تمكنت مجموعة تنشر برمجيات خبيثة من نوع “برمجيات انتزاع الفدية” Ransomware، منذ بدء نشاطها في شهر آب/أغسطس الماضي، من انتزاع فِدى بلغ مجموعها ما يقرب من 4 ملايين دولار أمريكي، ويُعزى الجزء الأكبر من ذلك إلى اتباعها مسار غير شائع في مجالها.
نشرت شركتا “كراود سترايك” CrowdStrike و “فاير آي” FireEye، المتخصصتان في مجال أمن المعلومات، تقريرين يوضحان الطريقة، التي اتبعتها المجموعة، والتي تختلف عن الطريقة التي تتبعها مجموعات نشر “برمجيات انتزاع الفدية” الأخرى، إذ إنها تقوم بتثبيت برنامج التشفير الضار، المعروف باسم Ryuk، على نحو ينتقي فقط الأهداف المصابة سابقًا بجيوب عميقة، مقارنةً بالطريقة التقليدية التي تصيب جميع الضحايا المحتملين دون تمييز.
ويذكر كلا التقريرين أن برمجية Ryuk تصيب الشركات الكبيرة بعد أيام أو أسابيع أو حتى عام، من إصابتها ببرمجيات خبيثة أخرى منفصلة، والتي تكون في معظم الحالات حصان طروادة قويًا بشكل متزايد يعرف باسم “تريك بوت” Trickbot.
وعلى النقيض من ذلك، لا تعاني الشركات الأصغر المصابة ببرمجية Trickbot من هجوم المتابعة من قبل Ryuk. ووصفت شركة CrowdStrike نهج Ryuk بـ “الصيد الكبير”، وقالت إنها سمحت للمجموعة التي تقف وراءها بتوليد عملة بيتكوين الرقمية بقيمة 3.7 مليون دولار عبر 52 صفقة منذ شهر آب/أغسطس الماضي.
وبالإضافة إلى القدرة على تحديد الأهداف التي تملك من الموارد ما يجعلها تدفع فدى كبيرة، فإن طريقة العمل التي اتبعتها المجموعة تمتاز بشيء آخر يُعرف باسم “زمن الكمن” أو “زمن السكن”، وهو المدة بين الإصابة الأولية وتركيب برمجية الفدية، الأمر الذي يعطي المهاجمين الوقت الكافي لإجراء عملية استطلاع للقيمة داخل الشبكة المصابة.
وتتيح عملية الاستطلاع للمهاجمين تحقيق أقصى قدر من الضرر الذي تتسبب به عن طريق إطلاق العنان للبرمجية لمعرفة الأنظمة الأكثر أهمية في الشبكة والتي تملك المعلومات الأكثر حساسية، ثم الحصول على كلمات المرور اللازمة لإصابتها.
يُشار إلى أن برمجية Ryuk ليست الأولى في اتباع هذه الآلية في إجراء عملية الاستطلاع، إذ سبقتها في ذلك برمجية انتزاع فدية أخرى عُرفت باسم SamSam، والتي تمكنت من إحداث أضرار تجاوزت قيمتها ملايين الدولارات، فقد تمكن مشغلوها من جمع فدى بأكثر من 6 ملايين دولار أمريكي، فضلًا عن إحداث أضرار بأكثر من 30 مليون دولار أمريكي.
وقللت شركتا FireEye و CrowdStrike من التقارير التي تعتقد أن Ryuk مصدرها كوريا الشمالية، فقد قالت CrowdStrike إن لديها ثقة من متوسطة إلى عالية بأن المهاجمين وراء البرمجية هم من روسيا، مستشهدةً بمجموعة متنوعة من الأدلة، بما في ذلك عنوان IP الروسي المستخدم في تحميل الملفات المستخدمة من قبل Ryuk، ثم إن خدمة المسح الضوئي والبرامج الضارة التي تركت آثارًا على الشبكات المصابة كانت مكتوبة باللغة الروسية.
