منذ بعض الوقت، أصبح إنشاء برامج الفدية قطاعًا من قطاعات البنية التحتية، وذلك مع خدمة الدعم الفني والمراكز الصحفية والحملات الإعلانية. وكما هو الحال مع أي قطاع آخر، يتطلب إنشاء منتج تنافسي التحسين المستمر. وعلى سبيل المثال، فإن LockBit يعتبر الأحدث في سلسلة من مجموعات الجرائم الإلكترونية التي تعلن عن إمكانية أتمتة إصابة أجهزة الكمبيوتر المحلية باستخدام وحدة تحكم النطاق.
يتبع LockBit برامج الفدية كنموذج خدمة (RaaS)، كما يقوم بتزويد عملائه (المهاجمين الفعليين) بالبنية التحتية والبرامج الضارة، ويتلقى حصة من الفدية. تقع مسؤولية اقتحام شبكة الضحية على عاتق المقاول، وفيما يتعلق بتوزيع برامج الفدية عبر الشبكة، فقد صمم LockBit تقنية مثيرة للاهتمام إلى حد ما.
توزيع LockBit 2.0
بعد وصول المهاجمين إلى الشبكة والوصول إلى وحدة تحكم النطاق، حسب تقارير Bleeping Computer، يقومون بتشغيل البرامج الضارة الخاصة بهم عليها، وبالتالي إنشاء سياسات مجموعة مستخدمين جديدة، والتي يتم دفعها تلقائيًا بعد ذلك إلى كل جهاز على الشبكة. تعمل السياسات أولًا على تعطيل تقنية الأمان المضمنة في نظام التشغيل. تقوم السياسات الأخرى بعد ذلك بإنشاء مهمة مجدولة على جميع أجهزة Windows لتشغيل برنامج الفدية القابل للتنفيذ.
يستشهد Bleeping Computer بالباحث Vitali Kremez عندما قال إن برنامج الفدية يستخدم واجهة برمجة تطبيقات Windows Active Directory لإجراء استعلامات البروتوكول الخفيف لتغيير بيانات الدليل (LDAP)، وذلك للحصول على قائمة بأجهزة الكمبيوتر. ثم يتجاوز LockBit 2.0 التحكم في حساب المستخدم (UAC) ويعمل بصمت، دون تشغيل أية تنبيهات على الجهاز الذي يتم تشفيره.
ومن الواضح أن هذا يمثل أول انتشار من نوعه للبرامج الخبيثة من خلال سياسات مجموعات المستخدمين. بالإضافة إلى ذلك، يقوم LockBit 2.0 بتسليم ملاحظات فدية بشكل غريب، وذلك بطباعة الملاحظة على جميع الطابعات المتصلة بالشبكة.
كيف يمكنني حماية شركتي من التهديدات المماثلة؟
ضع في اعتبارك أن وحدة التحكم بالنطاق هي حقًا خادم لنظام التشغيل Windows، ولذا؛ تحتاج إلى الحماية. يأتي Kaspersky Security for Windows Server مع معظم حلول أمان نقطة النهاية الخاصة بنا لـ للأعمال ويحمي الخوادم التي تعمل بنظام Windows من معظم التهديدات الحديثة، لهذا، يجب أن يكون جزءًا من ترسانة أمانك.
ومع ذلك، فإن انتشار برامج الفدية عبر سياسات المجموعة يمثل المرحلة الأخيرة من الهجوم. ينبغي أن يظهر النشاط الخبيث في وقت أبكر بكثير، مثلًا عندما يدخل المهاجمون الشبكة أولًا أو يحاولون الاستيلاء على وحدة تحكم النطاق. إن حلول للكشف والاستجابة المُدارة ما هي إلا حلول فعالة من أجل اكتشاف علامات هذا النوع من الهجوم.
والأهم من ذلك أن مجرمي الإنترنت غالبًا ما يستخدمون تقنيات الهندسة الاجتماعية والبريد الإلكتروني الاحتيالي للحصول على وصول أولي. لمنع موظفيك من الوقوع في مثل هذه الحيل، قم بتحسين الوعي بالأمن السيبراني من خلال التدريب المنتظم.