رصد فريق كاسبرسكي للاستجابة للطوارئ العالمية استخدام سلالة برمجية فدية لم يسبق رصدها من قبل، كانت انتشرت في هجوم أعقب سرقة بيانات اعتمادية للموظفين، وأُطلق عليها اسم «Ymir».
وتلجأ برمجية الفدية تلك لتوظيف أساليب متقدمة في التشفير والتخفّي. كما تستهدف الملفات بشكل انتقائي وتحاول تفادي الانكشاف، حيث تستخدم مزيجاً من الميزات التقنية والأساليب التي تحسن من فعاليتها.
أساليب تخفٍ غير شائعة عبر التلاعب بالذاكرة
واستغلت مصادر التهديد مزيجاً خارجاً عن المألوف من وظائف إدارة الذاكرة؛ مثل malloc، وmemmove، وmemcmp، بهدف تنفيذ كود خبيث في الذاكرة مباشرة.
ويمثل هذا النهج جنوحاً عن التدفق النموذجي المتسلسل في التنفيذ، والمعهود في أنواع واسعة الانتشار من برمجيات الفدية، وهو ما يعزّز من قدراتها على التخفي.
يُضاف إلى ذلك المرونة التي تتمتع بها برمجية Ymir، فمن خلال استخدام أمر –path، يمكن للمهاجمين أن يحددوا بالدقة والتفصيل المسار الذي يفترض بالبرمجية أن تبحث فيه عن الملفات. وإذا ما وُجد ملف ما ضمن قوائمها البيضاء، فستتخطاه تاركة إياه دون تشفير. وتمنح هذه الميزة المهاجمين تحكماً أكبر فيما هو مشفر وما هو متروك.
استعمال برمجيات خبيثة لسرقة البيانات
في الهجوم الذي رصده خبراء كاسبرسكي، والذي وقع في إحدى القطاعات في كولومبيا، لوحظ استخدام مصادر التهديد لبرمجية RustyStealer؛ وهي نوع من البرمجيات الخبيثة المختصة بسرقة المعلومات، وقصدوا من وراء ذلك الوصول إلى بيانات اعتماد المؤسسات من الموظفين. وكانت تلك الملفات تستخدم لاحقاً لكسب صلاحيات الوصول إلى أنظمة المؤسسة وتولي التحكم لوقت كافٍ لنشر برمجية الفدية.
ويُعرَف نمط الهجمات هذا باسم وساطة الوصول الأولي، إذ يخترق المهاجمون الأنظمة، ويحتفظون بقدرتهم على الوصول. وفي العادة، يتجه وسطاء الوصول الأولي لبيع صلاحية الوصول المكتسبة تلك على الإنترنت المظلم أو لمجرمين سيبرانيين آخرين، لكن في الحالة هذه، يبدو وأنهم قرروا القيام بالهجوم بأنفسهم عبر نشر برمجية الفدية.
و شرح كريستيان سوزا، أخصائي الاستجابة للحوادث ضمن فريق كاسبرسكي للاستجابة للطوارئ العالمية، قائلاً: «في حال ثَبت أن الوسطاء هم بالفعل ذات الأطراف التي أقدمت على نشر برمجية الفدية، فإن في ذلك مؤشراً على توجه جديد، وهو ما يخلق خيارات اختطاف إضافية دون الاتكال على المجموعات التقليدية لبرمجيات الفدية كخدمة (RaaS).»
خوارزمية تشفير متقدمة
وتستعمل برمجية الفدية خوارزمية ChaCha20، وهي خوارزمية حديثة لتشفير التدفق، تُعرَف بسرعتها وأمانها، متفوقة حتى على معيار التشفير المتقدم (AES).
ورغم أن مصدر التهديد المسؤول عن هذا الهجوم لم يُقدم على مشاركة أي بيانات مسروقة إلى العلن، ولم يدلِ بأي مطالب إضافية، إلا أنه الآن تحت مراقبة للباحثين تقصياً عن أي نشاط يستجد. وفي ذلك، يستطرد كريستيان سوزا، موضحاً بالقول: «لم نلحظ ظهور أي مجموعات برمجيات فدية جديدة في السوق غير المشروعة بعد. فقد جرت العادة أن يلجأ المهاجمون إلى المنتديات أو البوابات الخفية كطريقة للضغط على الضحايا وإرغامهم على دفع الفدية، وهو ليس الحال مع برمجية Ymir. وفي ضوء ذلك، يبقى السؤال حول هوية المجموعة المسؤولة عن برمجية الفدية مفتوحاً، ونشتبه في أن ما يجري هو حملة جديدة.»
وخلال بحثهم عن اسم لإطلاقه على التهديد الجديد، وضع خبراء كاسبرسكي في تصورهم أحد أقمار كوكب زحل، والذي يحمل اسم Ymir. حيث أن Ymir هو قمر «غير طبيعي» يتحرك في الاتجاه المعاكس لدوران الكوكب؛ وهي سمة تتشابه على نحو لافت للانتباه مع المزيج غير التقليدي لوظائف إدارة الذاكرة المستخدمة في برمجية الفدية الجديدة.