🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
إلى الخلف
رانسوم وير

Underground Marketplace يكشف النقاب عن برامج الفدية الجديدة التي تقدم QBit مع التشفير المتقدم والتخصيص

في 23 أكتوبر 2023، اكتشف فريق استخبارات التهديدات في CloudSek مجموعة Ransomware-as-a-Service (RaaS)، تسمى qBit تقدم برنامج الفدية المطور حديثًا والمكتوب في Go، والذي يتميز بميزات متقدمة لتحسين عملياته الضارة.
November 4, 2023
6
دقيقة
جدول المحتوى
مثال H2
مثال H2

الفئة: ذكاء البرامج الضارة

التحفيز: المالية

المنطقة: عالمي

مصدر*:

C: موثوقة إلى حد ما

1: أكدته مصادر مستقلة

ملخص تنفيذي

وفي 23 تشرين الأول/أكتوبر 2023, كلاود سيكاكتشف فريق استخبارات التهديدات التابع لشركة Ransomware-as-a-Service (RaaS)، والتي تُدعى QBit، والتي تقدم برنامج الفدية المطور حديثًا والمكتوب بلغة Go، والذي يتميز بميزات متقدمة لتحسين عملياتها الضارة. تستهدف برامج الفدية نظام التشغيل Windows (من Windows 7 إلى Windows 11، بما في ذلك x32 و x64) وتوزيعات Linux المختلفة (CentOS و Ubuntu و Linux Mint و Endeavour OS و Fedora) في إصدارات 64 بت ومتغير ESXi قيد التطوير. تم تعبئة المشفر باستخدام UPX.

Ransomware as a Service (RaaS) هو نموذج عمل إجرامي يقوم فيه أفراد أو مجموعات من مجرمي الإنترنت بإنشاء برامج الفدية وتوزيعها على جهات ضارة أخرى، غالبًا مقابل رسوم أو نسبة مئوية من الأرباح. تمكّن RaaS الأفراد الأقل مهارة من الناحية الفنية من المشاركة في الجرائم الإلكترونية وإطلاق هجمات برامج الفدية.

باستخدام أنظمة التشفير المختلفة، يمكن للتشفير أيضًا إيقاف الخدمات وإنهاء العمليات التي قد تتداخل مع تشفير الملفات.

يقدم ممثل التهديد أيضًا برنامجًا منفصلاً يسمى File Stealer مصمم لسحب الملفات إلى منصة مشاركة الملفات عبر الإنترنت تسمى mega [.] nz.

التحليل والإسناد

الميزات والعروض الرئيسية لبرنامج الفدية هذا هي كما يلي كما يدعي ممثل التهديد:

  • التزامن الفعال: باستخدام إمكانات Go، يعد برنامج الفدية هذا بتنفيذ أسرع ومعدلات اكتشاف أقل وتعدد استخدامات محسّن.
  • التوافق عبر الأنظمة الأساسية: تم اختبار برنامج الفدية على كل من ويندوز (من ويندوز 7 إلى ويندوز 11، بما في ذلك x32 و x64) ومختلف توزيعات لينكس (CentOS، أوبونتو، لينكس منت، إنديفور أو إس، فيدورا) في إصدارات 64 بت.
  • متغير ESXi: يُذكر أن متغير ESXi لا يزال في المراحل الأولى من التطوير، مما يشير إلى إمكانية التوسع في بيئة المحاكاة الافتراضية.
  • تصميمات فريدة: تقوم برامج الفدية بإنشاء تصميمات فريدة لكل عملية، مما يقلل من مخاطر الاكتشاف ويتجنب الحاجة إلى التشفير.
  • الميزات الرئيسية: يوفر برنامج الفدية تشفيرًا سريعًا باستخدام منطق مختلط (سالسا 20+ ريال سعودي 2048)، وأنماط التشفير المختلفة (الكاملة والجزئية والذكية)، والتنفيذ في الوقت المناسب، والثنائيات المحجوبة، وتقنيات مكافحة التحليل، وعمليات syscalls المباشرة، وتعدد مؤشرات الترابط، وأداة فك التشفير.
  • التخصيص: يقدم ممثل التهديد خيارات التخصيص، بما في ذلك إدخال رمز القشرة قبل التنفيذ، وتسلل الملفات، وجمع المعلومات الشخصية حول النظام المستهدف، وكل ذلك دون أي تكلفة إضافية.

ممثل التهديد يعلن عن خدمة برامج الفدية الجديدة (RaaS) المسماة qBit

بعد الفحص الدقيق للمنشور، اكتشف مصدرنا مستوى كبيرًا من الاهتمام من العديد من الجهات الفاعلة في مجال التهديد. والجدير بالذكر أن بعض الأفراد أعربوا عن فضولهم بشأن ترتيب تقاسم الأرباح. ردًا على ذلك، كشف الملصق الأصلي (OP) أن القسم تم تحديده عند 85/15، مما يعني أن 85٪ من الأرباح يتم تخصيصها للشركة التابعة، بينما يتم الاحتفاظ بنسبة 15٪ المتبقية من قبل مزود خدمة Ransomware as a Service (RaaS).

OP يناقش ترتيب تقاسم الأرباح

تحليل وظائفها

تم تعبئة جزء البرامج الضارة (المشفر) باستخدام برنامج حزم مفتوح المصدر معروف باسم UPX. قبل تفريغ البرامج الضارة كان حجم البرنامج الضار 1.4 ميجابايت بمستوى إنتروبيا يبلغ 8. عند تفريغ الملف الثنائي، توسعت البرامج الضارة إلى حجم 4.92 ميغابايت. عند كتابة هذا، لم يتم الإبلاغ عن أي حالات لهذه السلالة الخاصة على VirusTotal.

أثناء التنفيذ، يقدم البرنامج الثنائي للمستخدمين خيارات متعددة مثل:

  • -سلسلة التنشيط: تم تعيينه من قبل المستخدم لتحديد تاريخ ووقت معينين عندما يتم تنفيذ البرنامج الثنائي.
  • -سجل: يتيح هذا الخيار للمستخدم عرض رسائل السجل على واجهة المستخدم.
  • - سلسلة الأسلوب: يسمح لك بتحديد طريقة التشفير. تتضمن الخيارات «كامل» أو «جزئي» أو «ذكي» (الإعداد الافتراضي هو «ممتلئ»).
  • -nobk: إذا تم استخدام هذا الخيار، فلن يقوم البرنامج بتغيير خلفية سطح المكتب أثناء تشغيله.
  • -نموذج: إذا تم توفيره، فلن يقوم البرنامج بالتدمير الذاتي بعد اكتمال عملية التشفير.
  • -نوموتكس: يقوم بإلغاء تنشيط Mutex. عند الإعداد، يمكن للبرنامج تشغيل مثيلات متعددة في وقت واحد.
  • - سلسلة المرور: يتطلب كلمة مرور لتشغيل البرنامج.
  • - سلسلة المسار: يحدد المسارات المراد تشفيرها، مفصولة بفواصل. إذا لم يتم توفيره، فسيقوم البرنامج بتشفير جميع محركات الأقراص المنطقية من الألف إلى الياء.
  • -خدمة إيقاف: يوقف الخدمات وينهي العمليات التي قد تتداخل مع تشفير بعض الملفات. يتطلب هذا الإجراء عادةً امتيازات ADMIN أو SYSTEM.
  • - تلميح الخيط: يسمح لك بتعيين عدد سلاسل العمليات للمعالجة (الافتراضي هو 4).

تأتي الوظائف مع التشفير

عند تنفيذ برنامج الفدية باستخدام،»Encryptor.exe - سجل المرور = 01 - الطريقة = الذكية«، نحصل على النافذة المنبثقة التالية:

ال ذكي تستخدم الطريقة تقنية متقطعة لتسريع سرعة التشفير، مما يعني أنها تقوم فقط بتشفير أجزاء معينة من الملف/البيانات.

تم تشفير الملفات وملفات zip والتطبيقات باستخدام .660 الامتداد الذي يتم حسابه استنادًا إلى GUID (المعرف الفريد عالميًا)، أو معرف فريد 128 بت تم إنشاؤه بواسطة نظام التشغيل (OS)، أو التطبيقات لتحديد الموارد أو الكائنات أو المكونات أو العناصر الأخرى بشكل فريد داخل بيئة Windows. تظل هذه الإضافة ثابتة لنظام تشغيل مستخدم معين.

نظرًا لأن الامتدادات تتكون عمومًا من ثلاثة أحرف، فقد استغرق الأمر الأحرف الثلاثة الأولى من GUID الخاص بجهاز الضحية كما هو موضح أعلاه. إنه أمر مهم لأنه تم استخدام نفس الأحرف المكونة من 4 أرقام لتسمية ملف الصورة المسقطة في الدليل المؤقت كما هو مذكور أدناه.

عند التنفيذ الناجح للتشفير، تمكنا من تحديد الملف المسقط المسمى 6609.jpg في دليل Temp.

تبحث برامج الفدية عن امتدادات الملفات التالية للتشفير: com، exe، bat، cmd، vbs، vbe، js، jse، wsf، wsf، wsh، msc.

فيما يلي نموذج ملف «readme-recover.txt» الذي تم إسقاطه على سطح مكتب الضحية.

تغيير خلفية سطح المكتب بعد تنفيذ التشفير

تقدم مجموعة Qbit بالإضافة إلى ذلك ما يلي:

  • منهجيات التصيد المتقدمة لمهاجمة المؤسسات المختلفة التي يتم تقديمها كحزمة اختيارية مقابل رسوم إضافية.
  • لديهم برنامج منفصل يسمى File Stealer، والذي أعلنوا عنه في المنتديات السرية في الماضي. يمكن استخدامه لتصفية كميات كبيرة من الملفات إلى محرك mega.nz افتراضيًا.

إنها توفر حلاً مخصصًا أيضًا بحيث يتم سحب الملفات مباشرةً إلى RDP/VPS الذي يختاره ممثل التهديد بدلاً من mega [.] nz.

Threat Actor Activity and Rating

Threat Actor Profiling

Active since

23 October 2023 (on RansomedVC)

Reputation

Low

Current Status

Active

History

RaaS (developing ransomware and stealer, source: HUMINT)

Rating 

C: Fairly reliable

1: Confirmed by independent Sources

Indicators of Compromise (IoCs)

Files Obtained

6609.jpg

C:\Users\john doe\AppData\Local\Temp

Readme-recover.txt

C:\Users\john doe\Desktop

SHA256

Packed Malware: 3d8722a8bb75f7bfe699ad691e0dd46fb6f8c105ab3c3866f48e587d44d92abf

Unpacked Malware: 204d3d3e61e61771185265afa508a1db574ace3f50afcb20a3ebc41d30519108






شريا تالوكدار
باحث في مجال استخبارات التهديدات الإلكترونية
Bablu Kumar
Bablu is a technology writer and an analyst with a strong focus on all things cybersecurity

مدونات ذات صلة

هذا نص داخل كتلة div.
رانسوم وير
January 29, 2025
5
دقيقة
الكشف عن مجموعات برامج الفدية المتعطشة للوسائط: Bashe (APT73)
اقرأ المزيد
هذا نص داخل كتلة div.
رانسوم وير
5
دقيقة
اضطراب كبير في الدفع: برامج الفدية تضرب البنية التحتية المصرفية الهندية
اقرأ المزيد
هذا نص داخل كتلة div.
رانسوم وير
September 8, 2023
7
دقيقة
فهم برنامج Knight Ransomware: الاستشارات والتحليلات
اقرأ المزيد