برزت عائلة برامج الفدية RansomHouse كتهديد متنامٍ في المشهد السيبراني، حيث تعمل هذه الخدمة من نوع “برامج الفدية كخدمة” (RaaS) وفق استراتيجية مزدوجة تجمع بين سرقة البيانات وتشفيرها، مما يضع الضحايا أمام خيارات قسرية. استهدفت هذه المجموعة، التي تتتبعها الجهات الأمنية تحت اسم Jolly Scorpius، ما لا يقل عن 123 منظمة في قطاعات حيوية منذ ديسمبر 2021، مسببة خسائر مالية فادحة وانتهاكات بيانات واسعة النطاق لقطاعات مثل الرعاية الصحية، والتمويل، والنقل، والقطاع الحكومي.
تعتمد العائلة على سلسلة هجمات معقدة تفصل بين أدوار المشغلين والمهاجمين ومزودي البنية التحتية. يبدأ المهاجمون عادةً بالوصول الأولي عبر رسائل بريد إلكتروني تصيدية متقنة أو استغلال أنظمة بها ثغرات أمنية. بعد ذلك، ينتقلون داخل شبكات الضحايا لتحديد البيانات القيمة والبنى التحتية الحيوية، ثم ينشرون أدوات متخصصة لتعظيم الضرر، خاصةً في الأنظمة الافتراضية.
الاستهداف المتقدم للبنية التحتية الافتراضية لـ RansomHouse
أشار محللو شركة Palo Alto Networks إلى أن RansomHouse تستهدف بشكل خاص أنظمة VMware ESXi الافتراضية. يعتبر اختراق هذه البنية التحتية استراتيجية فعالة، حيث يسمح للمهاجمين بتشفير عشرات أو مئات الأجهزة الافتراضية دفعة واحدة.
هذا التكتيك يخلق اضطرابًا تشغيليًا متتاليًا، مما يمنح المهاجمين أقصى قدر من النفوذ في عملية الابتزاز. الإمكانيات المتزايدة لعائلة برامج الفدية RansomHouse تستدعي يقظة مستمرة.
من جهة أخرى، تتكون مجموعة أدوات RansomHouse من مكونين نمطيين يعملان معًا. يعمل MrAgent كأداة للإدارة والنشر، حيث يقيم اتصالات مستمرة مع خوادم القيادة والتحكم الخاصة بالمهاجمين، ويقوم بأتمتة نشر برامج الفدية عبر بيئات ESXi.
يتولى هذا المكون مهام حيوية مثل تحديد المضيفين، وتعطيل جدران الحماية، وتنسيق عمليات التشفير بشكل منظم. من المهم فهم هذه الآليات لمواجهة التهديدات السيبرانية.
تطوير تقنية التشفير لمواجهة جهود فك التشفير
يمثل Mario، المكون المسؤول عن التشفير، التطور التقني الأحدث في العملية. قامت النسخة المطورة من Mario بتقديم عملية تشفير على مرحلتين باستخدام مفتاحين، رئيسي وثانوي، مما يعقد بشكل كبير جهود فك التشفير.
بدلاً من معالجة الملفات بتسلسل خطي بسيط، تستخدم النسخة المطورة تقنيات معالجة مجزأة (chunked processing) بأبعاد ديناميكية. على عكس الإصدار الأصلي من Mario الذي استخدم تشفيرًا مباشرًا بقطاعات ثابتة، تعتمد الصيغة المحسنة على تقنيات التشفير المتخلل (sparse encryption) التي تعالج كتلًا محددة من الملفات عند إزاحات محسوبة، مما يجعل التحليل الثابت أكثر صعوبة.
تستخدم هذه النهج المعزز معالجة الملفات بشكل غير خطي عبر صيغ رياضية معقدة تحدد ترتيب المعالجة بناءً على حجم الملف، مما يزيد من تعقيد عملية الاستعادة.
يستهدف Mario امتدادات الملفات الخاصة بالافتراضية، بما في ذلك ملفات VMDK، VMEM، VMSD، VMSN، و VSWP، بالإضافة إلى ملفات النسخ الاحتياطي من Veeam. يضيف المشفّر امتدادات تحتوي على كلمة “mario” إلى الملفات المشفرة، مما ينتج عنه أسماء ملفات مثل “.emario”.
بعد اكتمال عملية التشفير، يعرض Mario إحصائيات مفصلة تشمل عدد الملفات، وحجم البيانات المشفرة، ونتائج المعالجة. هذا التطور من التشفير البسيط إلى الأساليب المتطورة ومتعددة الطبقات يوضح كيف يعزز مهاجمو برامج الفدية قدراتهم التقنية باستمرار، مما يتطلب من المدافعين تبني استراتيجيات مماثلة في الكشف والاستجابة.