كشف باحثو كاسبرسكي في تقرير جديد بعنوان "BlackCat جالبة الحظ السيئ" عن تفاصيل حادثين نفذتهما عصابة طلب الفدية BlackCat، التي تُعدّ أحد أبرز عصابات الإنترنت المختصة في هذا المجال، نظرًا لتعقيد البرمجيات التي تستخدمها واتساع خبرة الذين يقفون وراءها. وتؤكد الأدوات والأساليب التي توظفها العصابة أثناء هجماتها وجود صلة بينها وبين عصابات فدية أخرى معروفة، مثل BlackMatter وREvil.
وظهرت عصابة BlackCat في مجال تهديدات طلب الفدية منذ ديسمبر 2021، وبخلاف العديد من الجهات الفاعلة في هذا المجال، فإن برمجيات BlackCat الخبيثة تُكتب بلغة البرمجة Rust، ذات الإمكانيات البرمجية المتقدمة التي تتيح للعصابة استهداف أنظمة "ويندوز" و"لينكس". وقد استطاعت BlackCat إدخال تطوّرات تدريجية وإحداث تحوّل في التقنيات المستخدمة للتصدّي للتحدّيات التي تواجه مشهد تطوير هجمات برمجيات الفدية.
وتزعم العصابة بأنها تأتي خلَفًا لعصابتي طلب الفدية الشهيرتين BlackMatter وREvil، وتشير قياسات كاسبرسكي المستمدّة عن بعد إلى وجود روابط مباشرة بين بعض أعضاء عصابة BlackCat وعصابة BlackMatter، نظرًا لاستخدامهم أدوات وتقنيات مشابهة.
وألقى باحثو كاسبرسكي الضوء في التقرير الجديد على حادثين رقميين مهمّين، يوضح أحدهما الأخطار التي تمثلها موارد الاستضافة المشتركة في البيئات السحابية، والآخر يوضح نهجًا يتسم بالخفة في إعادة استخدام البرمجيات الخبيثة المعدَّلة والمستخدمة في أنشطة BlackMatter وBlackCat.
ويتمثل الحادث الأول بهجوم شُنّ ضدّ أحد مقدّمي خدمات التخطيط للموارد المؤسسية في الشرق الأوسط له مواقع متعددة ويعاني ثغرات أمنية. وأوصل المهاجمون بالتزامن ملفين تنفيذيين مختلفين إلى جهاز خادم واحد، مستهدفين شركتين من الشركات التي يستضيفها عليه. وبالرغم من أن العصابة ظنّت بالخطأ أن الخادم عبارة عن جهازين مختلفين، فقد ترك المهاجمون "مسارات" كانت مهمّة لتحديد أسلوب التشغيل المتبع من عصابة BlackCat، التي وجد باحثو كاسبرسكي أنها تستغلّ الأخطار الكامنة في الأصول المشتركة في الموارد السحابة. كذلك قامت العصابة في هذا الحادث بإيصال ملف "باتش" مبني ببرمجية Mimikatz، مع برمجيات تنفيذية وأدوات Nirsoft خاصة باستعادة كلمات المرور.
وكان حادث مماثل وقع في العام 2019 ظهر فيه أن REvil، التي سبقت ظهور BlackMatter، قد اخترقت خدمة سحابية تدعم الكثير من عيادات الأسنان في الولايات المتحدة. ومن المرجح أن تكون BlackCat قد تبنَّت بدورها حاليًا بعض هذه الأساليب القديمة.
أما الحادث الآخر، فأصاب شركة عاملة في مجالات النفط والغاز والتعدين والإنشاءات في أمريكا الجنوبية، ويكشف عن العلاقة بين نشاط BlackCat وBlackMatter في نشاط طلب الفدية. ولم يقتصر الأمر على محاولة العصابة إيصال برمجية طلب الفدية BlackCat إلى الشبكة المستهدفة، ولكنها استبقت هذه الخطوة بتثبيت أداة التنقية المعدّلة Fendr، التي تُعرف أيضًا بالاسم ExMatter، والتي كانت تُستخدم سابقًا وحصريًا ضمن نشاط طلب الفدية الخاص بالعصابة BlackMatter.
وقال ديميتري غالوف الباحث الأمني في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن العصابة BlackCat حلّت محلّ العصابتين REvil وBlackMatter بعد أن أنهتا نشاطهما بوقت قصير، موضحًا أن هذه العصابة الجديدة استطاعت أن تصبح إحدى أبرز العصابات في مجال برمجيات طلب الفدية، بفضل المعرفة بتطوير البرمجيات الخبيثة، والقدرة على ابتكار برمجيات خبيثة من الصفر باستخدام لغة برمجة غير مألوفة، والخبرة في الحفاظ على البنية التحتية. وأضاف: "استطعنا من خلال تحليل هذه الحوادث الكبيرة، الكشف عن الأدوات والتقنيات التي تستخدمها BlackCat أثناء اختراق شبكات ضحاياها، ما يساعدنا في الحفاظ على أمن مستخدمينا وحمايتهم من التهديدات المعروفة والمجهولة. ونحثّ مجتمع الأمن الرقمي على التعاون وتوحيد الجهود ضد عصابات مجرمي الإنترنت الجدد من أجل مستقبل أكثر أمانًا".