برامج الفدية Bert تهدد أنظمة لينكس وويندوز بسرعة

تستقطب سلالة جديدة من برامج الفدية متعددة المنصات الانتباه بسبب السرعة التي يمكن أن تشفر بها الأنظمة، على الرغم من أن كودها يعتبر بسيطًا نسبيًا. تكمن السرعة في الاستخدام العدواني للتعددية في البرمجة، مما يمكّنها من تشفير ملفات متعددة بسرعة في وقت واحد على أنظمة ويندوز ولينكس، مما يترك الضحايا بلا وقت تقريبًا لاكتشافها أو الاستجابة لها.

تدفق هجوم برامج الفدية المنظم

قال الباحثون في شركة تريند مايكرو، الذين يتتبعون البرمجيات الخبيثة تحت اسم "Water Pombero"، إنهم لاحظوا ذلك لأول مرة في أبريل، حيث استهدفت منظمات في قطاعات الرعاية الصحية وخدمات الفعاليات والتكنولوجيا في الولايات المتحدة وآسيا. منذ ذلك الحين، ادعت البرمجيات الخبيثة، التي أطلق عليها بائعون آخرون مثل برودكوم اسم "Bert"، العديد من الضحايا بشكل أساسي في أوروبا والشرق الأوسط وإفريقيا.

وفقًا للباحثين في تريند مايكرو، فإن فعالية Bert المثيرة للقلق لا تتعلق بتعقيد الكود. بل الأمر يتعلق بـ "تنفيذ الهجمات المنظم والتجنب" مع قاعدة كود غير ملحوظة. تتميز النسخة الخاصة بلينكس من Bert بأنها مصممة لضرب الأهداف بسرعة. يمكنها قفل البيانات وإيقاف تشغيل الخوادم الافتراضية لتسبب الفوضى في بيئات الضحايا. "على أنظمة لينكس، تدعم النسخة الخاصة بـ Bert ما يصل إلى 50 خيطًا للتشفير السريع ويمكنها إيقاف تشغيل آلات VMware ESXi الافتراضية بشكل قسري لتعظيم التأثير وتعطيل جهود الاسترداد"، كما أشار تريند مايكرو.

يعد Bert تجسيدًا آخر للنجاح المستمر الذي حققه المجرمون السيبرانيون من خلال حملات برامج الفدية السريعة ذات التأثير العالي. إنه الأحدث في قائمة طويلة نسبيًا من سلالات برامج الفدية التي نفذت التشفير المتعدد الخيوط أو الهجين لتسريع قدرتها على قفل الأنظمة والبنى التحتية الافتراضية بسرعة كبيرة.

مقالات ذات صلة

الأمن السيبراني

اختراق Telnyx PyPI: برمجيات خبيثة مخفية بملفات WAV

منذ شهرين 0

الأمن السيبراني

آلاف المواقع تُسرب مفاتيح API حساسة: مخاطر أمنية جسيمة

منذ شهرين 0

الأمن السيبراني

تحذير CISA: استغلال خطير في Langflow يهدد تدفقات الذكاء الاصطناعي

منذ شهرين 0

الأمن السيبراني

Torg Grabber: برنامج خبيث جديد يستهدف مئات محافظ العملات المشفرة

منذ شهرين 0

الأمن السيبراني

احتيال Bubble: منصة AI تُستغل لسرقة بيانات Microsoft

منذ شهرين 0

الأمن السيبراني

IRONSCALES: حماية بريد إلكتروني استباقية بتقنيات الذكاء الاصطناعي

منذ شهرين 0

محسّنة للسرعة

أظهرت تحليل تريند مايكرو لـ Bert أن النسخة الخاصة بويندوز تعتمد بشكل كبير على محملات PowerShell وآليات تصعيد الامتيازات للتنفيذ. لم تتمكن شركة الأمن من تحديد متجه الوصول الأولي للبرمجيات الخبيثة. ولكن بمجرد دخولها إلى النظام، قامت سكربت PowerShell بتحميل حمولة Bert، وتصعيد الامتيازات، وتعطيل Windows Defender وآليات الأمان الأخرى مثل جدار الحماية والتحكم في وصول المستخدم على النظام المخترق. وجدت تريند مايكرو أن عنوان IP الذي يتم من خلاله تحميل البرمجيات الخبيثة وتنفيذها يقع في روسيا، مما يشير إلى أن مشغل Bert أيضًا روسي.

بدأت الإصدارات الأولى من برامج الفدية Bert بمسح جميع الأقراص على النظام المخترق ووضع ملاحظة فدية في كل مجلد. ثم جمعت قائمة بالملفات لتشفيرها وخزنتها في مصفوفة قبل البدء في تشفيرها باستخدام خيوط متعددة في وقت واحد. أما الإصدارات الأحدث من Bert فهي أكثر سلاسة. "تستخدم النسخة الجديدة ConcurrentQueue وتخلق DiskWorker على كل قرص لتحسين عملية التشفير المتعددة الخيوط"، كما قالت تريند مايكرو. "هذا يمكّن برامج الفدية من البدء في تشفير الملفات بمجرد اكتشافها، على عكس النسخة القديمة، التي كانت تخزن أولاً مسارات الملفات في مصفوفة قبل التشفير."