تم اكتشاف القراصنة وهم يستخدمون أدوات الأمان الشرعية أثناء هجماتهم

لقد تحسنت عصابات الفدية في تجنب الكشف عنها من خلال “قتلة EDR”، وهي أدوات مصممة لتعطيل أنظمة الأمان في البداية من هجماتها.

The Register تقارير تشير إلى أن باحثين من سيسكو تالوس لاحظوا أن مجموعات الفدية تمكنت بنجاح من تعطيل الحمايات الأمنية في ما يقرب من نصف الحالات التي تم فحصها في عام 2024. من خلال هذه الطريقة، تسمح القراصنة للقراصنة بالبقاء مخفيين لفترة أطول بينما يقومون بسرقة البيانات، وتوزيع برامج الفدية بشكل أكثر فعالية.

بحسب كيندال ماكاي، القائد الاستراتيجي في Talos، يطبق المهاجمون عدة قتلة لـ EDR في كل عملية، كما ذكرته صحيفة The Register. يستخدم المجرمون الإلكترونيون أدوات

EDRSilencer و EDRSandblast و EDRKillShifter و Terminator لإلغاء تنشيط دفاعات الأمان.

تقارير The Register أن بعض برامج الفدية، مثل EDRKillShifter، تستغل ثغرات تعريفات ويندوز لإغلاق تطبيقات الأمان.

توضح The Register أن البرنامج الضار ظهر لأول مرة مع عصابة RansomHub في أغسطس 2024، ومنذ ذلك الحين تم استخدامه بواسطة مجموعات الفدية الأخرى، بما في ذلك Medusa و BianLian و Play.

“الهدف عادة ما يكون هو نفسه: تعطيل حمايات EDR، والسماح للمجرمين بالبقاء غير مكتشفين لفترة أطول في الشبكات المخترقة، ثم مساعدتهم على سرقة البيانات الحساسة وتنفيذ برامج الفدية قبل أن يتم القبض عليهم وطردهم”، كما قالت ماكاي، حسبما أفادت صحيفة The Register.

هذا الهجوم يجعل عملية استعادة الأنظمة المتأثرة أكثر تعقيدًا. ونتيجة لذلك، قد يحتاج بعض المؤسسات أحيانًا إلى مسح شبكاتها بالكامل وإعادة بنائها.

تقول The Register أن ليس كل القتلة في EDR هم برامج ضارة. أظهرت الأبحاث التي أجرتها Talos أن عصابات الفدية غالبًا ما تنفذ الهجمات باستخدام أدوات شرعية.

مثال واحد على ذلك هو HRSword، وهو منتج تجاري طورته شركة Huorong Network Technology المقرها في الصين. تم تصميمه لمراقبة نشاط النظام، لكن القراصنة قاموا بإعادة توجيهه لتعطيل برامج الأمان. “إنه أداة تجارية شرعية، ولكن الآن الجهات الفاعلة المهددة تستخدمها لأغراضها الخاصة”، كما قال ماكاي، حسبما ذكرت The Register.

يستغل المهاجمون أدوات الأمان التي لم يتم إعدادها بشكل صحيح. تعمل منتجات الأمان بدون تخصيص في العديد من المنظمات، مما يخلق مخاطر أمنية لأنظمتهم، كما ذكرت The Register. تضبط بعض المنظمات أدوات الكشف والاستجابة في نقاط النهاية على وضع “التدقيق فقط”، مما يعني أن التهديدات يتم اكتشافها ولكن لا يتم حظرها.

“ربما كان هذا هو الأكثر قلقًا بالنسبة لنا، لأنه ثمرة منخفضة التعليق وشيء يمكن منعه بسهولة من قبل المنظمات،” كما أشارت ماكي كما ذكرت The Register.