نشرت “سوفوس” تحت عنوان “ايفوس لوكر يصل الى المربعات، حتى عند التشغيل في الوضع الآمن”، نتائج جديدة حول برنامج “ايفوس لوكر” الخبيث. وفقًا لدراسة “سوفوس”، يحاول المقرصنون الالتفاف على ضوابط الأمان من خلال استخدام مزيج من “ويندوز في الوضع الآمن” وتطبيق الإدارة عن بعد AnyDesk. في حين يسمح AnyDesk بالوصول المستمر عن بُعد، فإن برنامج “ويندوز في الوضع الآمن” هو حل يدعم فرق تكنولوجيا المعلومات لحل المشكلات التي تعطل معظم ميزات الأمان وإدارة تكنولوجيا المعلومات.
بحسب “سوفوس”، يعد “ايفوس لوكر” أحد برامج الفدية كخدمة الجديدة نسبيًا، الذي ظهر لأول مرة في أواخر يونيو 2021، وتزداد شعبيته من ذلك الحين. وثّق “سوفوس الاستجابة السريعة” هجمات “ايفوس لوكر” التي تستهدف أنظمة “ويندوز” و”لاينوكس” في الأمريكتين، الشرق الأوسط، وآسيا والمحيط الهادئ.
قال بيتر ماكينزي، مدير الاستجابة للحوادث لدى “سوفوس”: “اكتشفت “سوفوس” أن مهاجمي “ايفوس لوكر” قاموا بتثبيت برنامج AnyDesk بحيث يعمل في الوضع الآمن، وحاولوا تعطيل مكونات حلول الأمان التي تعمل في الوضع الآمن، ثم قاموا بتشغيل برنامج الفدية في الوضع الآمن. يؤدي هذا إلى إنشاء سيناريو يتمتع فيه المهاجمون بالتحكم الكامل عن بُعد في كل جهاز قاموا بإعداده باستخدام AnyDesk، بينما يُحتمل أن تكون المؤسسة المستهدفة محجوبة من الوصول عن بُعد إلى أجهزة الكمبيوتر هذه. لم تشهد “سوفوس” مطلقًا بعض هذه المكونات المستخدمة مع برامج الفدية، وبالتأكيد ليست مجمّعة معًا”.
وأضاف: “إن الرسالة الموجهة لفرق أمن تكنولوجيا المعلومات التي تواجه مثل هكذا هجمات هي أنه حتى إذا فشل برنامج الفدية في العمل، وحتى يقوموا بمسح كل برامج AnyDesk التي نشرها المقرصنون عن كل جهاز مصاب، سيحتفظ المقرصنون بامكانية الوصول إلى شبكة مؤسستهم واغلاقها مرة أخرى في أي وقت”.
واوضح: “التقنيات التي تستخدمها “ايفوس لوكر” بسيطة ولكنها ذكية جدًا. فهي تضمن أن برامج الفدية لديها أفضل فرصة للتشغيل في الوضع الآمن والسماح للمقرصنين بالوصول عن بُعد إلى الأجهزة طوال فترة الهجوم”.
وختم: “لقد أبلغت شركة “سوفوس” عن اعتماد مجموعات “سناتش” و”بلاك ماتر” لهذه التقنية، مع العلم ان أي من مجموعات برامج الفدية المذكورة لم تحاول تثبيت تطبيق تابع، مثل AnyDesk، للتحكم والسيطرة على الأجهزة أثناء وجودها في الوضع الآمن. نعتقد أننا نشهد هذا للمرة الأولى”.
عملية نشر برامج الفدية
تبدأ العملية الأساسية باستخدام المقرصنين لـ”بي دي كيو ديبلوي” لتشغيل وتنفيذ نص برمجي يسمى “لوف بات”، “ابدايت بات”، أو “لوك بات” على الأجهزة المستهدفة، وفقًا لخبراء “سوفوس” الذين حللوا توزيع برامج الفدية. يصدر البرنامج وينفذ سلسلة من الأوامر التي تعدّ الأجهزة لبرنامج الفدية قبل إعادة التشغيل في الوضع الآمن.
يتم تضمين الأوامر التالية في تسلسل الأوامر، والذي يستغرق حوالي خمس ثوان لإكماله:
تحمي منتجات نقطة النهاية من “سوفوس”، مثل “انترسبت اكس”، المستخدمين من خلال اكتشاف إجراءات وسلوكيات برامج الفدية والهجمات الأخرى، مثل تلك الموضحة في بحث “سوفوس”.
