برنامج Wiper، متنكرًا في صورة برنامج فدية مزيف، يستهدف استخبارات بيانات PlatoBlockchain الخاصة بالمؤسسات الروسية. البحث العمودي. منظمة العفو الدولية.

ممسحة ، متنكرة في صورة فدية مزيفة ، تستهدف المؤسسات الروسية

الطابع الزمني: 5 ديسمبر 2022 الساعة 4:09 مساءً

قد لا يكون لدى الشركات المصابة ببرامج الفدية المزعومة خيار دفع فدية.

يعمل برنامج ضار جديد تمامًا مثل crypto-ransomware - الكتابة فوق الملفات وإعادة تسميتها ، ثم إسقاط ملف نصي مع ملاحظة فدية وعنوان Bitcoin للدفع - لكن البرنامج بدلاً من ذلك يحذف محتويات ملفات الضحية. يستهدف برنامج CryWiper حاليًا المنظمات الروسية ولكن يمكن استخدامه بسهولة ضد الشركات والمؤسسات في الدول الأخرى ، وفقًا لشركة الأمن السيبراني Kaspersky ، التي حللت البرنامج.

يواصل برنامج ممسحة مموهة اتجاه استخدام برامج الفدية - عن قصد أو عن غير قصد - كممسحة ، حسبما ذكر باحثو الشركة في التحليل.

"في الماضي ، رأينا بعض سلالات البرامج الضارة التي أصبحت ماسحات عن طريق الصدفة - بسبب أخطاء منشئوها الذين نفذوا بشكل سيء خوارزميات التشفير" الباحثين كتب. ومع ذلك ، هذه المرة ليس الأمر كذلك: خبراؤنا واثقون من أن الهدف الرئيسي للمهاجمين ليس المكاسب المالية ، ولكن تدمير البيانات. الملفات غير مشفرة بالفعل. بدلاً من ذلك ، يستبدلها حصان طروادة ببيانات زائفة تم إنشاؤها عشوائيًا ".

أصبحت البرامج الضارة التي تحذف البيانات الهامة ، والتي يشار إليها بالمساحات ، تهديدًا كبيرًا لكل من القطاعين الخاص والعام. كانت المساحات تستخدمها الوكالات الروسية في الصراع مع أوكرانيا في محاولة لتعطيل الخدمات الحيوية للبلد وتنسيقها الدفاعي. قبل عقد من الزمن ، استخدمت إيران برنامج ممسحة شمعون للتشفير وجعله عديم الفائدة أكثر من 30,000 قرص صلب في شركة النفط السعودية المملوكة للدولة المنافسة ، أرامكو السعودية.

ذكر باحثو كاسبرسكي في تحليلهم أن الهجوم الأخير استهدف منظمة روسية ، مشيرين إلى أنه قد يكون انتقامًا من قبل القوات الأوكرانية أو المتسللين الحزبيين.

"نظرًا للغطاء الشامل المستخدم - التظاهر بأنه برنامج فدية - والوقت المحدود الذي تستغرقه كتابة ممسحة بسيطة ، يبدو أن أي شخص يمكن أن يكون وراء هذا الهجوم ،" قال Max Kersten ، باحث البرامج الضارة في شركة Trellix للأمن السيبراني. "تشير كاسبيرسكي إلى أن الضحايا روس ، وهذا يعني أن النشطاء المناهضين لروسيا ، أو النشطاء المؤيدين لأوكرانيا ، أو أوكرانيا كدولة ، أو الدول التي تدعم أوكرانيا ، يمكن أن تكون وراءها ، كما أراها".

برامج الفدية الوهمية أم المجرمين الكسالى؟

CryWiper هو أحدث برنامج هجوم يبدو أنه برنامج رانسومواري ولكنه في الواقع يعمل كممسحة بدلاً من ذلك. في حين أن الأمثلة السابقة غالبًا ما تحذف البيانات بسبب خطأ مطور ، فإن منشئ CryWiper كان يهدف إلى وظائفها ، وفقًا لـ ترجمة لتحليل كاسبيرسكي الروسي.

صرح كاسبرسكي: "بعد فحص عينة من البرامج الضارة ، اكتشفنا أن حصان طروادة هذا ، على الرغم من أنه يتنكر كبرنامج فدية ويبتز الأموال من الضحية من أجل" فك تشفير "البيانات ، لا يقوم في الواقع بتشفير البيانات ، ولكنه يدمر البيانات في النظام المتأثر عن قصد" . "علاوة على ذلك ، أظهر تحليل كود برنامج طروادة أن هذا لم يكن خطأ المطور ، ولكن نيته الأصلية."

CryWiper ليس برنامج الفدية الأول الذي يقوم بالكتابة فوق البيانات دون السماح بفك تشفيرها. برنامج آخر تم اكتشافه مؤخرًا ، W32 / Filecoder.KY! tr ، يقوم أيضًا بالكتابة فوق الملفات ، ولكن في هذه الحالة ، بسبب البرمجة السيئة ، لا يمكن استرداد البيانات.

"لم يتم تحويل برنامج الفدية إلى ممسحة عن عمد. وبدلاً من ذلك ، أدى الافتقار إلى ضمان الجودة إلى عينة لم تعمل بشكل صحيح ، " ذكر في التحليل. "تكمن المشكلة في هذا الخلل في أنه نظرًا لبساطة تصميم برنامج الفدية في حالة تعطل البرنامج - أو حتى إغلاقه - لا توجد طريقة لاستعادة الملفات المشفرة."

أوجه التشابه مع برنامج الفدية السابق

يبدو أن CryWiper هو جزء أصلي من البرامج الضارة ، لكن البرنامج الضار المدمر يستخدم نفس خوارزمية مولد الأرقام العشوائية الزائفة (PRNG) مثل IsaacWiper ، وهو برنامج يستخدم لمهاجمة مؤسسات القطاع العام في أوكرانيا ، بينما يبدو أن CryWiper قد هاجم مجموعة في الاتحاد الروسي ، صرح كاسبيرسكي بالتحليل الروسي.

العديد من المتغيرات من عائلة Xorist ransomware وعائلة Trojan-Ransom.MSIL.Agent استخدمت نفس عنوان البريد الإلكتروني في الملاحظة التي خلفتها CryWiper بعد تلفها في البيانات ، ولكن يعتقد Kersten من Trellix أن هذا ربما كان يهدف إلى إحداث ارتباك.

يقول: "يمكن إعادة استخدام عنوان البريد الإلكتروني في مذكرة الفدية في عينات مختلفة للتخلص من المحللين الذين يتطلعون إلى ربط النقاط ، أو قد يكون ذلك خطأً فعليًا". "أعتقد أن هذا الأخير أقل احتمالًا لأن شفرة البرنامج الضار تحتوي على بعض الأخطاء التي تبين أنه لم يتم اختبارها بدقة ، مما يجعلني أعتقد أن منشئ البرنامج [أو منشئوه] كانوا تحت ضغط الوقت."

في الماضي ، كانت الشركات المستهدفة ببرامج الفدية تتألم بسبب قرار دفع مجموعات برامج الفدية لاستخدام النسخ الاحتياطية والنسخ غير المتصلة بالإنترنت للتعافي من حدث برامج الفدية المشفرة.

"CryWiper يضع نفسه كبرنامج فدية ، أي أنه يدعي أن ملفات الضحية مشفرة ، وإذا تم دفع فدية ، فيمكن استعادتها. ومع ذلك ، فهذه خدعة: في الواقع ، يتم إتلاف البيانات ولا يمكن إرجاعها ". "يظهر نشاط CryWiper مرة أخرى أن دفع الفدية لا يضمن استعادة الملفات."

الطابع الزمني:

اكثر من قراءة مظلمة