تنبيه بشأن برامج الفدية: هجوم راغنار لوكر يستخدم آلة افتراضية لتجاوز إجراءات الأمان

كشفت شركة Sophos للأمن السيبراني، ومقرها المملكة المتحدة، عن هجوم برنامج الفدية Ragnar Locker الذي يستخدم آلة افتراضية لتجاوز الإجراءات الأمنية.

كشفت شركة الأمن السيبراني "سوفوس" عن تفاصيل هجوم "راجنار لوكر" الذي يستهدف الشركات ويطالب بفدية ضخمة. يستخدم الهجوم جهازًا افتراضيًا لإصابة أجهزة الكمبيوتر المستهدفة، مما يسمح له بتجاوز حماية برامج مكافحة الفيروسات المحلية.

برنامج الفدية Ragnar Locker

تستهدف برامج الفدية عادةً الشركات بدلاً من الأفراد، وتطلب مبالغ طائلة لفك تشفير ملفاتهم. وقدّم تقرير شركة سوفوس مثالاً على شركة إنرجياس دي بورتوغال، التي سُرقت منها عشرة تيرابايت من البيانات، وطُلب فدية قدرها 1850 بيتكوين (ما يعادل 14.5 مليون دولار أمريكي بسعر التداول الحالي). وهُدّدت الشركة بأنه في حال عدم دفع الفدية، سيقوم المهاجمون بنشر البيانات للعموم.

يُخفي المهاجم ملفًا تنفيذيًا صغيرًا لبرنامج الفدية داخل صورة افتراضية، ويُخفيه على هيئة برنامج تثبيت. ووفقًا لتقرير شركة سوفوس، "كانت حمولة الهجوم عبارة عن برنامج تثبيت بحجم 122 ميجابايت مع صورة افتراضية بحجم 282 ميجابايت"، وذلك لإخفاء ملف تنفيذي لبرنامج الفدية بحجم 49 كيلوبايت.

يستهدف المهاجمون اتصالات بروتوكول سطح المكتب البعيد (RDP) في نظام ويندوز لتأسيس موطئ قدم على الشبكات المستهدفة. وبمجرد حصول المهاجم على صلاحيات المسؤول، ينتقل عبر الشبكة إلى العملاء والخوادم باستخدام أدوات ويندوز الأصلية مثل PowerShell وكائنات نهج المجموعة (GPOs).

تزايدت هجمات برامج الفدية التي تطلب فدية مالية لفك تشفير الملفات في السنوات الأخيرة. ومؤخراً، Cryptopolitan أفاد أن نجمة البوب ​​مادونا كانت هدفاً لعملية ابتزاز فدية بالعملات المشفرة من قبل شركة REvil. وكان المهاجمون يعتزمون بيع معلومات حساسة تخص مادونا في مزاد علني يوم 25 مايو/أيار، بسعر ابتدائي مليون دولار أمريكي.