تتزايد التهديدات السيبرانية مع ظهور أساليب جديدة مثل رانسوم وير LeakNet، الذي يستخدم ClickFix للوصول الأولي.
تطورات في هجوم رانسوم وير LeakNet باستخدام ClickFix
تستخدم عملية رانسوم وير المعروفة باسم LeakNet أسلوب ClickFix عبر مواقع الويب المخترقة كطريقة للوصول الأولي.
تعتبر استخدام ClickFix، حيث يتم خداع المستخدمين لتشغيل أوامر ضارة يدويًا لمعالجة أخطاء غير موجودة، تحولًا عن الاعتماد على الطرق التقليدية للحصول على الوصول الأولي، مثل البيانات المسروقة التي يتم الحصول عليها من وسطاء الوصول الأولي (IABs)، كما ذكرت ReliaQuest في تقرير فني نُشر اليوم.
استخدام Deno كحمولة خبيثة
الجانب الثاني المهم في هذه الهجمات هو استخدام محمل الأوامر والتحكم (C2) المبني على بيئة تشغيل JavaScript Deno لتنفيذ الحمولة الضارة مباشرة في الذاكرة.
“الاستنتاج الرئيسي هنا هو أن كلا مساري الدخول يؤديان إلى نفس تسلسل ما بعد الاستغلال القابل للتكرار في كل مرة،” كما قالت الشركة المتخصصة في الأمن السيبراني. “هذا يوفر للدفاعين شيئًا ملموسًا للعمل عليه: سلوكيات معروفة يمكنك اكتشافها وتعطيلها في كل مرحلة، قبل نشر الرانسوم وير، بغض النظر عن كيفية دخول LeakNet.”
ظهور LeakNet
ظهر LeakNet لأول مرة في نوفمبر 2024، حيث وصف نفسه بأنه “مراقب رقمي” وأطر أنشطته على أنها تركز على حرية الإنترنت والشفافية. وفقًا للبيانات التي تم التقاطها بواسطة Dragos، استهدفت المجموعة أيضًا الكيانات الصناعية.
مزايا ClickFix
يقدم استخدام ClickFix لاختراق الضحايا عدة مزايا، أهمها أنه يقلل من الاعتماد على الموردين الخارجيين، ويخفض تكلفة الاستحواذ لكل ضحية، ويزيل عنق الزجاجة التشغيلي المتمثل في انتظار حسابات قيمة لتظهر في السوق.
في هذه الهجمات، تُستخدم المواقع الشرعية ولكن المخترقة لتقديم فحوصات تحقق CAPTCHA مزيفة تُ instruct المستخدمين لنسخ ولصق أمر “msiexec.exe” في مربع تشغيل Windows. لا تقتصر الهجمات على عمود صناعي معين، بل تسعى إلى إصابة أكبر عدد ممكن من الضحايا.
تأتي هذه التطورات في الوقت الذي يقوم فيه المزيد من المهاجمين بتبني أسلوب ClickFix، حيث يستغلون سير العمل الموثوق به والمعتاد لإغراء المستخدمين بتشغيل أوامر خبيثة عبر أدوات Windows الشرعية بطريقة تبدو روتينية وآمنة.
استراتيجيات LeakNet
“تعتبر اعتماد LeakNet على ClickFix توسعًا موثقًا لأول مرة في قدرة المجموعة على الوصول الأولي وتحول استراتيجي مهم،” كما قالت ReliaQuest.
“من خلال الابتعاد عن IABs، يزيل LeakNet اعتمادًا كان يقيد بشكل طبيعي سرعة ونطاق عملياته. ونظرًا لأن ClickFix يتم تسليمه عبر مواقع شرعية ولكن مخترقة، فإنه لا يقدم نفس الإشارات الواضحة على مستوى الشبكة مثل البنية التحتية المملوكة للمهاجمين.”
بجانب استخدام ClickFix لبدء سلسلة الهجوم، يُعتقد أن LeakNet يستخدم محملًا مبنيًا على Deno لتنفيذ JavaScript مشفر بتنسيق Base64 مباشرة في الذاكرة لتقليل الأدلة الموجودة على القرص وتجنب الكشف. تم تصميم الحمولة لتحديد بصمة النظام المخترق، والتواصل مع خادم خارجي لجلب البرمجيات الخبيثة للمرحلة التالية، والدخول في حلقة استقصاء تقوم باستمرار بجلب وتنفيذ كود إضافي عبر Deno.
على نحو منفصل، قالت ReliaQuest إنها رصدت أيضًا محاولة اقتحام استخدم فيها المهاجمون تصيدًا عبر Microsoft Teams لخداع مستخدم في تشغيل سلسلة حمولة انتهت بمحمل مشابه مبني على Deno. بينما تظل هذه الأنشطة غير منسوبة، فإن استخدام نهج “اجلب بيئتك الخاصة” (BYOR) إما يشير إلى توسيع قنوات الوصول الأولي لـ LeakNet، أو أن مهاجمين آخرين قد تبنوا هذه التقنية.
الأنشطة بعد الاختراق
تتبع أنشطة LeakNet بعد الاختراق منهجية متسقة: تبدأ باستخدام تحميل DLL الجانبي لإطلاق DLL ضار تم تسليمه عبر المحمل، تليها حركة جانبية باستخدام PsExec، واستخراج البيانات، والتشفير.
“تشغل LeakNet cmd.exe /c klist، وهو أمر مدمج في Windows يعرض بيانات الاعتماد النشطة على النظام المخترق. هذا يخبر المهاجم أي حسابات وخدمات يمكن الوصول إليها بالفعل دون الحاجة لطلب بيانات اعتماد جديدة، بحيث يمكنهم التحرك بشكل أسرع وأكثر دقة،” كما قالت ReliaQuest.
“بالنسبة للتخزين والاستخراج، تستخدم LeakNet دلو S3، مستغلة مظهر حركة المرور السحابية العادية لتقليل بصمتها في الكشف.”
توجهات جديدة في عالم الرانسوم وير
تأتي هذه التطورات في الوقت الذي كشفت فيه Google أن Qilin (المعروفة أيضًا باسم Agenda)، Akira (المعروفة أيضًا باسم RedBike)، Cl0p، Play، SafePay، INC Ransom، Lynx، RansomHub، DragonForce (المعروفة أيضًا باسم FireFlame وFuryStorm)، وSinobi ظهرت كأعلى 10 علامات رانسوم وير مع أكبر عدد من الضحايا المزعومين على مواقع تسريب بياناتهم.
“في ثلث الحوادث، تم تأكيد أو الاشتباه في أن وسيلة الوصول الأولية كانت استغلال الثغرات، وغالبًا ما كانت في VPNs وجدران الحماية الشائعة،” كما قالت مجموعة Google للاستخبارات التهديدية (GTIG)، مضيفة أن 77% من عمليات اختراق الرانسوم وير التي تم تحليلها تضمنت سرقة بيانات مشبوهة، بزيادة من 57% في 2024.
“على الرغم من الاضطرابات المستمرة الناجمة عن صراعات المهاجمين، لا يزال المهاجمون مدفوعين بشكل كبير ويظهر نظام الابتزاز مرونة مستمرة. تشير عدة مؤشرات إلى أن الربحية الإجمالية لهذه العمليات تتراجع، وأن بعض المهاجمين يغيرون استراتيجياتهم بعيدًا عن الشركات الكبيرة للتركيز بدلاً من ذلك على هجمات ذات حجم أعلى ضد منظمات أصغر.”
تتطلب هذه التطورات في عالم الرانسوم وير وعيًا متزايدًا من الأفراد والشركات لحماية أنفسهم من الهجمات الإلكترونية.
