أصبح هذا المقال ممكنًا بفضل المساهمات التي قدَّمها Aaron Gdanski.
قامت فِرق الاستجابة للحوادث واستعلامات التهديدات في IBM X-Force بالتحقيق في العديد من هجمات برامج الفدية Akira منذ ظهور هذه المجموعة من الجهات الفاعلة في التهديدات في مارس 2023. ستشارك هذه المدونة وجهة نظر X-Force الفريدة حول Akira التي تم اكتسابها أثناء مراقبة الجهات الفاعلة التي تقف وراء برنامج الفدية هذا، بما في ذلك الأوامر المستخدمة لنشر برنامج الفدية، والاستغلال النشط للثغرة CVE-2023-20269 وتحليل الملف الثنائي لبرنامج الفدية.
اكتسبت مجموعة برامج الفدية Akira شهرة سيئة في المشهد الحالي للأمن الإلكتروني، وهو ما أكدته الوكالة الإلكترونية وأمن البنية التحتية (CISA) التي أصدرت مؤخرًا تحذيرًا بشأن الأمن الإلكتروني بشأن المجموعة ومئات الضحايا الذين سقطوا ضحايا لبرامج الفدية Akira في مختلف الصناعات والمناطق الجغرافية.
يستخدم المهاجمون في شبكة Akira أسلوب ابتزاز مزدوج يتضمن كلًا من تسريب البيانات والتشفير على مستوى المؤسسة. يطالب المنتسبون إلى Akira بدفع فدية لمنع المجموعة من نشر الملفات على موقعهم على شبكة أونيون والحصول على مفتاح فك التشفير لاستعادة الملفات المتضررة. ويبدو أن اسم المجموعة يشير إلى حبكة فيلم الأنمي صدر عام 1988 يحمل نفس الاسم.
قام منفذو برنامج الفدية Akira بنشر موقعين على الشبكة الخفية - وكلاهما من مواقع .onion المذكورة في رسالة الفدية التي تركها Akira بعد كل هجوم. تم تصميم المواقع بطريقة تعيدنا إلى شبكة ARPANET في أوائل الثمانينيات.
يتضمن الموقع الأول معلومات عامة عن مجموعة برامج الفدية، ويعلن عن سجلات مسروقة من ضحايا المجموعة، ويتضمن أخبارًا عن عمليات نشر البيانات المحتملة ويحدد طرق الاتصال بالمجموعة.
الشكل 1: موقع Akira Ransomware على الشبكة الخفية .onion لنشر أسماء الضحايا والتحذير منهم (المصدر: أبحاث X-Force على الشبكة الخفية).
يُستخدم الموقع الثاني للمفاوضات. للوصول إلى هذا الموقع، يحتاج المستخدم إلى إدخال كلمة مرور مضمَّنة في رسالة الفدية كمعرِّف فريد.
الشكل 2: بوابة التفاوض الخاصة ببرنامج الفدية Akira على الشبكة الخفية .onion (المصدر: أبحاث X-Force على الشبكة الخفية).
بعد الحصول على حق الوصول، تعرِض بوابة التفاوض رسالة تخبر الضحية بأن مجموعة Akira تقوم بإعداد عينة من البيانات المسروقة من مؤسسة الضحية. قد تكون هذه العملية يدوية بالنسبة لعنصر التهديد، استنادًا إلى المدة الزمنية التي يبدو أنها تستغرقها. بعد اكتمال الاستعداد، تقوم مجموعة التهديد بإرفاق ملف يتضمن قائمة بالمجلدات والملفات التي تم تهريبها خارج البيئة أثناء العملية، بهدف إثبات للضحية أن عناصر Akira استولوا على ملفات حقيقية قبل تنفيذ التشفير.
الشكل 3: محادثة دعم Akira داخل بوابة مفاوضات الشبكة الخفية (المصدر: Lab539).
بعد الكشف عن CVE-2023-20269 في أوائل سبتمبر 2023، استغل منفِّذو تهديدات برنامج Akira للبرمجيات الخبيثة هذه الثغرة الأمنية على نطاق واسع في البيئات الواقعية. تؤثِّر CVE-2023-20269 على ميزات الشبكة الخاصة الافتراضية (VPN) في أجهزة Cisco Adaptive Security Appliance (ASA) وFirepower Threat Defense (FTD)، ما يُتيح للمهاجمين عن بُعد غير المصرح لهم تنفيذ هجمات القوة العمياء على الحسابات القائمة.
بعد تحقيق الوصول الأولي، تستخدم المجموعة مجموعة متنوعة من الأدوات والبرمجيات الضارة لتنفيذ الاستطلاع، وتهريب البيانات، والحركة الجانبية، إضافةً إلى نصوص برمجية مُعدّة خصيصًا لنشر ملف برنامج الفدية التنفيذي عبر الشبكة.
الشكل 4: مجموعة الأدوات التي يستخدمها منفِّذو برنامج الفدية Akira (المصدر: X-Force).
بخلاف بعض عائلات برامج الفدية التي تحتوي على وحدات سلوك الديدان للتكاثر أو التكرار دون تدخل بشري، فإن برنامج الفدية Akira يتطلب إجراءً نشطًا لنشر العدوى داخل الشبكات. تشمل الخيارات الشائعة استخدام سياسات وحدة تحكم المجال إذا وصل الفاعل المهدد إلى هذا المستوى من الوصول أو استخدام الميزات المضمَّنة في ملف Akira الثنائي الذي يتم تشغيله بواسطة البرامج النصية الدفعية أو bash.
لاحظ فريق X‑Force استخدام عناصر برنامج الفدية Akira لنصوص دفعية باتباع النمط التالي، وذلك بعد الانتهاء من أنشطة الاستطلاع.
“start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$”
يُنشئ برنامج الفدية Akira ملفًا نصيًا موجودًا في الدليل الحالي حيث تم تنفيذ العملية.
قام فريق IBM X-Force بتحليل ملفات نظامَي التشغيل Windows وLinux الثنائية بحثًا عن برنامج الفدية Akira. تعمل إصدارات Akira الخاصة بنظامي التشغيل Windows وLinux بشكل مشابه، والفرق الرئيسي هو المكتبات المستخدمة لدعم عمليات التشفير. يقوم برنامج Akira بإلحاق .akira باسم الملفات المشفرة ويضع رسالة فدية في كل دليل يتم فيه تشفير الملفات. تحتوي رسالة الفدية على رابط TOR ورمز يمكن للضحية استخدامه لتسجيل الدخول إلى نظام دردشة للتفاوض على الفدية.
في إحدى الحالات، تم تجميع ملف برنامج الفدية Akira في نهاية ديسمبر 2023، وتحديدًا في يوم 28 ديسمبر 2023 الساعة 14:49:57 بالتوقيت العالمي المنسق، وتم تطويره بلغة ++C.
الشكل 5: الطابع الزمني لتجميع برنامج الفدية Akira - بتاريخ 28 ديسمبر 2023 (المصدر: X-Force)
عند التنفيذ، سيُنشئ برنامج الفدية Akira ملف سجل في الدليل الحالي. يعتمد اسم ملف السجل على التوقيت المحلي الحالي للنظام، بالتنسيق التالي: "Log-<Day>-<Month>-<Year>-<Hour>-<Minute>-<Second>.txt". إذا حدث خطأ أثناء تشفير ملف، فسيكتب برنامج Akira رسالة خطأ في ملف السجل. كما تتم كتابة معلومات إضافية تتعلق بمَعلمات سطر الأوامر الخاصة بالبرنامج في ملف السجل. بمجرد إنشاء ملف السجل، سيبدأ Akira في تحليل وسيطات سطر الأوامر. يتم قبول وسيطات سطر الأوامر التالية في إصدار Windows من Akira:
الشكل 6: وسائط سطر الأوامر المستخدمة بواسطة برنامج الفدية Akira (المصدر: X-Force)
بمجرد تحليل وسيطات سطر الأوامر، سيحذف Akira جميع النسخ الظلية باستخدام أمر Powershell التالي: "powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"". يتم تنفيذ هذا الأمر باستخدام كائنات نموذج كائن العناصر (COM) لمنع الكشف. بالإضافة إلى ذلك، قد يحاول برنامج Akira إنهاء العمليات التي تحمل الأسماء التالية:
الشكل 7: العمليات التي يحاول برنامج الفدية Akira إنهاءها (المصدر: X-Force)
بمجرد إنهاء هذه العمليات، يبدأ Akira في التشفير. يتم تشفير الملفات باستخدام خوارزميات ChaCha20 أو KCipher-2. يتم تشفير الملفات الأكبر من 2 ميجابايت على شكل كتل، بينما يتم تشفير الملفات الأصغر وفقًا لنسبة التشفير المحددة في وسائط سطر الأوامر. افتراضيًا، يتم تشفير 50% من كل ملف أصغر من 2 ميجابايت. كل ملف يتم تشفيره يحصل على امتداد .akira. لن يقوم Akira بتشفير الملفات التي تحمل أيًا من الامتدادات التالية:
نسخة Linux من Akira تستخدم نفس قائمة المجلدات وامتدادات الملفات الموجودة في نسخة Windows لتصفية الملفات المستهدفة، على الرغم من أنها موجودة على أنظمة Windows وليس Linux. لن يقوم Akira بتشفير أي ملفات موجودة داخل المجلدات التالية:
يمكن للمؤسسات اتخاذ عدة خطوات لتعزيز الدفاعات ضد برنامج الفدية Akira. على الرغم من عدم وجود طريقة مضمونة لمنع هجوم برامج الفدية، بما في ذلك هجمات عناصر تهديد Akira، فإن تنفيذ هذه الإجراءات قد يجعل من الصعب على مهاجمي Akira استخدام تقنياتهم المفضلة:
بالإضافة إلى ما سبق، يوصي X‑Force بالاستفادة من الإجراءات الاستباقية والتصحيحية التي تقدِّمها CISA في تقريرها الصادر بتاريخ 18 أبريل.
للتعرف على كيفية مساعدة IBM X-Force في كل ما يتعلق بالأمن الإلكتروني، بما في ذلك الاستجابة للحوادث، أو استعلامات التهديدات، أو خدمات الأمن الهجومي، احجز موعدًا للاجتماع من هنا.
إذا كنت تواجه مشكلة أو حادثة ذات صلة بالأمن الإلكتروني، فتواصل مع X-Force للمساعدة: الخط الساخن الأمريكي 1-888-241-9812 | الخط الساخن العالمي (+001) 312-212-8034.
