تعريف الفيروس

نوع الفيروس: تهديد مستعصٍ متقدم

ما هو Carbanak؟

Carbanak هو الاسم الذي نطلقه على حملة ذات نمط تهديد مستعصٍ متقدم تستهدف المؤسسات المالية (على سبيل المثال لا الحصر). وبالرغم من تصنيف التهديد ضمن فئة التهديدات المستعصية المتقدمة، غير أنّ هذا الهجوم على وجه التحديد ليس متقدمًا بالمعنى الدقيق للكلمة. بالأحرى، إن أردنا وصف المهاجمين، فإنّ سمتهم الأساسية هي الإصرار.

يخترق المهاجمون شبكة الضحية ليبحثوا فيها عن النظام المهم الذي يمكن أن يستخدموه لسحب المال. وبمجرد أن ينجحوا في سرقة مبلغ كبير من المال (من 2.5 إلى 10 مليار دولار أمريكي من كل ضحية)، ينتقلون إلى ضحية أخرى.

ما مدى اختلاف هذا النوع من التهديدات عن هجمات التهديدات المستعصية المتقدمة الأخرى؟

يكمُن الاختلاف الرئيسي فيها مقارنةً بهجمات التهديدات المستعصية المتقدمة الأخرى في أن هدف المهاجمين الأساسي هو المال لا البيانات.

استخدمت عصابة Carbanak الإجرامية المسؤولة عن السرقة الإلكترونية أساليب مأخوذة من مجموعة الهجمات المستهدفة. يسجل هذا المخطط بداية مرحلة جديدة من تطوّر نشاط المجرمين الإلكترونيين، بحيث يقوم المستخدمون الضارون بسرقة الأموال مباشرةً من المصارف، ويتجنبون استهداف المستخدمين النهائيين.

هل تكتشف منتجات Kaspersky Lab جميع أشكال هذا البرنامج الضار؟

نعم، نكتشف عينات من Carbanak مثل Backdoor.Win32.Carbanak وBackdoor.Win32.CarbanakCmd.

تكشف كل منتجات وحلول شركة Kaspersky Lab عينات Carbanak المعروفة. ولرفع مستوى الحماية، يوصى بتشغيل وحدة الحماية الاستباقية من Kaspersky المضمّنة في كل منتج وحل حديث.

كذلك لدينا بعض التوصيات العامة:

  • عدم فتح رسائل البريد الإلكتروني المشبوهة، ولا سيما إذا احتوت على مرفق؛
  • تحديث برامجك (لم يُستخدَم الهجوم دون انتظار في هذه الحملة)
  • تشغيل المناهج التجريبية في مجموعات برامج الأمن الخاصة بك، وبهذه الطريقة تزيد احتمالية اكتشاف مثل هذه العينات الجديدة وإيقافها من البداية.

كيف تحدد الاختراق؟

توجد معلومات عن مؤشرات الاختراق متضمنة في الورقة البحثية الفنية المفصَّلة الخاصة بنا.

تحث Kaspersky Lab كل المؤسسات المالية على أن تفحص شبكاتها بعناية للبحث عن وجود Carbanak، وإذا اكتشفوه، فيجب إبلاغ هيئة تنفيذ القانون بهذا الاختراق.

حتى الآن، لاحظنا هدفين أساسيين للمهاجمين:

  • جمع المعلومات
  • تسهيل أنواع أخرى من الهجمات

حتى الآن، تم تحديد ضحايا Regin في 14 دولة:

  • الجزائر
  • أفغانستان
  • بلجيكا
  • البرازيل
  • فيجي
  • ألمانيا
  • إيران
  • الهند
  • إندونيسيا
  • كيريباتي
  • ماليزيا
  • باكستان
  • روسيا
  • سوريا

في الإجمال، أحصينا 27 ضحية مختلفة، إلا أنه تجدر الإشارة إلى أن تعريف الضحية هنا يشير إلى كيان كامل، بما في ذلك شبكته بالكامل. وبالطبع فإن عدد الحواسيب الشخصية الفريدة المصابة بنظام Regin الأساسي أكثر بكثير.

هل هذه الهجمات تتم برعاية دولة قومية؟

عند النظر في مدى تعقّد نظام Regin وتكلفة تطويره، فإنه من المرجح أن تكون هذه العملية مدعومة من دولة قومية.

ما هي الدولة التي وراء هجوم Regin؟

يظل تحديد الجاني مشكلة بالغة الصعوبة عندما يتعلق الأمر بمهاجمين محترفين مثل المتسببين في هجوم Regin.

هل هناك مؤشرات اختراق (IOC) بإمكانها مساعدة الضحايا على الكشف عن الاختراق؟

نعم، تم تضمين معلومات مؤشرات الاختراق في l الورقة البحثية الفنية التي أعددناها.