يكتشف مهاجمو برامج الفدية طرقًا جديدة لتسليح الثغرات الأمنية القديمة

يكتشف مهاجمو برامج الفدية طرقًا جديدة لاستغلال نقاط ضعف أمان المؤسسات من خلال تسليح الثغرات الأمنية القديمة.

من خلال الجمع بين أدوات هجوم برامج الفدية طويلة الأمد وأحدث تقنيات الذكاء الاصطناعي والتعلم الآلي ، تواصل عصابات الجريمة المنظمة ومجموعات التهديدات المستمرة المتقدمة (APT) ابتكار المؤسسات.

كشف تقرير جديد صادر عن Cyber ​​Security Works (CSW) و Ivanti و Cyware و Securin عن الخسائر المدمرة لبرامج الفدية على المؤسسات على مستوى العالم في عام 2022. وتم اكتشاف 76٪ من الثغرات الأمنية التي يتم استغلالها حاليًا بواسطة مجموعات برامج الفدية لأول مرة بين عامي 2010 و 2019.

تتصدر برامج الفدية جدول أعمال CISOs وقادة العالم على حد سواء

حدد تقرير 2023 Spotlight بعنوان “Ransomware من خلال عدسة إدارة التهديدات والضعف” 56 ثغرة أمنية جديدة مرتبطة بتهديدات برامج الفدية في عام 2022 ، ووصلت إلى إجمالي 344 نقطة – بزيادة قدرها 19٪ عن 288 التي تم اكتشافها اعتبارًا من عام 2021. وجدت أنه من بين 264 ثغرة قديمة ، 208 منها بها برمجيات إكسبلويت متاحة للجمهور.

هناك 160344 ثغرة أمنية مدرجة في قاعدة البيانات الوطنية للثغرات الأمنية (NVD) ، منها 3.3٪ (5،330) تنتمي إلى أخطر أنواع برمجيات إكسبلويت – تنفيذ التعليمات البرمجية عن بُعد (RCE) وتصعيد الامتيازات (PE). من بين 5330 نقطة ضعف مُسلحة ، 344 مرتبطة بـ 217 عائلة من برامج الفدية و 50 مجموعة من مجموعات التهديدات المستمرة المتقدمة (APT) ، مما يجعلها خطيرة للغاية.

قال سرينيفاس موكامالا ، مدير المنتج في Ivanti: “تعد برامج الفدية على رأس أولويات كل مؤسسة ، سواء في القطاع الخاص أو العام”. “تم وضع مكافحة برامج الفدية على رأس جدول أعمال قادة العالم نظرًا للأداة المتزايدة التي يتم وضعها على المنظمات والمجتمعات والأفراد. من الضروري أن تفهم جميع المنظمات حقًا سطح هجومها وأن توفر أمانًا متعدد الطبقات لمنظمتها حتى تتمكن من الصمود في مواجهة الهجمات المتزايدة “.

ما يعرفه مهاجمو برامج الفدية

تكرس مجموعات الجريمة المنظمة وجماعات APT الممولة تمويلًا جيدًا أعضاء فرقهم لدراسة أنماط الهجوم ونقاط الضعف القديمة التي يمكنهم استهدافها دون أن يتم اكتشافهم. وجد تقرير 2023 Spotlight أن مهاجمي برامج الفدية يتحركون بشكل روتيني تحت رادار ماسحات الثغرات الأمنية الشائعة ، بما في ذلك أجهزة Nessus و Nexpose و Qualys. يختار المهاجمون الثغرات الأمنية الأقدم للهجوم بناءً على مدى قدرتهم على تجنب الاكتشاف.

حددت الدراسة 20 نقطة ضعف مرتبطة ببرامج الفدية التي لم تتوفر لها بعد. يشير مؤلفو الدراسة إلى أن هذه تشمل جميع نقاط الضعف المرتبطة ببرامج الفدية التي حددوها في تحليلهم خلال الربع الماضي ، مع إضافتين جديدتين – CVE-2021-33558 (Boa) و CVE-2022-36537 (Zkoss).

علمت VentureBeat أن مهاجمي برامج الفدية يعطي الأولوية أيضًا لإيجاد سياسات التأمين الإلكتروني للشركات وحدود تغطيتها. يطلبون فدية في مقدار التغطية القصوى للشركة. هذا الاكتشاف يتماشى مع مقابلة فيديو تم تسجيلها مؤخرًا من Paul Furtado ، محلل VP ، Gartner. هجمات برامج الفدية: ما يحتاج قادة تكنولوجيا المعلومات إلى معرفته لمحاربة يظهر مدى انتشار هذه الممارسة ولماذا أصبح تسليح الثغرات الأمنية القديمة أمرًا شائعًا اليوم.

قال فرتادو إن “الجهات الفاعلة السيئة كانت تطلب 2 مليون دولار دفعة من رانسومواري. [The victim] أخبر الممثلين السيئين أنهم لا يملكون 2 مليون دولار. في المقابل ، أرسل لهم الفاعلون السيئون نسخة من بوليصة التأمين الخاصة بهم والتي أظهرت أن لديهم تغطية.

“هناك شيء واحد عليك أن تفهمه مع برامج الفدية ، على عكس أي نوع آخر من الحوادث الأمنية التي تحدث ، فهو يضع عملك في عداد مؤقت للعد التنازلي.”

انتشار الثغرات المسلحة بسرعة

تميل المؤسسات متوسطة الحجم إلى أن تكون الأكثر تضررًا من هجمات برامج الفدية لأنه مع ميزانيات الأمن السيبراني الصغيرة ، لا يمكنها تحمل إضافة موظفين للأمان فقط.

وجدت أحدث دراسة أجرتها شركة Sophos أن الشركات في قطاع التصنيع تدفع أعلى الفديات ، حيث تصل إلى 2036189 دولارًا ، وهو أعلى بكثير من متوسط ​​الصناعة البالغ 812000 دولار. من خلال المقابلات مع الرؤساء التنفيذيين ومديري العمليات في الشركات المصنعة من الطبقة المتوسطة ، علمت VentureBeat أن هجمات برامج الفدية وصلت إلى مستويات الوباء الرقمي في جميع أنحاء أمريكا الشمالية العام الماضي وتستمر في النمو.

يختار مهاجمو برامج الفدية أهدافًا سهلة ويشنون هجمات عندما يكون رد فعل موظفي تكنولوجيا المعلومات في الشركات المتوسطة أو الصغيرة أمرًا بالغ الصعوبة. ستة وسبعون بالمائة من جميع هجمات برامج الفدية ستحدث بعد ساعات العمل. يتم استهداف معظم المنظمات التي تتعرض للإصابة في أوقات لاحقة ؛ هناك فرصة بنسبة 80٪ لاستهدافك مرة أخرى في غضون 90 يومًا. نصح فرتادو في مقابلة عبر الفيديو ، بأن تسعين بالمائة من جميع هجمات برامج الفدية تصيب الشركات التي تقل إيراداتها عن مليار دولار.

يعرف المهاجمون الإلكترونيون ما الذي تبحث عنه

تحديد الثغرات القديمة هو الخطوة الأولى في تسليحها. توضح النتائج الأكثر جدارة بالملاحظة في الدراسة كيف أصبحت مجموعات الجريمة المنظمة والجماعات APT المعقدة في العثور على أضعف نقاط الضعف لاستغلالها. فيما يلي بعض الأمثلة العديدة الواردة في التقرير:

سلاسل القتل التي تؤثر على منتجات تكنولوجيا المعلومات المعتمدة على نطاق واسع

من خلال تعيين جميع نقاط الضعف البالغ عددها 344 المرتبطة ببرامج الفدية ، حدد فريق البحث 57 من أخطر الثغرات التي يمكن استغلالها ، من الوصول الأولي إلى التسلل. يوجد الآن MITER ATT & CK كامل لتلك الثغرات الأمنية الـ 57.

يمكن لمجموعات برامج الفدية استخدام سلاسل القتل لاستغلال الثغرات الأمنية التي تمتد عبر 81 منتجًا من البائعين مثل Microsoft و Oracle و F5 و VMWare و Atlassian و Apache و SonicWall.

سلسلة القتل MITER ATT & CK هي نموذج حيث يمكن تعريف كل مرحلة من مراحل الهجوم الإلكتروني ووصفها وتعقبها ، وتصور كل حركة يقوم بها المهاجم. لكل تكتيك موصوف في سلسلة القتل تقنيات متعددة لمساعدة المهاجم على تحقيق هدف محدد. يحتوي هذا الإطار أيضًا على إجراءات مفصلة لكل أسلوب ، ويفهرس الأدوات والبروتوكولات وسلالات البرامج الضارة المستخدمة في هجمات العالم الحقيقي.

يستخدم الباحثون الأمنيون أطر العمل هذه لفهم أنماط الهجوم واكتشاف التعرض وتقييم الدفاعات الحالية وتتبع مجموعات المهاجمين.

مجموعات APT تشن هجمات برامج الفدية أكثر عدوانيةلاي

لاحظت CSW أن أكثر من 50 مجموعة APT تطلق هجمات رانسوم وير ، بزيادة 51٪ عن 33 في عام 2020. أربع مجموعات APT – DEV-023 و DEV-0504 و DEV-0832 و DEV-0950 – كانت مرتبطة حديثًا ببرامج الفدية في الربع الرابع من عام 2022 وتم تركيبها الهجمات المعوقة.

وجد التقرير أن أحد أكثر الاتجاهات خطورة هو انتشار البرمجيات الخبيثة وبرامج الفدية باعتبارها مقدمة لحرب فعلية فعلية. في أوائل عام 2022 ، رأى فريق البحث تصعيدًا في الحرب بين روسيا وأوكرانيا حيث تعرضت الأخيرة للهجوم من قبل مجموعات APT بما في ذلك Gamaredon (Primitive Bear) و Nobelium (APT29) و Wizard Spider (Grim Spider) و Ghostwriter (UNC1151) التي تستهدف أوكرانيا الحرجة. بنية تحتية.

رأى فريق البحث أيضًا أن مشغلي برامج الفدية Conti يعلنون صراحة ولائهم لروسيا ويهاجمون الولايات المتحدة والدول الأخرى التي دعمت أوكرانيا. نعتقد أن هذا الاتجاه سيستمر في النمو. اعتبارًا من ديسمبر 2022 ، تستخدم 50 مجموعة APT برامج الفدية كسلاح مفضل. من بينها ، لا تزال روسيا تتصدر المجموعة مع 11 مجموعة تهديد مؤكدة تدعي أن منشأها وانتماءاتها إلى البلاد. من بين الأكثر شهرة في هذه المنطقة APT28 / APT29.

تتأثر العديد من منتجات برامج المؤسسات بقضايا مفتوحة المصدر

تؤدي إعادة استخدام التعليمات البرمجية مفتوحة المصدر في منتجات البرامج إلى تكرار نقاط الضعف ، مثل تلك الموجودة في Apache Log4j. على سبيل المثال ، CVE-2021-45046 ، ثغرة في Apache Log4j ، موجودة في 93 منتجًا من 16 بائعًا. يقوم AvosLocker باستغلاله. هناك ثغرة أخرى في Apache Log4j ، CVE-2021-45105 ، موجودة في 128 منتجًا من 11 بائعًا ويتم استغلالها أيضًا بواسطة AvosLocker ransomware.

يسلط التحليل الإضافي الذي أجراه فريق البحث على CVEs الضوء على سبب نجاح مهاجمي برامج الفدية في تسليح برامج الفدية على نطاق واسع. تغطي بعض CVEs العديد من منصات برامج المؤسسات والتطبيقات الرائدة.

أحدهما هو CVE-2018-363 ، وهو ثغرة أمنية في 26 بائعًا و 345 منتجًا. ومن أبرز هؤلاء البائعين Red Hat و Oracle و Amazon و Microsoft و Apple و VMWare.

توجد هذه الثغرة الأمنية في العديد من المنتجات ، بما في ذلك Windows Server و Enterprise Linux Server ، وهي مرتبطة ببرنامج Stop ransomware. وجد فريق البحث أن هذه الثغرة الأمنية تتجه على الإنترنت في أواخر العام الماضي.

CVE-2021-44228 هو ثغرة أخرى في Apache Log4j. إنه موجود في 176 منتجًا من 21 بائعًا ، ولا سيما Oracle و Red Hat و Apache و Novell و Amazon و Cisco و SonicWall. يتم استغلال ثغرة RCE من قبل ستة عصابات برامج الفدية: AvosLocker و Conti و Khonsari و Night Sky و Cheerscrypt و TellYouThePass.

هذه الثغرة الأمنية ، أيضًا ، هي نقطة اهتمام المتسللين ، وقد تم العثور عليها في اتجاه 10 ديسمبر 2022 ، ولهذا السبب قامت CISA بإدراجها كجزء من كتالوج CISA KEV.

تعد برامج الفدية نقطة جذب للمهاجمين ذوي الخبرة

أصبحت الهجمات الإلكترونية باستخدام برامج الفدية أكثر فتكًا وربحًا ، حيث تجتذب مجموعات الجريمة المنظمة الأكثر تطورًا وتمويلًا جيدًا على مستوى العالم. قال موكامالا من إيفانتي لموقع VentureBeat: “تستهدف الجهات الفاعلة في مجال التهديد بشكل متزايد الثغرات الموجودة في مجال الصحة الإلكترونية ، بما في ذلك عمليات إدارة الثغرات الأمنية القديمة”. اليوم ، يكافح العديد من فرق الأمن وتكنولوجيا المعلومات لتحديد مخاطر العالم الحقيقي التي تشكلها نقاط الضعف ، وبالتالي ، إعطاء الأولوية بشكل غير صحيح للثغرات الأمنية من أجل معالجتها.

وتابع قائلاً: “على سبيل المثال ، يقوم العديد بإصلاح الثغرات الجديدة فقط أو تلك التي تم الكشف عنها في NVD. يستخدم البعض الآخر فقط نظام نقاط الضعف المشترك (CVSS) لتسجيل نقاط الضعف وتحديد أولوياتها “.

يواصل مهاجمو برامج الفدية البحث عن طرق جديدة لتسليح نقاط الضعف القديمة. ستساعد الرؤى العديدة التي تمت مشاركتها في تقرير 2023 Spotlight Report CISOs وفرق الأمان الخاصة بهم على الاستعداد حيث يسعى المهاجمون إلى تقديم المزيد من حمولات برامج الفدية الفتاكة التي تتجنب الاكتشاف – والمطالبة بمدفوعات أكبر من برامج الفدية.