الصفحات
بحث
تحذير: عصابات الفدية تستغل خوادم ISPsystem للتخفي
الأمن السيبراني #أمن_سيبراني #برامج_الفدية

تحذير: عصابات الفدية تستغل خوادم ISPsystem للتخفي

منذ ساعتين 4 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
4 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشف باحثو شركة Sophos للأمن السيبراني عن تكتيك خطير تستخدمه عصابات الفدية (Ransomware) لاستغلال الأجهزة الافتراضية (VMs) التي توفرها شركة ISPsystem، وهي مزود شرعي لإدارة البنية التحتية الافتراضية، لنشر البرمجيات الخبيثة والتهرب من الكشف الأمني.

كيف تعمل الحيلة؟

لاحظ الباحثون هذا التكتيك أثناء التحقيق في حوادث برمجيات الفدية الأخيرة المعروفة باسم 'WantToCry'. وجد الفريق أن المهاجمين يستخدمون أجهزة افتراضية تعمل بنظام ويندوز تحمل أسماء مضيفة (Hostnames) متطابقة، مما يشير إلى استخدام قوالب افتراضية تم إنشاؤها بواسطة منصة VMmanager التابعة لشركة ISPsystem.

تعد ISPsystem شركة برمجيات شرعية تطور لوحات تحكم لمزودي الاستضافة لإدارة الخوادم الافتراضية. ومع ذلك، اكتشفت Sophos أن قوالب ويندوز الافتراضية في منصة VMmanager تعيد استخدام نفس اسم المضيف ومعرفات النظام في كل مرة يتم نشرها.

عصابات كبرى متورطة

عند التعمق في البحث، اكتشف الخبراء أن أسماء المضيف نفسها كانت موجودة في البنية التحتية للعديد من مشغلي برامج الفدية الكبار، بما في ذلك:

  • عصابة LockBit
  • مجموعة Qilin
  • عصابة Conti
  • مجموعة BlackCat/ALPHV
  • برمجية Ursnif

كما تم رصد حملات برمجيات خبيثة أخرى تشمل سارقي المعلومات RedLine وLummar تستخدم نفس الأسلوب.

دور الاستضافات المحصنة (Bulletproof Hosting)

يستغل مزودو الاستضافة المحصنة، الذين يدعمون الجرائم الإلكترونية ويتجاهلون طلبات الإزالة، ضعف التصميم هذا. حيث يسمحون للجهات الفاعلة الخبيثة بإنشاء أجهزة افتراضية عبر VMmanager لاستخدامها في البنية التحتية للقيادة والتحكم (C2) وتسليم الحمولات الخبيثة.

يؤدي هذا التكتيك إلى إخفاء الأنظمة الخبيثة وسط آلاف الأنظمة غير الضارة، مما يعقد عملية إسناد الهجوم ويجعل عمليات الإزالة السريعة أمراً صعباً للغاية. وكما تظهر الصورة المرفقة في التقرير الأصلي، فإن توزيع الأجهزة التي تستخدم نفس اسم المضيف يمتد عبر مواقع جغرافية متعددة.

الأرقام تكشف المستور

وفقاً لشركة Sophos، فإن أربعة من أسماء مضيفة ISPsystem الأكثر انتشاراً تمثل أكثر من 95% من إجمالي الأجهزة الافتراضية لـ ISPsystem التي تواجه الإنترنت، وهي:

  • WIN-LIVFRVQFMKO
  • WIN-344VU98D3RU
  • WIN-J9D866ESIJ2

وقد وجدت جميع هذه الأسماء إما في اكتشافات العملاء أو في بيانات القياس عن بعد المرتبطة بالنشاط الإجرامي السيبراني.

لماذا يفضل المجرمون هذه المنصة؟

أشار الباحثون إلى أنه على الرغم من أن ISPsystem VMmanager هي منصة شرعية لإدارة المحاكاة الافتراضية، إلا أنها جذابة لمجرمي الإنترنت بسبب تكلفتها المنخفضة، وسهولة الدخول إليها، وقدرات النشر الجاهزة (turnkey deployment).

الجدير بالذكر أن موقع BleepingComputer تواصل مع ISPsystem للسؤال عما إذا كانوا على علم بهذا الاستغلال الواسع النطاق لقوالب الأجهزة الافتراضية وخططهم لمعالجة المشكلة، لكن لم يتوفر بيان رسمي حتى وقت النشر.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##برامج_الفدية ##Sophos ##اختراق

الأسئلة الشائعة

هي منصة شرعية من شركة ISPsystem تستخدم لإدارة البيئات الافتراضية وإنشاء خوادم ويندوز ولينكس للعملاء.

يستخدمون قوالب ويندوز الافتراضية التي تحمل أسماء مضيفة متطابقة للاختباء وسط حركة المرور الشرعية وتصعيب عملية الكشف.

تشمل القائمة عصابات كبيرة مثل LockBit وQilin وBlackCat/ALPHV بالإضافة إلى برمجيات سرقة المعلومات.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!