EraDev
Ghoster-Xما تريد معرفته عن BlackCat
بعد ان توقفت عمليات BlackMatter و REvil كان ظهور اسم اخر علي الساحة مسألة وقت فقط لاغير ، فمن قرابة العام وفي شهر ديسمبر 2021 ، ظهرت إعلانات من طرف مجموعة تدعي ALPHV المعروفة أيضا باسم القطة السوداء (BlackCat) ، حيث أظهرت المجموعة في إعلاناتهم أنهم درسوا أخطاء ومشاكل من سبقهم وقاموا بإنشاء نسخة محسنة من برامج الفدية ، ومع ذلك لازالت هنالك علامات تربط BlackCat بمجموعات REvil و BlackMatter.
ما هي BlackCat ؟
تقوم مجموعة ALPHV بتقديم BlackCat علي نظام Ransomware-as-a-Service (RaaS) وهو أحد الأسباب الرئيسية للإنتشار السريع لهجمات الفدية ، حيث يقوم مطورو البرامج الضارة بتقديم خدماتهم علي هيئة تأجير لبرنامج الفدية مع البنية التحتية للتحكم إلى أشخاص آخرين ، مما يسهل علي الأشخاص الذين لا يملكون خلفية تقنية كبيرة استخدام برامج الفدية ، في مقابل الحصول علي حصة محددة من قيمة الفدية.
وتتكون BlackCat من عنصرين الأول هو كود التشفير والذي كان جدير بالمحلاظة بسبب لغة البرمجة الغير تقليدية المستخدمة في كتابته وهي (Rust) ، نظراً لأنها أمنة ومستقرة كما أنها تستخدم تقنية لتقليل نسبة حدوث الأخطاء مع توفير ذاكرة آمنة للبيانات وإمكانية التهرب من تقنيات الكشف الحالية مما مكن BlackCat من شن هجمات أكثر تعقيداً دون فعل الكثير.
أما الثاني فهي أداة Fender والتي تستخدم في عملية سحب البيانات من الأجهزة المصابة ، ومن المثير للشكوك أن BlackMatter هي المجموعة الوحيدة التى كانت تسخدم تلك الأداة والتي تعرف أيضاً باسم ExMatter مما يشير إلى أن BlackCat قد تكون مجرد إعادة تسمية لنفس المجموعة.
كما يستخدم أيضاً أدوات مثل PsExec للتحكم عن بعد و Mimikatz لاستخراج المعلومات و Nirsoft لاستخراج كلمات مرور الشبكة.
كما يمكن أيضاً تشغيل BlackCat علي أنظمة تشغيل أخري غير الـ Windows مثل أنظمة تشغيل Linux وذلك من أسباب انتشاره نظراً لوجود عدد قليل من سلالات برامج الفدية التي تقوم باستهداف أنظمة أخرى غير Windows.
كيف تعمل BlackCat ؟
تستخدم BlackCat أسلوب (Triple Extortion) حيث يتم تحديد الأضعف في النظام وبعد عملية الاختراق يتم القيام بأخذ نسخة من البيانات ثم تشفيرها علي الجهاز المصاب ، بعدها يقوم الـ Attacker بالتهديد بالكشف علناً عن محتوي البيانات مع تدمير مفاتيح فك التشفير مع شن هجمات من نوع DDoS لحجب الخدمة اذا رفضت الضحية دفع الفدية.
ويتضمن BlackCat ملف JSON للإعدادات ، حيث يقدم لمستخدمه بعض الخيارات منها الاختيار من بين أربعة خوارزميات للتشفير ، مع امكانية تحديد نوع الملفات المستهدفة ونوع الملفات التي ينبغي تجاهلها ، مع تخصيص لمذكرة الفدية ، بالاضافة الي الخدمات التي يجب ايقافها لضمان عملية تشفير صحيحة ، كما أن BlackCat يمكن إعدادها للعمل علي (Domain Credentials) مما يمكنه من التوسع والانتشار إلى أجهزة أخري.
حتي الان لا شئ يميز BlackCat علي هجمات الفدية الأخرى التي تستخدم كـ (RaaS) ولكن قد يكون اختبار أساليب جديدة في الابتزاز كوسيلة للضغط علي ضحايا الفدية هو ما يميزه.
اتجاه جديد تتخذه BlackCat لتسريب البيانات
ابتكرت BlackCat طريقة الابتزاز الخاصة بها لتسريب البيانات ، فمن المعروف أن تسريب البيانات يكون في الأغلب محصور بداخل شبكة Tor ، وبعد قيام احد الضحايا بعدم تلبية مطالبة الفدية وعلي غير المعتاد في عمليات التسريب قامت BlackCat بتسريب جميع الملفات علي موقع يحاكي موقع الضحية تماماً فيما يتعلق بمظهره واسمه حيث كان طبق الأصل وتم عرض عليه جميع البيانات ولم تكتفي فقط بنشره داخل شبكة Tor ولكنها أرادات إنتشار واسع النطاق للبيانات المسربة فقط تم نشره علي الـ Surface Web أيضاً ، حيث يحتوي علي ملفات متنوعة وبيانات الموظفين وبيانات مالية في بيانات مسربة تقدر بنحو 3.5 جيجا بايت.
بالطبع مشاركة البيانات المسربة بهذا الأسلوب قد يكون مصدر قلق أكبر للضحايا مستقبلاً ، ومما قد يمثل هذا الأسلوب بداية اتجاه جديد تتبناه برامج الفدية الأخرى.
حتي الان غير واضح مدي نجاح هذا الأسلوب ولكنه من المؤكد ان البيانات المسربة وصلت لشريحة أكبر من الأشخاص بسهولة بدون أي قيود.
وفي نهاية المقالة ، هل واجهت احد من برامج الفدية من قبل ؟ أخبرنا بالتعليقات ... وإلى لقاء آخر قريب في مقالة جديدة.
