شكلت عملية برمجيات الفدية الجديدة المعروفة باسم DragonForce تهديدًا متزايدًا للمؤسسات عالميًا منذ ظهورها في أواخر عام 2023. تستهدف هذه الحملة المتطورة البنية التحتية الحيوية للأعمال عبر صناعات متعددة، معتمدة على تقنيات متقدمة لتشفير الملفات وسرقة بيانات الشركات الحساسة.
تعمل المجموعة وفق نموذج “برمجيات الفدية كخدمة”، حيث توفر للمجرمين السيبرانيين الشركاء مجموعة أدوات شاملة لشن هجمات مدمرة ضد الضحايا. يتبع DragonForce استراتيجية الابتزاز المزدوج، حيث لا تقتصر الهجمات على تشفير البيانات القيمة فحسب، بل تتضمن أيضًا النسخ السري والاستيلاء على المعلومات الحساسة قبل بدء التشفير.
DragonForce: تهديد سيبراني متنامٍ يستهدف الأعمال
تعتبر هذه الاستراتيجية المزدوجة خطيرة بشكل خاص، إذ تزيد من الضغط على الضحايا، الذين قد يفضلون بخلاف ذلك استعادة البيانات من النسخ الاحتياطية. DragonForce يركز بشكل خاص على قطاعات التصنيع، والخدمات التجارية، والتكنولوجيا، والإنشاءات.
ووفقًا لمحللين، فقد شهدت الولايات المتحدة والمملكة المتحدة وألمانيا وأستراليا وإيطاليا التركيز الأعلى للهجمات. يبرز DragonForce قدرته المذهلة على التكيف، من خلال التحسين المستمر لأدواته التشغيلية وتقنياته، وتطوره من استخدام مواقع مخصصة للضحايا إلى الاحتفاظ بنطاق مركزي لاستضافة البيانات المسربة.
القدرات التقنية وطرق العدوى
ما يجعل DragonForce خطيرًا هو قدرته متعددة المنصات. يمكن للبرمجية الخبيثة مهاجمة أنظمة Windows، Linux، ESXi، BSD، وأنظمة NAS، مما يوفر للشركاء وصولاً واسعًا عبر بيئات حوسبة مختلفة. يدعم النظام أوضاع تشفير متنوعة، بما في ذلك التشفير الكامل، وتشفير الرأس، والتشفير الجزئي، إلى جانب خيارات قابلة للتخصيص للملفات الفردية وميزات بدء تشغيل متأخرة لإطلاق الهجمات في أوقات محددة.
تتفوق البرمجية الخبيثة تقنياً على العديد من التهديدات الأخرى. يتضمن DragonForce قدرات معالجة متعددة لتحسين أداء التشفير، وتسجيل مفصل لتتبع عملية التشفير. تسمح إحدى الميزات الملحوظة للشركاء بإجراء “اختبارات وهمية” دون تشفير فعلي، مما يعني اختبار الهجوم قبل نشره.
توفر المجموعة تخزينًا غير محدود مع بنية تحتية مخصصة تتم مراقبتها باستمرار، وتقدم خدمات شركاء مجانية تشمل التحليل الاحترافي للملفات ودعم فك التشفير. أثناء التنفيذ، يقوم DragonForce بإجراء استطلاع للشبكة عن طريق فحص منافذ SMB ضمن نطاقات IP لتحديد الأنظمة الضعيفة.
يستخدم البرنامج معرف “mutex” موثق في عينات مستمدة من كود المصدر المسرب لبرمجية Conti، مما يدل على إعادة استخدام الكود من عائلات البرمجيات الخبيثة السابقة. كما تقوم البرمجية بحذف نسخ الظل على القرص (volume shadow copies) باستخدام أوامر Windows Management Instrumentation Command-line (WMIC)، مما يمنع الضحايا من استعادة الملفات من لقطات النسخ الاحتياطي.
يوصي خبراء الأمن بأن تتبع المؤسسات تدابير دفاعية محددة ضد DragonForce. ينبغي تطبيق المصادقة متعددة العوامل عبر جميع الأنظمة، والحفاظ على إدارة صارمة للتحديثات لسد الثغرات. يجب على المؤسسات إجراء نسخ احتياطي للملفات بانتظام وفقًا لعملية نسخ احتياطي موثقة، حيث تظل الاستعادة من النسخ الاحتياطية أسرع طريقة للاسترداد.
بالإضافة إلى ذلك، ينصح بتمكين قدرات الكشف المتقدمة لنقاط النهاية، والحماية المضادة لبرامج الفدية مع الاحتفاظ بنسخ الظل، والتحكم في التطبيقات لمنع التنفيذ غير المصرح به. الاستثمار في الوعي الأمني للموظفين وتدريبهم على تحديد محاولات التصيد الاحتيالي لا يزال أمرًا بالغ الأهمية.