برزت مجموعة برامج الفدية Interlock كتهديد سيبراني متزايد، مستهدفة بشكل خاص قطاع التعليم في الولايات المتحدة والمملكة المتحدة. تعمل هذه المجموعة كفريق صغير متخصص، مطوراً برمجياته الخبيثة الخاصة به للتحكم في معظم سلسلة هجماته.
برمجيات Interlock الخبيثة تهدد قطاع التعليم
لا تعمل مجموعة Interlock بنموذج “برمجيات الفدية كخدمة” (RaaS) مثل العديد من العمليات المعاصرة. بدلاً من ذلك، يتمتع المشغلون بقدر عالٍ من الاستقلالية والقدرة على التكيف، حيث يديرون برمجياتهم الخبيثة بشكل كامل. غالباً ما تبدأ الهجمات بالإصابة بـ MintLoader، والذي يُعتقد أنه يتم عبر تكتيكات هندسة اجتماعية تدعى “ClickFix”.
بعد اكتساب الوصول الأولي، والذي يتم غالباً عبر برنامج NodeSnakeRAT المعتمد على JavaScript، تتحرك الفرق المهاجمة بشكل جانبي عبر الشبكة. تستخدم المجموعة حسابات شرعية وأدوات نظام محلية (living-off-the-land binaries) لترسيخ وجودها وإجراء استكشاف شامل للنظام. يهدف هذا النهج إلى التخفي وعدم إثارة الشكوك.
يُعد تأثير اختراقات Interlock شديداً، حيث يشمل كلاً من سرقة البيانات والتشفير. لوحظ أن المجموعة تستخدم أدوات مثل AZcopy لنقل كميات كبيرة من البيانات إلى التخزين السحابي قبل نشر برامج الفدية الخاصة بها. يضمن هذا التكتيك المزدوج (الابتزاز المزدوج) حصولهم على نفوذ ضد الضحايا حتى لو كانت لديهم نسخ احتياطية.
تعطيل أنظمة الدفاع: تقنية “Hotta Killer”
حدد محللو Fortinet أن المجموعة تنشر مجموعة فريدة من الأدوات لتعطيل الدفاعات الأمنية بعد ترسيخ موطئ قدم لها. يسمح ذلك بتنفيذ حمولات برامج الفدية الخاصة بهم على نقاط النهاية التي تعمل بنظام Windows وبيئات Nutanix hypervisor دون تدخل. إن قدرة المجموعة على تعديل تقنياتها واستغلال الثغرات الجديدة تجعلها خطراً مستمراً على المؤسسات عالمياً.
يُعد التباهي بأنظمة الدفاع أحد المكونات الرئيسية لترسانة Interlock، وهو أداة تهرب مخصصة أطلق عليها اسم “Hotta Killer”. تم تصميم هذه الأداة لتحييد برامج الكشف والاستجابة لنقاط النهاية (EDR) وبرامج مكافحة الفيروسات (AV). تستخدم الأداة تقنية متطورة تعرف بـ “Bring Your Own Vulnerable Driver” (BYOVD). تستغل ثغرة يوم صفر في برنامج تشغيل لمكافحة الغش الخاص بالألعاب، والذي كان اسمه الأصلي GameDriverx64.sys (CVE-2025-61155).
من خلال إسقاط نسخة معاد تسميتها من هذا البرنامج التشغيل المعرض للخطر، UpdateCheckerX64.sys، يمكن للبرامج الخبيثة تنفيذ أوامر ذات امتيازات في مساحة النواة. تعمل أداة “Hotta Killer” كملف DLL باسم polers.dll، ويتم حقنها في عمليات النظام لإخفاء نشاطها. بمجرد تفعيلها، تقوم بإنشاء رابط رمزي للتواصل مع برنامج التشغيل الضار.
تستهدف الأداة بشكل خاص العمليات المرتبطة بالبرامج الأمنية، مثل تلك التي تتطابق مع النمط “Forti*.exe”. من خلال تمرير معرفات العمليات (Process IDs) الخاصة بهذه الأدوات الأمنية إلى برنامج التشغيل، تجبر البرامج الخبيثة النواة على إنهاء (terminating) هذه البرامج، مما يعطل فعليًا دفاعات المؤسسة قبل بدء عملية التشفير. يتطلب ذلك يقظة معززة واستراتيجيات دفاع قوية.
للتخفيف من حدة هذه التهديدات، يجب على المؤسسات حظر تنفيذ برامج الوصول عن بعد غير المصرح بها بشكل صارم، وتقييد اتصالات SMB و RDP بين محطات العمل. بالإضافة إلى ذلك، يمكن أن يمنع حظر اتصالات شبكة PowerShell الصادرة تنزيل الحمولة الخبيثة الأولية. إن مواجهة التهديدات المتطورة مثل Interlock تتطلب نهجاً متعدد الطبقات للأمن السيبراني.