Trace Id is missing
تخطي إلى المحتوى الرئيسي
Security Insider

إيقاف المجرمين الإلكترونيين من إساءة استخدام أدوات الأمان

مشاركة
مجموعة من الأيقونات على خلفية برتقالية.

تتخذ وحدة الجرائم الرقمية (DCU) التابعة لشركة Microsoft وشركة برمجيات الأمن الإلكتروني Fortra™ ومركز تحليل وتبادل المعلومات الصحية (Health-ISAC) إجراءات فنية وقانونية لتعطيل النسخ القديمة المتصدعة من Cobalt Strike وبرامج Microsoft التي يُساء استخدامها، والتي تم استخدامها من قبل مجرمي الإنترنت لتوزيع البرامج الضارة، بما في ذلك برامج الفدية الضارة. يعد هذا تغييرًا في الطريقة التي عملت بها وحدة التحكم المركزية في الماضي - النطاق أكبر، والعملية أكثر تعقيدًا. بدلاً من تعطيل القيادة والتحكم في عائلة البرامج الضارة، نعمل هذه المرة مع Fortra لإزالة النسخ القديمة غير القانونية من Cobalt Strike بحيث لا يمكن لمجرمي الإنترنت استخدامها بعد الآن.

سنحتاج إلى أن نكون مثابرين بينما نعمل على إزالة النسخ القديمة المتصدعة من Cobalt Strike المستضافة حول العالم. يعد هذا إجراءً مهمًا من جانب Fortra لحماية الاستخدام المشروع لأدوات الأمان الخاصة بها. تلتزم Microsoft بالمثل بالاستخدام المشروع لمنتجاتها وخدماتها. ونعتقد أيضًا أن اختيار Fortra للشراكة معنا في هذا الإجراء يعتبر تقديرًا لأعمال DCU في مكافحة الجرائم الإلكترونية على مدار العقد الماضي. معًا، نحن ملتزمون بملاحقة أساليب التوزيع غير القانونية لمجرمي الإنترنت.

Cobalt Strike هي أداة شرعية وشائعة تستخدم بعد الاستغلال لمحاكاة المتطفلين مقدمة من Fortra. في بعض الأحيان، يتم إساءة استخدام الإصدارات القديمة من البرنامج وتغييرها من قبل المجرمين. ويشار إلى هذه النسخ غير القانونية على أنها "متصدعة" وقد تم استخدامها لشن هجمات مدمرة، مثل تلك التي تستهدف حكومة كوستاريكا و مدير الخدمات الصحية الأيرلندية. يتم إساءة استخدام عدة تطوير برامج Microsoft وواجهات برمجة التطبيقات كجزء من ترميز البرامج الضارة بالإضافة إلى البنية الأساسية لتوزيع البرامج الضارة الإجرامية لاستهداف الضحايا وتضليلهم.

تم ربط عائلات برامج الفدية الضارة المرتبطة بنسخ Cobalt Strike أو التي تم نشرها بواسطة نسخ متصدعة بأكثر من 68 هجمة من برامج الفدية الضارة التي أثرت على مؤسسات الرعاية الصحية في أكثر من 19 دولة حول العالم. وقد كلفت هذه الهجمات أنظمة المستشفيات ملايين الدولارات من تكاليف التعافي والإصلاح، بالإضافة إلى انقطاع خدمات رعاية المرضى الحرجة بما في ذلك تأخر التشخيص والتصوير والنتائج المختبرية، وإلغاء الإجراءات الطبية والتأخير في تقديم علاجات العلاج الكيميائي، على سبيل المثال لا الحصر.

التوزيع العالمي للنسخ المتصدعة من Cobalt Strike
تُظهر بيانات Microsoft الانتشار العالمي لأجهزة الكمبيوتر المصابة بنسخ متصدعة من Cobalt Strike.

في 31 مارس 2023، الولايات المتحدة. أصدرت المحكمة الجزئية للمنطقة الشرقية من نيويورك أمرًا من المحكمة يسمح لشركة Microsoft وFortra وHealth-ISAC بتعطيل البنية الأساسية الضارة التي يستخدمها المجرمون لتسهيل هجماتهم. يتيح لنا القيام بذلك إخطار مقدمي خدمات الإنترنت (ISPs) وفرق الاستعداد لطوارئ الكمبيوتر (CERTs) الذين يساعدون في قطع الاتصال بالبنية الأساسية، مما يؤدي بشكل فعال إلى قطع الاتصال بين المشغلين الإجراميين وأجهزة كمبيوتر الضحايا المصابة.

تضمنت جهود التحقيق التي قامت بها Fortra وMicrosoft الكشف والتحليل والقياس عن بعد والهندسة العكسية، مع بيانات ورؤى إضافية لتعزيز قضيتنا القانونية من شبكة عالمية من الشركاء، بما في ذلك Health-ISAC، وفريق Fortra Cyber التحليل الذكي لمخاطر الإنترنت، وبيانات فريق التحليل الذكي للمخاطر من Microsoft والرؤى. يركز عملنا فقط على تعطيل النسخ القديمة والمتصدعة من Cobalt Strike وبرامج Microsoft المخترقة.

تعمل Microsoft أيضًا على توسيع الطريقة القانونية المستخدمة بنجاح لتعطيل البرامج الضارة وعمليات الدولة القومية لاستهداف إساءة استخدام أدوات الأمان التي يستخدمها نطاق واسع من مجرمي الإنترنت. سيؤدي تعطيل النسخ القديمة المتصدعة من Cobalt Strike إلى إعاقة تحقيق الدخل من هذه النسخ غير القانونية بشكل كبير وإبطاء استخدامها في الهجمات الإلكترونية، مما يجبر المجرمين على إعادة تقييم تكتيكاتهم وتغييرها. يتضمن إجراء اليوم أيضًا مطالبات بحقوق الطبع والنشر ضد الاستخدام الضار لرموز برامج Microsoft وFortra والتي تم تغييرها وإساءة استخدامها لإحداث ضرر.

اتخذت Fortra خطوات كبيرة لمنع إساءة استخدام برامجها، بما في ذلك ممارسات فحص العملاء الصارمة. ومع ذلك، من المعروف أن المجرمين يسرقون الإصدارات القديمة من برامج الأمان، بما في ذلك Cobalt Strike، وإنشاء نسخ متصدعة للوصول إلى الأجهزة من الباب الخلفي ونشر البرامج الضارة. لقد لاحظنا أن مشغلي برامج الفدية الضارة يستخدمون نسخًا متصدعة من Cobalt Strike وأساءوا استخدام برامج Microsoft لنشر Conti وLockBit وغيرها من برامج الفدية الضارة كجزء من برامج الفدية الضارة كنموذج أعمال الخدمة.

تستخدم الجهات الفاعلة في مجال التهديد نسخًا متصدعة من البرامج لتسريع عملية نشر برامج الفدية الضارة على الشبكات المخترقة. يوضح الرسم البياني أدناه تدفق الهجوم، مع تسليط الضوء على العوامل المساهمة، بما في ذلك التصيد الاحتيالي ورسائل البريد الإلكتروني الضارة للوصول الأولي، بالإضافة إلى إساءة استخدام التعليمات البرمجية المسروقة من شركات مثل Microsoft وFortra.

مخطط تدفق هجوم ممثل المخاطر
مثال على تدفق هجوم ممثل المخاطر DEV-0243.
الدفاع الرقمي من Microsoft
مميزة

تقرير الدفاع الرقمي من Microsoft لسنة 2023: بنية المرونة عند التعرض للهجمات عبر الإنترنت

يستكشف الإصدار الأخير من تقرير الدفاع الرقمي من Microsoft مشهد المخاطر المتطور ويتناول الفرص والتحديات عندما نصبح أكثر مرونة عبر الإنترنت.
تعرّف على المزيد

وفي حين أن الهويات الدقيقة لأولئك الذين ينفذون العمليات الإجرامية غير معروفة حاليًا، فقد اكتشفنا بنية تحتية ضارة في جميع أنحاء العالم، بما في ذلك الصين والولايات المتحدة وروسيا. بالإضافة إلى مجرمي الإنترنت ذوي الدوافع المالية، لاحظنا وجود جهات تهديد تعمل لصالح حكومات أجنبية، بما في ذلك روسيا والصين وفيتنام وإيران، باستخدام نسخ متصدعة.

تظل Microsoft وFortra وHealth-ISAC بلا هوادة في جهودنا الرامية إلى تحسين أمن النظام البيئي، ونحن نتعاون مع القسم الإلكتروني التابع لمكتب التحقيقات الفيدرالي، وفرقة العمل الوطنية المشتركة للتحقيق الإلكتروني (NCIJTF) والمركز الأوروبي للجرائم الإلكترونية التابع لليوروبول (EC3) في هذه القضية. وفي حين أن هذا الإجراء سيؤثر على العمليات المباشرة للمجرمين، فإننا نتوقع تمامًا أنهم سيحاولون إحياء جهودهم. وبالتالي فإن عملنا ليس واحدًا ويتم إنجازه. من خلال الإجراءات القانونية والفنية المستمرة، ستواصل Microsoft وFortra وHealth-ISAC، جنبًا إلى جنب مع شركائنا، المراقبة واتخاذ الإجراءات اللازمة لتعطيل المزيد من العمليات الإجرامية، بما في ذلك استخدام النسخ المكسورة من Cobalt Strike.

تكرس Fortra قدرًا كبيرًا من الموارد الحاسوبية والبشرية لمكافحة الاستخدام غير القانوني لبرامجها والنسخ المكسورة من Cobalt Strike، مما يساعد العملاء على تحديد ما إذا كانت تراخيص البرامج الخاصة بهم قد تعرضت للاختراق. يتم فحص ممارسي الأمن الشرعيين الذين يشترون تراخيص Cobalt Strike بواسطة Fortra ويطلب منهم الالتزام بقيود الاستخدام وضوابط التصدير. تعمل Fortra بنشاط مع مواقع التواصل الاجتماعي ومواقع مشاركة الملفات لإزالة النسخ المتصدعة من Cobalt Strike عند ظهورها على مواقع الويب هذه. ومع قيام المجرمين بتكييف تقنياتهم، قامت Fortra بتكييف عناصر التحكم الأمنية في برنامج Cobalt Strike للقضاء على الأساليب المستخدمة لاختراق الإصدارات القديمة من Cobalt Strike.

وكما فعلنا منذ عام 2008، ستواصل وحدة DCU في Microsoft جهودها لوقف انتشار البرامج الضارة عن طريق رفع دعوى مدنية لحماية العملاء في عدد كبير من البلدان حول العالم حيث يتم تطبيق هذه القوانين. وسنواصل أيضًا العمل مع مزودي خدمات الإنترنت وفرق الاستجابة لحالات الطوارئ الحاسوبية لتحديد الضحايا وعلاجهم.

المقالات ذات الصلة

ثلاث طرق لحماية نفسك من برامج الفدية الضارة

يتطلب الدفاع الحديث عن برامج الفدية الضارة أكثر من مجرد إعداد تدابير الكشف. اكتشف أفضل ثلاث طرق يمكنك من خلالها تعزيز أمان شبكتك ضد برامج الفدية الضارة اليوم.
تعرّف على المزيد

برامج الفدية الضارة كخدمة: الوجه الجديد للجرائم الإلكترونية الصناعية

إن أحدث نموذج أعمال لجرائم الإنترنت، وهو الهجمات التي يديرها الإنسان، يشجع المجرمين ذوي القدرات المختلفة.
تعرّف على المزيد

ما وراء الكواليس للجريمة الإلكترونية ومكافحة برامج الفدية الضارة مع الخبير نيك كار

يناقش نيك كار، قائد فريق استخبارات الجرائم الإلكترونية في مركز عمليات الدفاع الإلكتروني من Microsoft، اتجاهات برامج الفدية الضارة، ويشرح ما تقوم به Microsoft لحماية العملاء من برامج الفدية الضارة، ويصف ما يمكن للمؤسسات فعله إذا تأثرت به.
تعرّف على المزيد

متابعة الأمان من Microsoft