ما هو برنامج BlackCat Ransomware في مجال التشفير؟

ظهور هجمات برامج الفدية المشفرة

تستمر هجمات برامج الفدية في اجتياح عالم العملات المشفرة، وأحد أبرز اللاعبين فيها هي مجموعة BlackCat.

أصبحت هجمات برامج الفدية التي تستهدف العملات المشفرة واسعة الانتشار. تعد العملات المشفرة، كونها مجهولة المصدر ولامركزية، جذابة لمجرمي الإنترنت. إنهم يفضلون بشكل متزايد إخفاء الهوية النسبية للعملات المشفرة وسهولة النقل عبر الحدود.

تستغل مجموعات برامج الفدية، بما في ذلك BlackCat، هذه الميزات من خلال المطالبة بالمدفوعات بالعملات المشفرة، مما يجعل من الصعب على السلطات تتبع الأموال المسروقة واستعادتها. كان هناك ارتفاع كبير في وتيرة وشدة الهجمات في عام 2024.

أشار تقرير الجرائم الإلكترونية للعملات المشفرة الصادر عن تشيناليسيس إلى هذا الاتجاه المتزايد:

• تم تسجيل 1.9 مليار دولار أمريكي من مدفوعات برامج الفدية في عام 2024 بحلول منتصف العام، بزيادة قدرها 80% عن العام السابق.
• وارتفع متوسط ​​طلب الفدية بنسبة 30% في عام 2024، ليصل إلى ما يقرب من 6 ملايين دولار لكل هجوم.

لم تكن شركات مثل MGM Resorts أو UnitedHealth فقط هي التي وقعت ضحية لطلب فدية بملايين الدولارات في شكل عملة البيتكوين والعملات المشفرة الأخرى. وحتى المستثمرين الأفراد يتم استهدافهم. يستخدم مجرمو الإنترنت أساليب متطورة بشكل متزايد، مثل الابتزاز المزدوج، حيث يقوم المتسللون بتشفير البيانات والتهديد بالإفراج عن معلومات حساسة ما لم يتم دفع مبلغ إضافي.

كيف يمكن لصناعة العملات المشفرة التصدي لهذه الهجمات المعقدة؟ تعمق في هجمات برامج الفدية المشفرة الخاصة بـ BlackCat، واطلع على كيفية عمل المجموعة واكتشف ما يمكن فعله للحماية من تهديدات blockchain المتزايدة.

شرح هجوم برنامج الفدية BlackCat

برنامج BlackCat Ransomware، المعروف أيضًا باسم Noberus أو ALPHV Ransomware، هو نوع من البرامج الضارة التي أنشأتها مجموعة من مجرمي الإنترنت الناطقين بالروسية.

BlackCat هي مجموعة متطورة للغاية من برامج الفدية كخدمة (RaaS) والتي تصدرت عناوين الأخبار مرارًا وتكرارًا بسبب هجماتها المدمرة في عالم العملات المشفرة. ظهرت المجموعة لأول مرة في نوفمبر 2021 واستهدفت منذ ذلك الحين مئات المنظمات في جميع أنحاء العالم، بما في ذلك Reddit في عام 2023 وChange Healthcare في عام 2024.

تعمل BlackCat من خلال طريقة عمل محددة — اختراق الأنظمة، وتشفير البيانات، والمطالبة بفديات ضخمة مدفوعة بالعملات المشفرة لاستعادة الوصول. ما يميز BlackCat عن برامج الفدية الأخرى هو بنية الترميز المتقدمة وطرق الهجوم القابلة للتخصيص، والتي غالبًا ما يتم تصميمها وفقًا لنقاط الضعف لكل هدف، مما يجعلها فعالة للغاية.

عندما بدأت، تم تصميم BlackCat لدعم مجموعة واسعة من أنظمة التشغيل، من Windows إلى Linux، باستخدام لغة برمجة Rust النادرة، والتي تتيح مرونة وسرعة كبيرة في التشفير.

بحلول عام 2024، صعدت BlackCat جهودها، مستغلة نقاط الضعف في كل من البنية التحتية للشركات ومنصات العملات المشفرة. غالبًا ما تتبع الهجمات نموذج الابتزاز المزدوج، حيث لا يتم تشفير البيانات فحسب، بل تتم سرقة المعلومات الحساسة ويتبعها تهديدات بتسريبها ما لم يتم دفع مبلغ إضافي. وهذا التكتيك يمنح الجماعة نفوذاً هائلاً على ضحاياها.

ما يجعل BlackCat أكثر رعبًا هو الطريقة التي يعمل بها النموذج. لديهم نموذج تابع لامركزي، مما يعني أنهم يقومون بتجنيد المتسللين على مستوى العالم الذين يمكنهم مزامنة وتنفيذ الهجمات نيابة عنهم، ولكل منهم حمولات قابلة للتخصيص. باختصار، يعرف BlackCat كيفية العثور على نقاط الضعف والضرب حيثما كان ذلك مؤلمًا.

هل تعلم؟ تقدم وزارة الخارجية الأمريكية مكافأة تصل إلى 10 ملايين دولار للحصول على معلومات تؤدي إلى تحديد هوية أو تحديد موقع الأفراد الذين يشغلون مناصب قيادية رئيسية داخل المجموعة التي تقف وراء هجمات برنامج الفدية BlackCat.

كيف يعمل برنامج الفدية BlackCat

يُعرف برنامج BlackCat Ransomware بنهجه الدقيق والمحسوب في التعامل مع الجرائم الإلكترونية، مما يجعله تهديدًا هائلاً في المشهد الرقمي.

فيما يلي تفصيل لكيفية عمل برنامج BlackCat Ransomware:

• الوصول الأولي: عادةً ما يتسلل BlackCat إلى الأنظمة من خلال رسائل البريد الإلكتروني التصيدية أو بيانات الاعتماد المسروقة أو استغلال نقاط الضعف غير المصححة.
• إرساء الثبات: يقوم المهاجمون بتثبيت أبواب خلفية للحفاظ على الوصول وجمع بيانات الاعتماد للحركة الجانبية داخل الشبكة.
• تشفير البيانات: باستخدام لغة برمجة Rust، يقوم BlackCat بتشفير الملفات المهمة، مما يجعلها غير قابلة للاستخدام بدون مفتاح فك التشفير.
• الابتزاز المزدوج: يقوم المهاجمون بسرقة البيانات قبل تشفيرها، ويهددون بتسريبها إذا لم يتم دفع الفدية.
• مطالب الفدية: تتم المطالبة بالمدفوعات بالعملات المشفرة مثل Bitcoin (BTC) أو Monero (XMR)، والتي تعادل ملايين الدولارات، مما يضمن عدم الكشف عن هوية المهاجم.
• هجمات قابلة للتخصيص: يمكن للشركات التابعة تخصيص برامج الفدية لضحايا محددين، واستهداف منصات Windows أو Linux باستخدام تقنيات متقدمة لتجنب اكتشافها.

يُطلب من الضحايا دفع فدية بالعملة المشفرة، مما يسمح بعدم الكشف عن هويتهم ويجعل من المستحيل تقريبًا على السلطات تتبع الأموال أو استردادها. يعد تأثير BlackCat على مجال العملات المشفرة بمثابة تذكير بأهمية تأمين الأصول الرقمية والبنية التحتية ضد هذه التهديدات السيبرانية دائمة التطور.

هل تعلم؟ إن استخدام BlackCat للغة برمجة Rust يمنحها المرونة لاستهداف أنظمة Windows وLinux، مما يجعلها أكثر قدرة على التكيف من برامج الفدية الأخرى.

نموذج الشركات التابعة لـ BlackCat

الشركات التابعة هي قراصنة مستقلون يتعاونون مع مجموعة BlackCat، مستفيدين من نموذج وأدوات RaaS المتطورة الخاصة بها.

تزدهر عمليات BlackCat على نموذج الشركة التابعة، حيث يساهم العديد من الجهات الفاعلة في انتشارها على نطاق واسع. وإليك كيفية عمل ذلك:

• البرنامج التابع: يقوم مجرمو الإنترنت بالتسجيل في برنامج BlackCat للوصول إلى حمولات برامج الفدية وتوزيعها.
• نموذج تقاسم الأرباح: تربح الشركات التابعة جزءًا كبيرًا من أي فدية تجمعها، بينما يتم إرسال حصة إلى مطوري BlackCat.
• أساليب الابتزاز المزدوج: غالبًا ما تستخدم الشركات التابعة نهجًا ذا شقين من خلال تشفير البيانات والتهديد بتسريبها ما لم يتم دفع الفدية.
• حمولات قابلة للتخصيص: يوفر BlackCat للشركات التابعة القدرة على تخصيص برامج الفدية لأهداف محددة، مما يجعل الدفاع ضد الهجمات أكثر صعوبة.
• مدفوعات العملة المشفرة: تطلب الشركات التابعة فدية بالعملات المشفرة، مما يوفر عدم الكشف عن هويتها ويجعل تتبع المدفوعات أمرًا صعبًا للغاية.

لقد مكّن نموذج الشراكة هذا شركة BlackCat من التوسع بسرعة ومهاجمة مجموعة متنوعة من الأهداف ذات القيمة العالية عبر قطاعات مختلفة.

الهجمات المؤسسية لبرامج الفدية BlackCat

تمكنت مجموعة BlackCat من استهداف مؤسسات رفيعة المستوى، مما تسبب في آثار تشغيلية ومالية كبيرة.

فيما يلي بعض دراسات الحالة البارزة التي توضح نطاق وشدة هجمات BlackCat المؤسسية:

• مجموعة ناقلات النفط وهجوم مبنافت: ضربت شركة BlackCat مجموعة OilTanking وMabanaft في أوائل عام 2022. وأدى الهجوم إلى إغلاق أنظمة تخزين وتوزيع الوقود الخاصة بهما، مما أدى إلى تعطيل سلاسل التوريد في ألمانيا بشكل كبير. طالب المتسللون بفدية كبيرة لإطلاق الأنظمة المشفرة، على الرغم من عدم الكشف عن المبلغ الدقيق على نطاق واسع (مع تخصيص 5 إلى 7 أيام لشراء عملة بيتكوين أو مونيرو المشفرة لدفع الفدية). ولم يتم الإبلاغ عن أي اعتقالات على صلة بهذا الهجوم. ​
• منتجعات إم جي إم وسيزارز إنترتينمنت: في سبتمبر 2023، شاركت BlackCat في هجوم رفيع المستوى ببرنامج فدية على MGM Resorts International وCaesars Entertainment. كانت المخاطر كبيرة، حيث واجه سيزارز في البداية طلبًا بمبلغ 30 مليون دولار من عملة البيتكوين، لكنه تمكن من التفاوض على مبلغ يصل إلى 15 مليون دولار. ومع ذلك، رفضت منتجعات MGM دفع الفدية، مما أدى إلى إغلاق العمليات لمدة أسابيع وخسارة مالية قدرها 100 مليون دولار خلال هذا الربع. تم تنفيذ هذا الهجوم من قبل شركة Scattered Spider التابعة لشركة BlackCat، وهي مجموعة من المتسللين الأمريكيين والبريطانيين.
• تغيير الرعاية الصحية: في أوائل عام 2024، هاجمت BlackCat شركة Change Healthcare، وهي شركة تابعة لمجموعة UnitedHealth Group، مما أدى إلى سرقة بيانات المرضى الحساسة واضطرابات تشغيلية. لاستعادة أنظمتها، ورد أن شركة Change Healthcare دفعت فدية قدرها 22 مليون دولار بعملة البيتكوين. سلط هذا الحدث الضوء على الخطر المتزايد لهجمات برامج الفدية في قطاع الرعاية الصحية والوضع غير المستقر الذي تواجهه الشركات عند التعامل مع مجرمي الإنترنت هؤلاء.

الحماية من برامج الفدية BlackCat

إن فهم الأسباب الجذرية وكيفية عمل برامج الفدية هو الخطوة الأولى نحو الحماية منها.

للحماية من برنامج BlackCat Ransomware، من الضروري تجنب الأخطاء واتخاذ التدابير الوقائية، بما في ذلك:

• قم بعمل نسخة احتياطية لبياناتك بانتظام: يمكن أن تكون النسخ الاحتياطية المتكررة والمشفرة المخزنة دون الاتصال بالإنترنت بمثابة شريان الحياة إذا تم تشفير ملفاتك.
• إنشاء بروتوكولات قوية للأمن السيبراني: تأكد من أن فريق الأمن السيبراني في المؤسسة يجري تقييمات منتظمة لنقاط الضعف ويفرض بروتوكولات الأمان مثل المصادقة متعددة العوامل ومراقبة الشبكة.
• تدريب الموظفين: ويجب على الفريق أيضًا توفير التدريب للموظفين للتأكد من فهم الجميع واتباعهم لأفضل الممارسات الأمنية عبر قنوات ومنصات العمل الرسمية.
• تثبيت برنامج مكافحة الفيروسات: يمكن أن يساعد نظام مكافحة الفيروسات القوي في اكتشاف البرامج الضارة وإيقافها قبل أن يقوم بتشفير ملفاتك.
• الحذر من محاولات التصيد: كن نشطًا في اكتشاف وتجنب رسائل البريد الإلكتروني التصيدية التي قد تحمل حمولات برامج الفدية.
• توظيف أنظمة إدارة كلمات المرور: يمكن أن يؤدي فرض تحديثات منتظمة لكلمات المرور إلى منع مجرمي الإنترنت من الوصول إلى الحسابات.
• تقسيم شبكتك: يمكن أن يؤدي عزل أجزاء من شبكتك إلى الحد من انتشار برامج الفدية.

على الرغم من مواجهة حملات القمع من قبل جهات إنفاذ القانون الدولية، تظل BlackCat تمثل تهديدًا كبيرًا في عام 2024. لذلك، يجب على مستخدمي العملات المشفرة أن يظلوا يقظين، وأن يعززوا تدابير الأمن السيبراني الخاصة بهم، وأن يظلوا على اطلاع دائم بتهديدات برامج الفدية المتطورة.