ظهرت عائلتان متطورتان من برامج الفدية، وهما BQTLock و GREENBLOOD، في مشهد الأمن السيبراني، مستخدمتين استراتيجيات متباينة لتعطيل العمليات التجارية وابتزاز الضحايا. وبينما غالبًا ما تتبع هجمات برامج الفدية التقليدية نمطًا يمكن التنبؤ به من التشفير الفوري، تظهر هذه السلالات الجديدة تطورًا خطيرًا في التكتيكات.
تُعطي BQTLock الأولوية للتخفي والتجسس، وتحول الإصابة الأولية بشكل فعال إلى خطر خرق البيانات قبل قفل أي ملفات. وفي المقابل، تم تصميم GREENBLOOD للسرعة المطلقة، مستفيدة من لغة البرمجة Go لتشفير الأنظمة وحذف الأدلة الجنائية في غضون دقائق من التنفيذ.
BQTLock و GREENBLOOD: التهديدات الجديدة في عالم الأمن السيبراني
تختلف نواقل الهجوم لهذه التهديدات بشكل كبير في أهدافها التشغيلية. تعمل BQTLock إلى حد كبير كأداة مراقبة سرية خلال مراحلها المبكرة، وتدمج نفسها بعمق في عمليات النظام المشروعة لتجنب إطلاق أجهزة الإنذار الأمنية. هذا يسمح لمجرمي الإنترنت بالحفاظ على وصول طويل الأمد وجمع المعلومات الحساسة دون اكتشاف فوري.
في المقابل، تتبع GREENBLOOD نهج “الضرب والفرار”، مستخدمة تشفير ChaCha8 السريع لشل الشبكات على الفور، مع الضغط في الوقت نفسه عبر موقع تسريب يعتمد على شبكة TOR. يمثل هذا الازدواجية تحديًا معقدًا للمدافعين، الذين يجب عليهم الآن حساب كل من التجسس البطيء والتدمير عالي السرعة في نفس الوقت.
مراقبة سلوك برامج الفدية
قام محللو Any.Run بتحديد هذه السلوكيات المتباينة خلال جلسات تحليل حديثة في بيئة معزولة، مشيرين إلى أن الاحتواء الفعال يتطلب اكتشاف الهجوم قبل حدوث التشفير. باستخدام منصة Any.Run التفاعلية، تمكن المحللون من ملاحظة سلسلة التنفيذ الكاملة في الوقت الحقيقي.
داخل بيئة Any.Run التفاعلية، أصبح سلوك برامج الفدية ونشاط التنظيف مرئيًا أثناء استمرار التنفيذ، مما سمح بالاكتشاف المبكر خلال المرحلة الأكثر أهمية من الهجوم. يسلط بحثهم الضوء على أن المؤشرات السلوكية المبكرة، مثل حقن العمليات غير المتوقعة أو تعديلات الملفات السريعة، غالبًا ما تكون العلامات التحذيرية الوحيدة المتاحة قبل حدوث أضرار كبيرة.
من خلال مراقبة هذه السلاسل في بيئة خاضعة للرقابة، يمكن لفرق الأمن الانتقال من الاستعادة التفاعلية إلى الاحتواء الاستباقي، وإيقاف التهديد قبل أن يثبّت قدمه.
آليات التهرب والثبات لدى BQTLock
تميز BQTLock نفسها من خلال سلسلة عدوى تقنية للغاية مصممة لتجاوز الدفاعات القياسية. عند التنفيذ، لا يقوم البرنامج الضار على الفور بابتزاز الجهاز. بدلاً من ذلك، يقوم بحقن حمولة Remcos مباشرة في عملية explorer.exe، وهي عملية نظام Windows أساسية.
تسمح هذه التقنية للشفرة الخبيثة بأن تتنكر كنشاط نظام شرعي، مما يعمى بشكل فعال أدوات مكافحة الفيروسات التقليدية التي تثق في عمليات نظام التشغيل القياسية. من خلال الاختباء في وضح النهار، يمكن للمهاجمين التنقل في الشبكة وتصعيد امتيازاتهم دون إثارة أي إنذارات.
لضمان الحفاظ على السيطرة على الجهاز المصاب، يقوم BQTLock بتجاوز التحكم في حساب المستخدم (UAC) باستخدام fodhelper.exe. تمنح هذه المناورة المحددة البرنامج الضار حقوق المسؤول المرتفعة دون مطالبة المستخدم بالإذن. بمجرد الترقية، فإنه ينشئ ثباتًا تلقائيًا، مما يضمن أن الوصول الخبيث يبقى قائمًا بعد إعادة تشغيل النظام.
يسمح هذا المستوى من الوصول المتجذر للمهاجمين بالانتقال إلى مرحلتهم الثانوية: سرقة بيانات الاعتماد والتقاط الشاشات لزيادة النفوذ للابتزاز. يُنصح متخصصو الأمن بالتركيز على المراقبة السلوكية بدلاً من مجرد توقيعات الملفات الثابتة. يمكن أن يكون اكتشاف التفاعل المحدد بين explorer.exe و fodhelper.exe بمثابة تنبيه عالي الدقة لهذه السلالة.
علاوة على ذلك، يجب على المؤسسات التأكد من تحديث خلاصات معلومات التهديدات الخاصة بها للتعرف على وسائط سطر الأوامر والبنية التحتية الفريدة المرتبطة بهذه العائلات الجديدة لمنع الإصابات المتكررة.