عادت مجموعة التهديد المعروفة باسم CyberVolk، وهي مجموعة قراصنة داعمة لروسيا، إلى الظهور حديثاً بعد فترة من الغياب، وذلك بإطلاق منصة برامج فدية جديدة تحت اسم VolkLocker. تأتي هذه العودة لتشكل تحدياً أمنياً جديداً، حيث تستهدف المنصة الجديدة أنظمة تشغيل متعددة.
كانت المجموعة قد وثقت لأول مرة في أواخر عام 2024، حيث قامت بسلسلة من الهجمات التي تتماشى مع المصالح الحكومية الروسية. إلا أنها صمتت بعد ذلك لفترة، يُعتقد أنها بسبب إجراءات تفعيل صارمة على منصة تيليجرام.
لكن في شهر أغسطس، عادت المجموعة بقوة، مقدمة خدمة برامج فدية متطورة تجمع بين ميزات تشفير خطيرة وأدوات أتمتة تعتمد على تيليجرام. يمثل VolkLocker تطوراً هاماً في قدرات الهجوم للمجموعة، حيث يقدم أتمتة متقدمة بالإضافة إلى نقاط ضعف مقلقة.
تستهدف برامج الفدية الجديدة أنظمة تشغيل متعددة، مع إصدارات مكتوبة بلغة Golang لدعم كل من بيئات Linux و Windows. وهذا النهج المتعدد المنصات يوسع بشكل كبير من مساحة الهجوم المتاحة للمجموعة، مما يمكنها من اختراق بنية تحتية متنوعة للمؤسسات.
CyberVolk تطلق VolkLocker: تهديد فدية جديد عبر المنصات
كشفت تقارير أمنية حديثة عن عودة مجموعة “CyberVolk” بنسخة مطورة من عملياتها، حيث أصبحت تقدم منصة برامج فدية جديدة باسم “VolkLocker”. هذه المنصة، التي تدعم كلاً من أنظمة Linux و Windows، تعتمد على لغة البرمجة Golang، مما يمنح المهاجمين مرونة واسعة في استهداف البنى التحتية المختلفة.
تبين أن الإصدارات الأساسية لبرنامج الفدية تفتقر إلى التمويه، وتشجع مشغليها على استخدام أدوات تعبئة مثل UPX للحماية الإضافية، بدلاً من استخدام ميزات التشفير الأصلية الموجودة عادة في عروض برامج الفدية الأخرى كخدمة.
أشار محللو الأمن لدى SentinelOne إلى أن حمولات VolkLocker تكشف عن توسع سريع للمجموعة، وفي الوقت نفسه، تكشف عن عدم نضج تشغيلي يمنح الضحايا فرصاً محتملة للتعافي.
تتضمن الإصدارات البرمجية لـ VolkLocker آثاراً اختبارية حرجة، مما يشير إلى تطوير سريع وبروتوكولات أمنية غير مكتملة في عملية إنشاء برامج الفدية.
آلية تصعيد الامتيازات في VolkLocker
يستخدم برنامج الفدية تكتيكات متطورة لتصعيد الامتيازات فور تشغيله. يقوم VolkLocker بفحص بيئة التنفيذ الخاصة به ويسعى للحصول على وصول إداري عند الضرورة.
تعتمد التقنية الأساسية لتصعيد الامتيازات على تجاوز آلية “ms-settings” للتحكم في حساب المستخدم (UAC)، والتي تتلاعب بمفتاح التسجيل HKCUSoftwareClassesms-settingsshellopencommand للتنفيذ بامتيازات مرتفعة.
هذه الطريقة تخترق وظائف إعدادات Windows الشرعية لتجاوز الضوابط الأمنية دون إطلاق تحذيرات للمستخدم.
تبدأ عملية تصعيد الامتيازات بفتح مفتاح التسجيل المستهدف بأذونات مناسبة. ثم يقوم برنامج الفدية بتعيين قيم نصية تعيد توجيه قابل التنفيذ الشرعي ms-settings لتشغيل حمولة برامج الفدية بحقوق المسؤول.
بمجرد الحصول على امتيازات مرتفعة، يمكن لبرنامج الفدية الوصول إلى الملفات المحمية ودلائل النظام عبر الشبكة بأكملها.
بالإضافة إلى ذلك، يقوم VolkLocker بإجراء اكتشاف شامل للبيئة، بما في ذلك تعداد العمليات للكشف عن الأجهزة الافتراضية عن طريق تحديد أدوات المحاكاة الافتراضية الشائعة مثل VirtualBox و VMware و QEMU agents.
يقارن برنامج الفدية العمليات قيد التشغيل بأسماء خدمات البيئات الافتراضية المعروفة ويتحقق من عناوين MAC مقابل بادئات البائعين لتجنب التنفيذ في بيئات التحليل المعزولة (Sandbox). تتيح استراتيجية التهرب من الكشف هذه لبرنامج الفدية استهداف أنظمة الإنتاج مع تجنب تحليل الباحثين الأمنيين في بيئات معملية منعزلة.
يتوجب على المؤسسات تطبيق آليات اكتشاف قوية، ومراقبة تصعيد الامتيازات، والتحكم في الوصول إلى سجل النظام للدفاع ضد سلسلة هجمات VolkLocker المتطورة.