يبدو أن مجموعة Axxes Ransomware هي النسخة التي أعيدت تسميتها من مجموعة Midas الفئة: استخبارات الخصمالصناعة: متعددالبلد/المنطقة: عالميمصدر*: F6

ملخص تنفيذي

• كلاود سيكاكتشفت منصة مراقبة المخاطر الرقمية الرائدة XviGil مجموعة من الجهات الفاعلة في مجال التهديدات ذات الدوافع المالية، والتي تسمى Axxes ransomware، والتي تعتبر بمثابة إعادة تسمية لمجموعة برامج الفدية المعروفة سابقًا.
• يُدرج موقع العلاقات العامة لمجموعة Axxes ransomware The H Dubai كأحدث ضحاياها.
• تشمل المناطق المستهدفة الولايات المتحدة الأمريكية والشرق الأوسط وفرنسا والصين.

[معرف التسمية التوضيحية = «المرفق _19347" align= «alignnone» width="1086"] الأنشطة الأخيرة لمجموعة Axxes رانسوم وير [/caption]

التحليل والإسناد

حول برنامج Axes رانسوم وير

• Axxes عبارة عن برنامج فدية يقوم بتشفير الملفات وإلحاق . المحاور التمديد لهم.
• تقوم Axxes بإنشاء ملف يسمى «restore_files_info.hta»، والذي يتضمن مذكرة فدية. يقوم أيضًا بإنشاء ملف يسمى «RESTORE_FILES_INFO.txt».
• يقوم برنامج الفدية بتنفيذ مهام مختلفة مثل:
  • البحث عن الموقع الجغرافي للجهاز
  • تعديل جدار حماية Windows
  • تعديل امتداد الملفات في جهاز الضحية.
  • قتل العمليات باستخدام taskkill.exe

>> ماذا حدث؟ تم تشفير الملفات المهمة على شبكتك والآن لها ملحق «Axxes». من أجل استعادة الملفات الخاصة بك تحتاج إلى اتباع التعليمات أدناه. > > البيانات الحساسة تم تنزيل البيانات الحساسة على شبكتك. أكثر من 70 جيجابايت. إذا كنت لا تريد نشر بياناتك الحساسة، فعليك التصرف بسرعة. تتضمن البيانات: - البيانات الشخصية للموظفين، السير الذاتية، DL، SSN. - خريطة شبكة كاملة بما في ذلك بيانات الاعتماد للخدمات المحلية والبعيدة. - المعلومات المالية الخاصة بما في ذلك: بيانات العملاء والفواتير والميزانيات والتقارير السنوية والبيانات المصرفية. > > الحذر لا تقم بتعديل الملفات المشفرة بنفسك. لا تستخدم برامج طرف ثالث لاستعادة بياناتك. قد تتلف ملفاتك، وسيؤدي ذلك إلى فقدان البيانات بشكل دائم. > > ماذا أفعل بعد ذلك؟ 1) قم بتنزيل وتثبيت متصفح Tor من: https://torproject.org/ 2) ymnbqd5gmtxc2wepkesq2ktr5qf4uga6wrsbtk7n5uvhqmbyaq4qd.onion/link.php؟ معرف الهوية = htjndKB5 أو C74 QYIII8R5987 Lafscfملاحظة حول برنامج الفدية Axes

• بمجرد التشفير، تترك مجموعة برامج الفدية رابطًا بمعرف الضحية. يقوم الرابط بتوجيه الضحية إلى صفحة دردشة حيث يتم إنشاء حساب باستخدام معرف التفويض.

• تتضمن منظمات الضحايا المدرجة على موقع العلاقات العامة للمجموعة تفاصيل حول المنظمة، مثل العنوان ومعلومات الاتصال وعدد المشاهدات وموقع الويب وتاريخ التحديث التالي.

مجموعة Axes رانسوم وير

• استنادًا إلى شعار مجموعة برامج الفدية، يبدو أنها نسخة معدلة من مجموعة Midas ransomware.
• استخدمت Midas ransomware نفس الشعار وأدرجت نفس الضحايا، باستثناء الإضافات الأخيرة. تمت ملاحظة مجموعة Midas ransomware هذه لأول مرة في أكتوبر 2021.
• يُعتقد أن مجموعة Midas نفسها هي نسخة معدلة من Haron ransomware. وكانت Haron نسخة معدلة من مجموعة Avvadon ransomware.
• ادعى بعض الباحثين أيضًا أن Midas هو نوع مختلف من Thanos.

[معرف التسمية التوضيحية = «المرفق _19349" align= «alignnone» width="546"] منشور على تويتر يناقش برنامج ميداس رانسوم وير [/caption]

• في حين أن مجموعة Haron ransomware لا تزال تعمل باسم Haron Ransomware2، فإن موقع التسرب الخاص بمجموعة Midas ransomware لم يعد نشطًا بعد الآن.

مؤشرات التسوية (IOCs)

استنادًا إلى نتائج VirusTotal وTriage، فيما يلي عمليات الإدخال والإياب الخاصة ببرنامج Axxes رانسوم وير. MD5063a4b2fb6f7bd96710 dd054d03a8668ac2e9f9f9f84f98a1c7514f2e8e81e88شا-1b82bc6b886672606672 bf58e84625 ffeebf09cc8d755a31 fdfd40b624983113e2b0a4c0adشا-2565b1d1e8d4d4d93d360b044101d6c5835b4ac4ac4c4ac4cb0ef0d19e83 d93cbbd 22e708 abc7fd548 bd27b5076d9589e1e1b87f3c5740d00e77 c127b4c4541 d7d6f7بروتوكول IPv48 [.] 240 [.] 24 [.] 1248 [.] 249 [.] 245 [.] 252192 [.] 168 [.] 0 [.] 668 [.] 252 [.] 36 [.] 1248 [.] 252 [.] 68 [.] 2528 [.] 253 [.] 151 [.] 2458 [.] 253 [.] 208 [.] 1088 [.] 253 [.] 208 [.] 1098 [.] 253 [.] 208 [.] 1168 [.] 253 [.] 254 [.] 124

التأثير والتخفيف

التأثيرالتخفيف

• يمكن أن تسمح رموز المصدر المنشورة للجهات الفاعلة الأخرى في مجال التهديد بالوصول إلى شبكات المنظمات.
• إذا كانت تحتوي على أي معلومات تعريف شخصية مكشوفة (PII)، فقد تمكّن الجهات الفاعلة في مجال التهديد من تنسيق مخططات الهندسة الاجتماعية وهجمات التصيد الاحتيالي وحتى سرقة الهوية.
• يمكن أن تؤدي عناوين IP المكشوفة وبيانات اعتماد تسجيل الدخول إلى عمليات استحواذ محتملة على الحساب.
• يمكن أن تكشف التفاصيل السرية المكشوفة عن الممارسات التجارية والملكية الفكرية.
• نظرًا لأن إعادة استخدام كلمة المرور هي ممارسة شائعة، يمكن للجهات الفاعلة الاستفادة من بيانات الاعتماد المكشوفة للوصول إلى حسابات أخرى للمستخدم.

• قم بإعادة تعيين بيانات اعتماد تسجيل دخول المستخدم المخترقة وتنفيذ سياسة كلمة مرور قوية لجميع حسابات المستخدمين.
• تحقق من الحلول والتصحيحات الممكنة مع إبقاء المنافذ مفتوحة.
• قم بتصحيح جميع نقاط النهاية الضعيفة والقابلة للاستغلال.
• راقب الحالات الشاذة في حسابات المستخدمين والأنظمة التي يمكن أن تكون مؤشرات لعمليات الاستحواذ المحتملة.
• استخدم MFA (المصادقة متعددة العوامل) عبر عمليات تسجيل الدخول.

المراجع

• * https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol