يواصل برمجية الفدية Makop ، وهي سلالة من عائلة برمجيات Phobos الخبيثة التي تم اكتشافها لأول مرة في عام 2020، التطور لتشكل تهديداً كبيراً للشركات على مستوى العالم. تكشف التحليلات الأخيرة أن المهاجمين يجمعون بين هجمات بروتوكول سطح المكتب البعيد (RDP) بتقنيات تصعيد الامتيازات المتطورة وأدوات تجاوز الأمان لاختراق المنظمات.
تطور Makop Ransomware: تهديد متزايد للأمن السيبراني
تستهدف الغالبية العظمى من الهجمات، التي تمثل 55 بالمائة من جميع الحوادث، على وجه التحديد الشركات في الهند، على الرغم من الإبلاغ عن اختراقات في البرازيل وألمانيا ومناطق أخرى. يفضل المهاجمون الأساليب منخفضة التعقيد وعالية التأثير، مستفيدين من الأدوات الجاهزة والثغرات الأمنية المعلنة علناً لزيادة فرص نجاحهم وتقليل مخاطر الكشف.
عادة ما يتبع هجوم Makop النموذجي تقدمًا منظمًا يبدأ باستغلال بروتوكول سطح المكتب البعيد (RDP). يكتسب المشغلون وصولاً مبدئيًا باستخدام أدوات القوة الغاشمة مثل NLBrute لكسر بيانات اعتماد RDP الضعيفة أو المعاد استخدامها على الأنظمة المكشوفة.
بمجرد الدخول إلى الشبكة، ينشر المهاجمون مجموعة أدوات تتضمن ماسحات الشبكة، واستغلالات تصعيد الامتيازات، وأدوات إزالة مكافحة الفيروسات، وأدوات استخلاص بيانات الاعتماد. يسمح هذا النهج المنهجي لهم بالتحرك جانبيًا عبر الشبكة، واستخراج المعلومات الحساسة، وفي النهاية نشر حمولات التشفير.
إذا اكتشفت الحلول الأمنية أنشطتهم خلال هذه العملية، فقد يحاول المهاجمون تقنيات تهرب متقدمة أو يتخلون عن الهدف بالكامل إذا لم يتمكنوا من تجاوز الدفاعات. حدد محللو Acronis للأمن أن مشغلي Makop أضافوا قدرات جديدة إلى ترسانة هجومهم التقليدية، بما في ذلك برمجية GuLoader الخبيثة لتوصيل حمولات ثانوية. يوضح هذا التطور كيف يتغير مشهد التهديدات باستمرار، مع قيام مجموعات برمجيات الفدية بدمج آليات توصيل وبروتوكولات أكثر تطوراً.
أساليب التخفي ونشر البرمجيات الخبيثة
تستخدم البرمجية الخبيثة تسمية ملفات خادعة والتنفيذ من أدلة غير قياسية لتجنب الكشف. غالباً ما يتم تسمية الملفات التنفيذية باستخدام أنماط مثل taskmgr.exe و bug_hand.exe و mc_osn.exe، والتي يمكن الخلط بينها وبين عمليات Windows الشرعية.
غالباً ما يتم إسقاط الأدوات في مشاركات RDP المركبة على الشبكة، وأدلة الموسيقى، والمجلدات المكتبية للاندماج مع نشاط المستخدم العادي وتقليل وضوحها لحلول المراقبة الأمنية. يكشف تدفق الهجوم أن المهاجمين يعطون الأولوية للاكتشاف والحركة الجانبية قبل محاولة تعطيل البرامج الأمنية.
يستخدمون أدوات مثل NetScan و Advanced IP Scanner و Masscan لسرد البنية التحتية للشبكة وتحديد الأهداف ذات القيمة العالية. لتصعيد الامتيازات، فإنهم يستغلون مجموعة واسعة من ثغرات Windows، بدءًا من CVEes القديمة ذات الاستغلالات المستقرة وصولاً إلى تلك التي تم تصحيحها حديثًا.
تصعيد الامتيازات واستغلال برامج التشغيل: العمود الفقري لنجاح Makop
تعتمد فعالية Makop إلى حد كبير على مجموعتها الشاملة من استغلالات تصعيد الامتيازات المحلية التي تمكن المهاجمين من الانتقال من الوصول على مستوى المستخدم إلى الامتيازات على مستوى النظام. تحتفظ مجموعة برمجيات الفدية بالعديد من بادئات تصعيد الامتيازات المحلية في أدواتها، مما يضمن أنه إذا فشل استغلال واحد أو تم تصحيحه، تبقى الخيارات البديلة متاحة.
تشمل الثغرات الأمنية الأكثر استغلالاً بشكل متكرر CVE-2017-0213 و CVE-2018-8639 و CVE-2021-41379 و CVE-2016-0099، والتي توفر جميعها مسارات موثوقة للوصول على مستوى النظام. تستهدف هذه الثغرات الأمنية مكونات Windows الأساسية، بما في ذلك أنظمة النواة الأساسية، وواجهات برامج التشغيل، وخدمات Windows Installer، والأدوات المساعدة للنظام، مما يجعلها فعالة بشكل خاص لبرامج الفدية.
يشير وجود استغلالات تغطي سنوات متعددة إلى أن الثغرات الأمنية القديمة لا تزال قيمة عندما تظل الأنظمة غير مصححة أو عندما تفشل المؤسسات في تطبيق التحديثات الأمنية على الفور. ما يميز نهج Makop هو دمج تقنيات Bring Your Own Vulnerable Driver (BYOVD) باستخدام برامج تشغيل موقعة بشكل شرعي.
يستغل ThrottleStop.sys، وهو برنامج تشغيل حقيقي تم تطويره بواسطة TechPowerUp لمراقبة الاختناق في وحدة المعالجة المركزية، ثغرة أمنية (CVE-2025-7771) يستغلها المهاجمون لمعالجة الوصول إلى الذاكرة وتعطيل الأدوات الأمنية. وبالمثل، تم استخدام hlpdrv.sys في حملات سابقة لبرامج الفدية من قبل مجموعات مثل MedusaLocker و Akira.
من خلال الاستفادة من برامج التشغيل الموقعة من قبل بائعين شرعيين، يتجاوز المهاجمون التحقق من توقيع برنامج التشغيل، مما يمكنهم من تنفيذ تعليمات برمجية على مستوى النواة دون إطلاق تنبيهات أمنية. تعكس هذه التقنية فهمًا متطورًا لبنية أمان Windows، وتوضح كيف يواجه المدافعون تحديات عندما يتم تسليح الأدوات الإدارية الشرعية من قبل الجهات الفاعلة في مجال التهديد التي تسعى إلى الحفاظ على الاستمرارية وتجنب الكشف.