الصفحات
بحث
خطأ فادح لعصابة INC يتيح استعادة بيانات 12 مؤسسة
الأمن السيبراني #أمن_سيبراني #بيانات

خطأ فادح لعصابة INC يتيح استعادة بيانات 12 مؤسسة

تاريخ النشر: آخر تحديث: 35 مشاهدة 0 تعليق 2 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
35 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

في ضربة موفقة للمدافعين عن الأمن السيبراني، أدى فشل في الأمن التشغيلي (OpSec) لدى عصابة الفدية المعروفة باسم INC Ransomware إلى تمكين الباحثين من استعادة بيانات مسروقة تعود لعشرة مؤسسات أمريكية.

كشف فحص جنائي رقمي عميق لآثار هجوم إلكتروني عن أدوات لم يتم استخدامها في الهجوم نفسه، لكنها فضحت البنية التحتية للمهاجمين التي كانت تخزن البيانات المسربة من ضحايا متعددين.

اكتشاف الثغرة في البنية التحتية

قادت العملية شركة Cyber Centaurs المتخصصة في التحقيقات الرقمية والاستجابة للحوادث، والتي كشفت عن تفاصيل نجاحها مؤخراً. بدأ التحقيق بعد أن اكتشفت مؤسسة أمريكية نشاط تشفير ببرمجية الفدية على خادم SQL إنتاجي.

تم تنفيذ الهجوم باستخدام متغير من برمجية الفدية RainINC انطلاقاً من دليل PerfLogs، وهو موقع بدأ قراصنة الفدية في استخدامه بشكل متكرر للتخفي. ومع ذلك، لاحظ الباحثون وجود آثار لأداة النسخ الاحتياطي الشرعية Restic، رغم أن المهاجم لم يستخدمها في هذا الهجوم المحدد لنقل البيانات.

هذا الاكتشاف دفع المحققين لتحويل مسار التحقيق من مجرد استجابة للحادث إلى تحليل شامل للبنية التحتية للمهاجمين، حيث عثروا على ملفات ثنائية أعيدت تسميتها ونصوص برمجية (Scripts) لتنفيذ أوامر النسخ الاحتياطي.

مفاتيح الوصول إلى الكنز

عثر الفريق على نص برمجي بلغة PowerShell يحمل اسم 'new.ps1'، احتوى على أوامر مشفرة بصيغة Base64 لأداة Restic. المفاجأة كانت وجود متغيرات بيئة (Environment Variables) مدمجة في الكود، تتضمن مفاتيح الوصول وكلمات مرور S3 للمستودعات المشفرة.

افترض الباحثون أنه إذا كانت عصابة INC تعيد استخدام البنية التحتية القائمة على Restic، فإن مستودعات التخزين هذه قد تظل نشطة وتحتفظ ببيانات الضحايا المشفرة لفترة طويلة، حتى بعد انتهاء المفاوضات.

استعادة البيانات وإبلاغ السلطات

للتحقق من هذه الفرضية، طور الفريق عملية تعداد غير مدمرة أكدت وجود بيانات مشفرة مسروقة من 12 مؤسسة غير مرتبطة ببعضها البعض في قطاعات الرعاية الصحية، التصنيع، التكنولوجيا والخدمات في الولايات المتحدة.

لم تكن أي من هذه المؤسسات عميلة لشركة Cyber Centaurs، وكانت حوادث الاختراق منفصلة تماماً. قام الباحثون بفك تشفير النسخ الاحتياطية وحفظها، مع التواصل مع جهات إنفاذ القانون للمساعدة في التحقق من الملكية واتباع الإجراءات القانونية المناسبة.

يذكر أن عصابة INC تعمل بنظام "برمجية الفدية كخدمة" (RaaS) وقد ظهرت في منتصف عام 2023، وتبنت هجمات سابقة على مؤسسات كبرى مثل Yamaha Motor و Xerox Business Solution وهيئة الصحة الوطنية في اسكتلندا NHS Scotland.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##بيانات ##Ransomware ##هجمات_إلكترونية

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!