ظهر برنامج الفدية “Fog” كتهديد جديد يثير قلق المنظمات التعليمية والترفيهية في الولايات المتحدة، حيث استهدفت هجماته الأخيرة هذه القطاعات بشكل ملحوظ. بدأت مختبرات Arctic Wolf Labs في رصد نشاط هذا البرنامج الخبيث في أوائل مايو 2024، مشيرة إلى أن 80% من المنظمات المتضررة تعمل في مجال التعليم، بينما تشكل المنظمات الترفيهية 20% من الضحايا.
تُظهر الحالات المسجلة أن أنماط الهجوم والإجراءات المستخدمة متشابهة إلى حد كبير، مما يدل على حملة مستهدفة جغرافياً حيث تتركز جميع الضحايا داخل الولايات المتحدة. يأتي هذا التطور ليؤكد على استمرار التحديات الأمنية التي تواجه المؤسسات في مواجهة التهديدات السيبرانية المتجددة.
برنامج الفدية “Fog” وسلوك المهاجمين
من المهم ملاحظة أن “Fog” يُعد نوعًا جديدًا من برامج الفدية، وليس مجموعة تهديد جديدة بالمعنى الكامل. هذا التفريق مهم، حيث أن مجموعات برامج الفدية غالبًا ما تبدو كيانات موحدة، لكنها في الواقع قد تضم فرقًا مستقلة تعمل بشكل منفصل. لا يزال الهيكل التنظيمي وراء “Fog” غير واضح حاليًا، لكن الأدلة تشير إلى وجود نشاط منسق بين الجهات الفاعلة في التهديد.
آخر نشاط هجومي موثق في الحالات التي تم التحقيق فيها وقع في 23 مايو 2024. اكتشف محللو Arctic Wolf malware بعد التحقيق في هذه الحالات في أوائل مايو. وأشار فريق البحث إلى أن الأدلة الجنائية في كل حالة تم التحقيق فيها تشير إلى أن ممثلي التهديد حصلوا على وصول إلى بيئات الضحايا عن طريق استغلال بيانات اعتماد VPN المخترقة عبر بائعي بوابة VPN منفصلين. أصبح هذا الأسلوب هو نقطة الدخول الرئيسية للحملة، مما يسلط الضوء على نقاط الضعف في وضع الأمان عن بعد.
منهجية الهجوم وآليات الإصابة
بمجرد دخول المهاجمين إلى الشبكات، استخدموا نهجًا متعدد المراحل يجمع بين تكتيكات اختبار الاختراق الشائعة ونشر برامج الفدية. استهدفت أنشطة “Pass-the-hash” حسابات المسؤولين، والتي استخدمت بعد ذلك لإنشاء اتصالات RDP إلى خوادم Windows التي تعمل على أنظمة Hyper-V وأنظمة النسخ الاحتياطي من Veeam. في حالة أخرى، سهلت عملية “credential stuffing” الحركة الجانبية في جميع أنحاء البيئة.
تم نشر PsExec عبر مضيفين متعددين، بينما وفرت بروتوكولات RDP و SMB الوصول إلى الأنظمة المستهدفة. قبل بدء التشفير، تم تعطيل Windows Defender على الخوادم المتأثرة، مما أزال طبقة دفاع حيوية. تظهر حمولة برامج الفدية تقنيات شائعة في أنواع أخرى، مع احتواء عينات من حالات مختلفة على كتل تعليمات برمجية متطابقة.
عند التنفيذ، يقوم البرنامج بإنشاء ملف باسم DbgLog.sys في دليل %AppData% لتسجيل حالة النشاط. تشير روتين التهيئة إلى NTDLL.DLL ووظيفة NtQuerySystemInformation لجمع معلومات النظام لتخصيص الخيوط. تتضمن خيارات سطر الأوامر NOMUTEX للتنفيذ المتزامن، و TARGET لمواقع اكتشاف محددة، و CONSOLE لعرض الإخراج.
تتحكم كتلة تكوين JSON في أنشطة التشفير، بما في ذلك مفتاح RSA العام، وملحقات الملفات (عادةً .FOG أو .FLOCKED)، وأسماء ملاحظات الفدية، وإجراءات إيقاف تشغيل الخدمة. يستخدم اكتشاف الملفات واجهات برمجة تطبيقات Windows القياسية مثل FindFirstVolume و FindFirstFile، مع استخدام متغيرات Unicode في جميع أنحاء العملية. تستخدم عملية التشفير مجمع خيوط مُصمم بناءً على معالجات النظام، تتراوح من اثنين إلى ستة عشر، وتنفذ وظائف CryptImportKey و CryptEncrypt قبل إعادة تسمية الملفات بالملحقات المكونة وكتابة ملاحظات الفدية.
أخيرًا، يتم تنفيذ vssadmin.exe بأوامر delete shadows /all /quiet لإزالة نسخ ظل وحدة التخزين، مما يلغي خيارات استعادة النسخ الاحتياطي. أظهر المهاجمون دافعًا ماليًا مع جداول تشفير سريعة وعدم وجود تسرب للبيانات، مما يشير إلى نوايا تحقيق مكاسب سريعة بدلاً من مخططات ابتزاز معقدة تتضمن مواقع تسريب عامة. يجب على المنظمات إعطاء الأولوية لتأمين البنية التحتية لـ VPN، وتطبيق المصادقة متعددة العوامل، وصيانة أنظمة نسخ احتياطي آمنة خارج الموقع، ونشر استراتيجيات الدفاع المتعمق.