الضحايا إلى دفع الفدية لاستعادة العمليات بسرعة.

‍

6. التطورات الأخيرة

• تقنيات التكيف: يستمر RansomeXX v2.0 في التطور، حيث يتضمن تقنيات جديدة لتجاوز الإجراءات الأمنية. تشير التقارير الأخيرة إلى استخدام الشهادات الرقمية المسروقة للتوقيع على البرامج الضارة وزيادة الثقة وتقليل معدلات الاكتشاف.
• التعاون مع الجهات الفاعلة الأخرى في مجال التهديد: هناك أدلة على التعاون مع مجموعات مجرمي الإنترنت الأخرى، ومشاركة الأدوات والتقنيات والبنية التحتية.

‍

سجل الهجوم

أثناء تحليل سجل الهجمات، وجدنا المعلومات التالية:

‍

1. التوزيع حسب المنطقة: كانت مجموعة Ransomware نشطة بشكل كبير في منطقة أوروبا وآسيا وأمريكا. إنهم يستهدفون القارات والمناطق ذات الفرصة القصوى للدفع

‍

2. التوزيع حسب القطاع: يمكننا أن نرى أن الصناعات الأكثر استهدافًا هي الحكومة تليها التكنولوجيا ثم التصنيع والاتصالات والرعاية الصحية. كل هذه الصناعات مهمة للأعمال ولديها أقصى فرصة للدفع أو رفع السمعة

‍

3. التسلسل الزمني للهجمات: منذ إعادة تسمية مجموعة برامج الفدية، بلغ إجمالي عدد الضحايا 58 ضحية، ويمثل الجدول الزمني التالي عدد الهجمات سنويًا:

‍

4. بعض الاختراقات البارزة: كما ذكرنا أعلاه، من المعروف أن RansomeXX تستهدف المنظمات ذات القيمة العالية، فيما يلي بعض المنظمات البارزة التي هاجمتها.

1. خدمات الاتصالات في ترينيداد وتوباغو
2. وزارة الدفاع في بيرو
3. الخطوط الجوية الكينية
4. فيراري
5. فيفا إير
6. ليتون

‍

تحليل التأثير الأكبر والوضع الحالي

• يسلط هذا الهجوم الضوء على ثغرة أمنية كبيرة داخل أنظمتنا الحالية وممارسات نمذجة التهديدات. تعتبر المؤسسات الكبيرة ذات الميزانيات الأمنية الكبيرة أكثر صعوبة في الاختراق، مما يدفع المهاجمين إلى استغلال المسار الأقل مقاومة. وبالتالي، أصبحت هجمات سلسلة التوريد منتشرة بشكل متزايد. الخلاصة الرئيسية من هذا التقرير ليست فقط أن المؤسسة الأساسية يجب أن تحتفظ بخادم Jenkins المحدث، ولكن يجب على جميع البائعين المهمين أيضًا التأكد من أن خوادم Jenkins الخاصة بهم محدثة باستمرار.
• لا يزال هذا الوضع يتطور، مع استمرار المفاوضات مع مجموعة برامج الفدية، ولم يتم نشر البيانات بعد على موقع العلاقات العامة الخاص بهم.
• تمتلك مجموعة برامج الفدية تاريخًا في تقديم طلبات فدية باهظة، ونتوقع نهجًا مشابهًا في هذه الحالة.
• هذه المجموعات دقيقة في تقييم قدرات الدفع للضحية وطبيعة البيانات المشفرة التي تستخدمها كرافعة مالية.

‍

نشاط وتصنيف الجهات الفاعلة في مجال التهديد

تحديد سمات الجهات الفاعلة في مجال التهديد

نشط منذ ذلك الحين: المجموعة الأصلية (Defray777) نشطة منذ عام 2018

موقع العلاقات العامة: hxxp [:] //rnsm777cdsjrsdlbs4v5qeoppu3 px6sb2igmh53jzrx7ipcrbjz5b2ad.onion

الحالة الحالية: زيادة نشطة ومفاجئة في النشاط

التاريخ: تستهدف المنظمات ذات القيمة العالية

‍

المراجع

• *مصدر الذكاء وموثوقية المعلومات - ويكيبيديا
• ^#بروتوكول إشارات المرور - ويكيبيديا
• https://www.cloudsek.com/blog/born-group-supply-chain-breach-in-depth-analysis-of-intelbrokers-jenkins-exploitation
• https://www.cloudsek.com/blog/xposing-the-exploitation-how-cve-2024-23897-led-to-the-compromise-of-github-repos-via-jenkins-lfi-vulnerability

‍

الملحق

تم تعيين إطار MITRE إلى TTPs

‍

الوصول الأولي

- التصيد الاحتيالي: مرفق Spear Phishing (T1566.001): يستخدم المهاجمون رسائل البريد الإلكتروني المخادعة المستهدفة مع المرفقات الضارة.

- استغلال التطبيق العام (T1190): استغلال نقاط الضعف في التطبيقات التي تواجه الجمهور.

- حسابات صالحة (T1078): استخدام بيانات اعتماد مسروقة أو قسرية.

‍

التنفيذ

- مترجم الأوامر والبرمجة: PowerShell (T1059.001): استخدام البرامج النصية PowerShell لتنفيذ الأوامر الضارة.

- مترجم الأوامر والبرمجة النصية: Windows Command Shell (T1059.003): استخدام موجه الأوامر لتنفيذ الأوامر الضارة.

- خدمات النظام: تنفيذ الخدمة (T1569.002): استخدام خدمات Windows لتنفيذ حمولة برامج الفدية.

‍

إصرار

- تنفيذ التشغيل التلقائي للتمهيد أو تسجيل الدخول: مفاتيح تشغيل السجل/مجلد بدء التشغيل (T1547.001): تعديل مفاتيح التسجيل أو إضافة ملفات إلى مجلد بدء التشغيل.

- إنشاء أو تعديل عملية النظام: خدمة Windows (T1543.003): إنشاء أو تعديل خدمات Windows للاستمرار.

‍

تصعيد الامتيازات

- استغلال تصعيد الامتيازات (T1068): استغلال الثغرات الأمنية لتصعيد الامتيازات.

- حسابات صالحة: الحسابات المحلية (T1078.003): استخدام حسابات المسؤول المحلي.

‍

التهرب الدفاعي

- الملفات أو المعلومات الغامضة (T1027): استخدام تقنيات التشويش لتجنب الكشف.

- إزالة التشويش/فك تشفير الملفات أو المعلومات (T1140): فك تشفير الملفات أو فك تشفيرها لتنفيذ الحمولات.

- تعطيل أدوات الأمان (T1562.001): تعطيل برامج مكافحة الفيروسات وأدوات الأمان الأخرى.

‍

الوصول إلى بيانات الاعتماد

- تفريغ بيانات اعتماد نظام التشغيل: ذاكرة LSASS (T1003.001): تفريغ بيانات الاعتماد من عملية LSASS.

- تفريغ بيانات اعتماد نظام التشغيل: NTDS (T1003.003): تفريغ بيانات اعتماد الدليل النشط.

‍

اكتشاف

- اكتشاف خدمة الشبكة (T1046): تعداد خدمات الشبكة.

- اكتشاف معلومات النظام (T1082): جمع معلومات حول نظام التشغيل والأجهزة.

- اكتشاف العملية (T1057): تعداد العمليات الجارية.

‍

حركة جانبية

- الخدمات البعيدة: بروتوكول سطح المكتب البعيد (T1021.001): استخدام RDP للتحرك أفقيًا داخل الشبكة.

- الخدمات عن بُعد: مشاركات مسؤولي SMB/Windows (T1021.002): استخدام مشاركات SMB للتحرك أفقيًا ونشر حمولات برامج الفدية.

‍

مجموعة

- البيانات من النظام المحلي (T1005): جمع البيانات من النظام المحلي.

- تنظيم البيانات: تنظيم البيانات المحلية (T1074.001): تنظيم البيانات المجمعة محليًا قبل التشفير أو التسلل.

‍

استخراج

- التسرب عبر قناة C2 (T1041): استخراج البيانات عبر قناة قيادة وتحكم ثابتة (C2).

- خدمة الاستخراج عبر الويب (T1567.002): استخدام خدمات الويب لاستخراج البيانات.

‍

التأثير

- البيانات المشفرة للتأثير (T1486): تشفير الملفات على نظام الضحية.

- إيقاف الخدمة (T1489): إيقاف الخدمات لتسهيل التشفير وإعاقة جهود الاسترداد.

- منع استعادة النظام (T1490): حذف أو تعطيل أنظمة النسخ الاحتياطي والاسترداد.

‍

‍

مؤشرات التسوية:

شا256

حبة 62 بوصة 9 ديسيبل 5 بوصة 3 ب 4 د 5654 د 6 سي 4 دي اف دي اف دي 7 ايه 64 دي اف اي 5372 اي 209ب 306 دي 07 سي 6 سي 7 د8 امبير 883 اي 01 حبة

6962e408aa7cb3ce053f569415a8e168a4fb3ed61c468 f6ee5b75452

981 e6f2584 f5a4e325 باباد cb0845528e8147f3e508 c2a1d60 ada65f87ce3c

98266835a238797 f34d1a252e6af0f029c7823af757d10609f534c4f987e70f

ad635630 ac208406 cd 28899313 bef 5d4 e57db163018 dfb8924 de90288e8 bab3

b6ed0a10e1808012902c1a911cf1e1b6aa4ad1965e535 aebcb95643 ef231 e214

b89742731932a116bd973 e61628 bbbe4f5d7d7d53d3402e404f63003b5104

د 931 فبراير 8 ص 24 ص 359 ص 9 ص 14 ج 529 ص 590 8 ج 2 د 1 ص 76 سا 1 د 8 د 8 د 0 د 0 د 927 648 ف 88 ب

ec2a22d92d78e37a6705c8116251 فاداي 2afecb358b32b32b32da5800115f77

f9c6dca22e336 cf71 ce4be540905 b34b5a63a7d02eb9b9bd8a40fc83e37154 c22

09 سم 99 e37121722 ديسيبل 45 2 سم 19 قدم 248 درجة مئوية 2 ب 9 إف 1 إي 082381 سم مكعب 73446 e0f4 f82 e0c468

حقيبة 4 449450 ج 07 ب 7a74314173 ج 7 ب 00 د 409 إيب 22 ب 86859 ج 3 ب 3 أس دي 66010458

78147 دي 3 بي 7 دي سي 8 قدم 7f631 de59 ab7797679 بابا 167 قدم 826 55 ثنائي الأبعاد 2c1b70f1f1 facc13 د

cb408d45762 a628872 fa782109e8fc3a5b456074b007de21e9331b3c5849

259670303 3d 1951 b6b11491 df8b76cad804d7a65525 eac08a5b6b4473b42818b

48301 f37e92 a9d5a29710 bda4eee034d888a3 edd79e2f749903fd81b

48460 × 9633 × 6 ديسيبل × 3 × 41 × 87 × 017 × 12 × 6 × 10 سم × 5 ديسيبل × 750 أ 211100 إي 98

4b8103 cd9fb0efb472cbf39715 بيكاف 098f7ee44 bf98f98f98f98f98f98f98f6672278e4e7442b

5c3569 c166654 eed781b9a563adc8 e2047078 fdcbafcdef712 fbaf2d3f57

5 ccf8c6bf9c39cb54c5eb596a1335d5a1335d522d70985840036e50e3c87079 ab4

335 د 1 ج 6 أ 758 ج ج س س س 38 د 0341179e056a471 ca84e8a5a9c9d6b6 bf24 b2fb85 de651a5

452 سم 219223549349 f3b2c4 fe25 dfe583900 f8da7d652 a4402cf003 bf5 ecf46

عناوين URL

العنوان: //iq3ahijcfeont3xx.sm4i8smr3f43.com

hxps: //iq3ahijcfeont3xx.tor2web.blutmagie.de

العنوان: //iq3ahijcfeont3xx.fenaow48fn42.com

العنوان: //iq3ahijcfeont3xx.sm4i8smr3f43.com

‍