الفئة: استخبارات الخصمالصناعة: متعددالتحفيز: الماليةالمنطقة: أمريكا الشماليةمصدر*: A1

ملخص تنفيذي

تهديدتأثيرتخفيف

• تقوم مجموعة SolidBit ransomware بالإعلان بنشاط عن RaaS وتتطلع إلى تجنيد شركات تابعة جديدة.
• سيتم دفع 20٪ من الأرباح المكتسبة إلى الشركة التابعة لإصابة الخوادم الخاصة.

• زيادة هجمات برامج الفدية على الشركات.
• الكشف عن البيانات الحساسة عند عدم القدرة على دفع الفدية المطلوبة.
• يمكن أن تكشف البيانات المخترقة عن ممارسات الأعمال والملكية الفكرية.

• تحديث وتصحيح نقطة ارتكاز البنية التحتية بما في ذلك الخوادم وأنظمة الكمبيوتر وما إلى ذلك.
• قم بمراجعة ومراقبة سجلات الأحداث والحوادث لتحديد الأنماط والسلوكيات غير العادية.

التحليل والإسناد

معلومات من البريد

• في 30 يونيو 2022، كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت مجموعة من ممثلي التهديدات تسمى SolidBit، تقدم RaaS (Ransom-as-a-Service) في منتدى سري.
• تبحث المجموعة بنشاط عن شركاء للوصول إلى الشبكات الخاصة للشركات من أجل نشر برامج الفدية المسماة سوليدبيت.
• الممثل على استعداد لدفع 20٪ من القطع/الفدية لشركائه.
• يحتوي المنشور أيضًا على صور نموذجية لما يلي:
  • واجهة المستخدم الرسومية لبرنامج الفدية على جانب العميل
  • ملاحظة الفدية التي تلقاها العميل

[معرف التسمية التوضيحية = «المرفق _20323" aligncenter «العرض ="1435"] ممثل التهديد يبحث عن الشركات التابعة في منتدى سري [/caption]

معلومات من OSINT

• يُقال أن برنامج SolidBit Ransomware هو نسخة مقلدة من لوك بيت رانسوم وير.
• بعد إجراء مزيد من التحقيق، عثر باحثو CloudSek على محلل البرامج الضارة، الذي نشر عينة من برامج الفدية في 27 يونيو 2022 وبعض العينات الأخرى في 11 يوليو 2022.
• تمت ملاحظة منشور آخر على Twitter، حيث شارك الرابط إلى مستودع GitHub، الذي أنشأه مستخدم اسمه 0 فيرست، تحتوي على تطبيق يُستخدم لتسليم برنامج الفدية.

معلومات من العينة

من العينة التي نشرها محلل البرامج الضارة، تم الكشف عن التفاصيل التالية:

• يتم تنفيذ برنامج SolidBit ransomware بعد تنزيل بعض التطبيقات الضارة.
• ملف نصي يسمى استعادة ~ملفاتي.txt pops open، الذي يصف الخطوات الأساسية لكيفية فك تشفير الملفات المصابة عن طريق دفع الفدية.
• يحتوي الملف النصي على معرف فك التشفير بالإضافة إلى صفحة تسجيل الدخول لموقع ransomware على الويب.
• عند تسجيل الدخول، يتم توجيه المستخدم إلى الصفحة الرئيسية لموقع برامج الفدية.
• يوفر موقع الويب الميزتين التاليتين:
  • الدردشة مع الدعم - ربما للدردشة مع ممثل (ممثلي) التهديد
  • فك التشفير التجريبي - لفك تشفير أي ملف أقل من 1 ميغابايت
• لم تحتوي العينات على أي لقطات شاشة للاتصال، ومع ذلك، فمن الممكن أن يكون التواصل المباشر مع الجهات الفاعلة في التهديد ممكنًا عبر نظام الدردشة.

معلومات من منشور تويتر

تم الحصول على المعلومات التالية من مستودع GitHub الذي تمت مشاركته على Twitter:

• تم إنشاء المستودع من قبل مستخدم اسمه 0Verust.
• تم العثور على مستودع آخر مستنسخ مع المستودع الأصلي بالاسم عاشق الصدأ.
• عند استخراج المستودع وتنفيذ التطبيق، يتم تشفير جميع الملفات باستخدام ملحق. solibit وتظهر نافذة SolidBit ransomware المنبثقة التي تحتوي على مذكرة الفدية.

تحليل الكود

• يتم استخدام الإضافات التالية بواسطة برنامج الفدية لإيقاف أي عمليات مسح مجدولة وتجاوز الفحص في الوقت الحقيقي لمجلدات وملفات متعددة بواسطة Windows Defender:
  • %ملف تعريف المستخدم%
  • %بيانات التطبيق%،
  • %درجة الحرارة+%،
  • %جذر النظام%،
  • % هوم درايف%،
  • %محرك النظام%
  • .exe
  • .dll
• يقوم البرنامج بتعطيل عمليات فحص الملفات أعلاه باستخدام الأمر التالي:

md/c powershell - الأمر «تفضيل الإضافة إلى MP - مسار الاستبعاد @ ($env: ملف تعريف المستخدم، $env: بيانات التطبيق، $env: Temp، $env: جذر النظام، $env: محرك أقراص النظام) - القوة» و powershell - الأمر «إضافة تفضيل - ملحق الاستبعاد @ ('exe'، 'dll') - القوة» والخروج؛

• بعد أن يتجاوز التطبيق بنجاح برنامج windows defender ويحظر التطبيقات الأخرى، يمكن رؤية نافذة SolidBit المنبثقة ويتم تشفير جميع الملفات الآن بالامتداد . سوليد بت

[معرف التسمية التوضيحية = «المرفق _20324" aligncenter «العرض ="1146"] تظهر واجهة مستخدم SolidBit Ransomware بعد تشفير الملفات [/caption]

مؤشرات التسوية (IOCs)

استنادًا إلى أبحاث برامج الفدية، إليك بعض عمليات IOC: MD5ee04ab5fd2ae9301b9992922e70128fشا-169 دي 79431 ص 339 د 81 دابا 44 قدم 30 × 945 قدم 67875140شا-256EEB0A884 D4EABC4F8811 ECAA3E37 ACC8156C52B60a89537C5498 DF4C0E0C21F7EDD16F42 DE6B9532E970 C0F5F6CD56CD5A0B9C4048B2 D3A155953 DD5C5F5418النطاقاتالصلبة b2jco 63vbhx4sfinqmwhtdjk4jbgq7a24 سم zzkfse4rduxgid.on.lyأسماء الملفاتC:\Users\admin\AppData\Roaming\SolidBit.exeC:\ المستخدمون\ المشرف\ سطح المكتب\ RESTORE-MY-FILES.txt C:\Users\admin\AppData\Local\Temp\SolidBit.exe

التأثير والتخفيف

التأثيرالتخفيف

• خسارة مالية نتيجة إيقاف العمليات و/أو الفدية.
• الإضرار بسمعة الشركة.
• إذا كان النظام المشفر يحتوي على بيانات مهمة لم يتم نسخها احتياطيًا، فلن يُترك للضحية أي خيار سوى دفع الفدية.
• إذا لم يتم دفع الفدية، يمكن للمجموعة بيع بيانات الضحية على موقع العلاقات العامة الخاص بها أو على الويب المظلم.
• يمكن أن تكشف التفاصيل المكشوفة عن الممارسات التجارية والملكية الفكرية.

• قم بمراجعة ومراقبة سجلات الأحداث والحوادث لتحديد الأنماط والسلوكيات غير العادية.
• يعمل على تمكين الأدوات والتطبيقات التي تمنع تنفيذ البرامج الضارة.
• فرض إجراءات حماية البيانات والنسخ الاحتياطي والاسترداد.
• قم بتحديث وتصحيح نقطة ارتكاز البنية التحتية مثل الخوادم وأنظمة الكمبيوتر وما إلى ذلك.

المراجع

• *مصدر الذكاء وموثوقية المعلومات - ويكيبيديا
• ^#بروتوكول إشارات المرور - ويكيبيديا
• SolidBit Ransomware تدخل مشهد RaaS وتستهدف اللاعبين ومستخدمي وسائل التواصل الاجتماعي باستخدام متغير جديد (trendmicro.com)

الملحق

[معرف التسمية التوضيحية = «المرفق _20325" alignnone» العرض = «1278"] محتويات ملف RESTORE-MY-FILES.txt [/caption] [معرف التسمية التوضيحية = «المرفق _20326" align= «alignnone» width="583"] جميع الملفات التي يتم تشفيرها ولها الامتداد .SolidBit [/caption] [معرف التسمية التوضيحية = «المرفق _20327" align= «alignnone» width="888"] صفحة تسجيل الدخول لبرنامج SolidBit ransomware (الرابط المقدم في ملف المفكرة) [/caption] [معرف التسمية التوضيحية = «المرفق _20328" align= «alignnone» width="717"] صفحة تسجيل الدخول لموقع SolidBit بعد تسجيل الدخول باستخدام معرف فك التشفير الصحيح. [/caption] [معرف التسمية التوضيحية = «المرفق _20329" aligncenter «العرض ="958"] تم نشر عينة SolidBit بواسطة محلل البرامج الضارة على تويتر [/caption] [معرف التسمية التوضيحية = «المرفق _20330" aligncenter «العرض ="883"] تطبيق ضار على Github يحتوي على برنامج الفدية SolidBit. [/التسمية التوضيحية]