🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
استخبارات الخصم

تتبع مشغلي برنامج BlueSky Ransomware الناشئ حديثًا

اكتشفت منصة XviGil للمخاطر الرقمية السياقية الخاصة بالذكاء الاصطناعي التابعة لـ CloudSek مجموعة برامج الفدية ذات الدوافع المالية، والتي يُطلق عليها اسم BlueSky، ويُعتقد أنها مرتبطة بمجموعة Conti ransomware.
تم التحديث بتاريخ
April 16, 2026
تم النشر في
July 14, 2022
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
الفئة: استخبارات الخصمالصناعة: متعددالتحفيز: الماليةالمنطقة: عالميالمصدر: C2

ملخص تنفيذي

تهديدتأثيرتخفيف
  • تستهدف برامج الفدية BlueSky بنشاط المنظمات وتطالب بفدية في BTC.
  • من المتوقع أن يكون لديك اتصالات مع مجموعة Conti ransomware.
  • الوصول إلى شبكة المؤسسة والبنية التحتية.
  • يمكن أن تكشف بيانات الاعتماد المكشوفة عن ممارسات الأعمال والملكية الفكرية.
  • قم بتنفيذ سياسة كلمة المرور القوية و MFA.
  • قم بتنفيذ تكوينات الأمان على أجهزة البنية التحتية للشبكة.

التحليل والإسناد

معلومات من البريد

  • كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت مجموعة رانسوم وير ذات دوافع مالية، يطلق عليها اسم بلو سكاي، من المتوقع أن يكون متصل بـ ال مجموعة كونتي رانسومواري.
  • يقوم برنامج Bluesky ransomware بتشفير ملفات الضحية باستخدام '. بلوسكي' التمديد والقطرات أ مذكرة الفدية.
  • تم تسجيل عناوين BTC متعددة مقابل الفدية التي طلبتها BlueSky مما يشير إلى إعطاء الضحايا المختلفين عناوين BTC مختلفة.
  • يشير منشور على تويتر إلى أن أحد عناوين BTC قد تعامل مع حوالي 1.59 BTC بينما الآخر ليس لديه معاملات مسجلة حتى الآن.

معلومات من OSINT

  • تم اكتشاف عينة BlueSky ransomware على شبكة الويب المفتوحة تحت اسم ملف 'javaw.exe ' بحجم 71 كيلوبايت.
  • تم العثور على ملف 'javaw.exe' ليتم إسقاطه بواسطة ملف آخر يسمى '2.ps1'، وهو ملف نصي بحجم 16.84 كيلوبايت.
  • يكشف المزيد من التحقيقات أن 2.ps1 تواصلت مع نطاق مزيف ينتحل شخصية منشط شبكة KMS أوتو، أقدم أداة تنشيط.
[معرف التسمية التوضيحية = «المرفق _19994" aligncenter «العرض ="1141"]Screenshot of a KMS Auto website that seems to be legitimate لقطة شاشة لموقع KMS Auto يبدو شرعيًا [/caption] ربما يتصل الملف الضار 2.ps1 كخادم C2 مع المجال المزيف (https://kmsauto.us/someone/l.exe).
  • يمكن إسقاط الملفات التنفيذية المختلفة، بما في ذلك برنامج BlueSky ransomware، باستخدام المسار: https [:] //kmsauto [.] us/someone.
  • يكشف تحقيق CloudSek أنه يمكن تنفيذ الثنائيات الضارة التالية باستخدام المسار المذكور أعلاه:
    • بطاطس غنية بالعصارة
    • CVE-2022-21882
    • CVE-2020-0796 المعروف أيضًا باسم SMBGhost
    • بلوسكاي رانسوم وير

مشغل الموقع

  • سجلات Whois وDNS قدم عنوان البريد الإلكتروني المسجل ورقم الاتصال المرتبط بموقع الويب الضار kmsauto [.] us، المسجل في 1 سبتمبر 2020.
المشرف XXXXXXالمشرف [email protected] الهاتف+XXXXxxxxx
  • تكشف الأبحاث الإضافية أن رقم الاتصال ينتمي إلى منطقة كراسنودار في روسيا وهو نشط أيضًا على WhatsApp.
[معرف التسمية التوضيحية = «المرفق 19995" align= «aligncenter» width="388"]Details associated with the contact number registered on Whois التفاصيل المرتبطة برقم الاتصال المسجل على Whois [/caption]
  • يكشف تحليل نشاط البريد الإلكتروني أن التعديل الأخير تم إجراؤه في عام 2021، بعد عام من تسجيل النطاق.
[معرف التسمية التوضيحية = «المرفق 19996" align= «aligncenter» width="1025"]Details associated with the email address registered on Whois التفاصيل المرتبطة بعنوان البريد الإلكتروني المسجل على Whois [/caption] من المرجح أن يكون مشغل موقع الويب من روسيا للأسباب التالية:
  • لديهم إشارات على وسائل التواصل الاجتماعي على VK وهي أكبر خدمة وسائط وشبكات اجتماعية روسية.
  • تحتوي الصفحات التالية على الموقع على كلمات روسية تُترجم بشكل فضفاض إلى الإجرام والدين والاقتصاد.
    • https [:] //kmsauto [.] الولايات المتحدة/v-mire/
    • https [:] //kmsauto [.] الولايات المتحدة/المجرمة/
    • https [:] //kmsauto [.] الولايات المتحدة/الدينية/
    • https [:] //kmsauto [.] الولايات المتحدة/الاقتصاد/

روابط مع كونتي رانسومواري

يُعتقد أن برنامج الفدية BlueSky له اتصالات مع برنامج Conti ransomware للأسباب التالية:
  • تم وضع علامة عليه جنبًا إلى جنب مع برنامج Conti ransomware في تحليل الملفات المختلفة محركات ومواقع مشاركة العينات.
  • تشترك المجموعتان في مثيلات التوقيع الشائعة.
[معرف التسمية التوضيحية = «المرفق _19997" aligncenter «العرض ="1241"]Screenshot of the BlueSky & Conti ransomwares tagged together لقطة شاشة لبرمجيات الفدية BlueSky & Conti التي تم وضع علامة عليها معًا [/caption]

التأثير والتخفيف

التأثيرالتخفيف
  • التسلل إلى البنية التحتية للمنظمة وشبكتها.
  • تسرب الممارسات التجارية الهامة والملكية الفكرية (IP).
  • راقب الحالات الشاذة في حسابات المستخدمين، والتي قد تشير إلى عمليات استحواذ محتملة للحساب.
  • قم بتنفيذ تكوينات الأمان على أجهزة البنية التحتية للشبكة.

مؤشرات التسوية (IOCs)

استنادًا إلى نتائج VirusTotal وTriage، فيما يلي العناصر الأولية لبرامج الفدية BlueSky. MD5دي 8a44d2ed345fe7c8e24d998f805d9شا-1d8369 cb0d8 ccec95b2a49b34a7749b608661شا-2563e035f2d7d7d30869 ce53171 ef5a0f761 bfb9c14d94d9f1f2f6dمذكرة الفديةC:\msocache\ # فك تشفير ملفات بلوسكي #.txtبروتوكول IPv4https://kmsauto.us/someone/l.exe

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق 19998" align= «aligncenter» العرض = «1268"]Image of Bluesky decrypter صورة برنامج فك تشفير بلوسكي [/caption]
< B L U E S K Y ><<>> تم تشفير الملفات والمستندات والصور ومقاطع الفيديو وقواعد البيانات المهمة الخاصة بك! الطريقة الوحيدة لفك تشفير ملفاتك واستعادتها هي باستخدام مفتاحنا الخاص وبرنامجنا. ستؤدي أي محاولات لاستعادة ملفاتك يدويًا إلى إتلاف ملفاتك. لاستعادة الملفات الخاصة بك، اتبع التعليمات التالية: ---------------------------------------------- 1. قم بتنزيل وتثبيت «متصفح تور» من https://torproject.org/ 2. قم بتشغيل «متصفح Tor» 3. في متصفح tor، افتح موقع الويب: http://ccpyeuptrlatb2piua4ukhnhi7lrxgerrcrj4p2b5uhbzqm2xgdjaqid.onion 4. على موقع الويب، أدخل معرف الاسترداد الخاص بك: معرف الاسترداد: 1 cb4ef8d3f4652f6e33e870 c57df5db5c70c70c70c9f61eba6078 cdc257ee32 1efcd830d6a60e7584a012ae9164852 ed112 adc9f1f1f1f8825cf341 a09d608 6b83089 f168c645 fa748435 d01718 c3b8202a094a2397 c36ee7da7dc31a372b7a6b52b60768b51610 d92b8ae0ecf31504a0b3b31aa76c047 5. اتبع التعليمات ----------------------------------------------
ملاحظة الفدية التي تركها برنامج الفدية BlueSky [معرف التسمية التوضيحية = «المرفق _19999" aligncenter «العرض ="551"]DNS records for the URL: kmsauto[.]us سجلات DNS لعنوان URL: kmsauto [.] us [/caption] [معرف التسمية التوضيحية = «المرفق _20000" aligncenter «العرض = «1079"]Screenshot of the fake website associated with KMS Auto that drops BlueSky ransomware لقطة شاشة لموقع الويب المزيف المرتبط بـ KMS Auto الذي يسقط برنامج BlueSky ransomware [/caption] [معرف التسمية التوضيحية = «المرفق _20001" aligncenter «العرض = «1040"]Whois records of the domains kmsauto[.]us سجلات Whois للنطاقات kmsauto [.] us [/caption] [معرف التسمية التوضيحية = «المرفق _20002" aligncenter «العرض = «447"]Image of different paths on the malicious website صورة لمسارات مختلفة على موقع الويب الضار [/caption]
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد