بواسطة: ZEROFOX INTELLIGENCE

النتائج الرئيسية
• من المؤكد أن عملية RansomHub التي تقدم برامج الفدية كخدمة (RaaS) قد زادت من وتيرة عملياتها بشكل كبير في الأسابيع الأخيرة، حيث نفذت المزيد من الهجمات حتى الآن في الربع الثالث من عام 2024 مقارنة بالربعين الأول والثاني من عام 2024 مجتمعين.
• ‏كما أن نشاط RansomHub كنسبة من إجمالي نشاط برامج الفدية الذي رصدته ZeroFox يسير أيضًا في مسار تصاعدي حاد، حيث شكلت المجموعة ما يقرب من 2% من جميع الهجمات في الربع الأول، و5.1% في الربع الثاني، و14.2% حتى الآن في الربع الثالث.
• ‏من المحتمل أن تظل RansomHub أبرز مجموعة برامج الفدية الخبيثة خلال الأشهر المقبلة وتستمر في جذب الشركاء.
• ‏ومن المؤكد أن الجماعة ستواصل استهداف مجموعة متنوعة للغاية من القطاعات، ومن المرجح للغاية أن تزداد نسبة الهجمات التي تستهدف المنظمات الموجودة في أمريكا الشمالية.

تفاصيل حول هجمات الابتزاز على RansomHub
من المؤكد أن عملية RansomHub RaaS قد زادت من وتيرة عملياتها بشكل كبير في الأسابيع الأخيرة، حيث نفذت المزيد من الهجمات حتى الآن في الربع الثالث من عام 2024 مقارنة بالربعين الأول والثاني من عام 2024 مجتمعين، ومن المقرر أن يكون شهر أغسطس 2024 هو الشهر الأكثر نشاطًا للمجموعة بهامش كبير.

وبسبب التداخلات المبلغ عنها في الحمولات المستغلة، كان هناك تكهنات واسعة النطاق بأن RansomHub له روابط بمجموعة برامج الفدية المنحلة الآن "Knight"، والتي كانت نشطة بشكل أساسي بين سبتمبر 2023 وفبراير 2024.
تم رصد RansomHub لأول مرة في فبراير 2024 تقريبًا وأظهر معدل هجمات أعلى خلال تلك الأسابيع الأولى مما يُلاحظ عادةً من عمليات برامج الفدية الجديدة.

لقد كان نشاط RansomHub يتزايد بشكل مطرد كل شهر منذ فبراير 2024، حيث تم رصد ما لا يقل عن 48 هجومًا حتى الآن في أغسطس. كما أن نشاطه كنسبة من إجمالي نشاط برامج الفدية الذي رصدته ZeroFox يسير في مسار تصاعدي حاد، حيث شكلت المجموعة ما يقرب من 2% من جميع الهجمات في الربع الأول، و5.1% في الربع الثاني، و14.2% حتى الآن في الربع الثالث - وهو أعلى من أي مجموعة برامج فدية أخرى.

ويأتي هذا المسار التصاعدي على الرغم من الانخفاض الطفيف في إجمالي الهجمات التي رصدتها ZeroFox في مشهد برامج الفدية منذ مايو 2024.

خلال عام 2024، كان استهداف RansomHub لبعض المناطق في جميع أنحاء العالم أعلى بشكل غير متناسب باستمرار من ذلك الذي لوحظ في مشهد تهديدات برامج الفدية الأوسع، وخاصة في الأشهر الأولى للمجموعة. 

حوالي 11 بالمائة من هجمات RansomHub استهدفت المنظمات في منطقة آسيا والمحيط الهادئ، مقارنة بنحو 6 بالمائة في مختلف أنحاء مشهد التهديدات.
حوالي 10% من هجمات RansomHub استهدفت المنظمات في أمريكا الجنوبية، مقارنة بنحو 4% في مختلف أنحاء مشهد التهديدات.
حوالي 34 بالمائة من هجمات RansomHub استهدفت المنظمات في أوروبا، مقارنة بـ 25 بالمائة في مختلف أنحاء مشهد التهديدات.

تعرضت المنظمات في أمريكا الشمالية لاستهداف غير متناسب من قبل RansomHub، حيث شكلت ما يقرب من 39% من نشاط المجموعة مقارنة بـ 57% عبر مشهد التهديد. ومع ذلك، من المرجح جدًا أن يتغير هذا الاتجاه، حيث شكلت المنظمات في أمريكا الشمالية نسبة متزايدة من هجمات RansomHub منذ أن تم ملاحظة المجموعة لأول مرة في فبراير 2024، حيث وصلت إلى ما يقرب من 45% حتى الآن في الربع الثالث من عام 2024. ومن المرجح جدًا أن يعكس هذا التحول حصول المجموعة على شركات تابعة تتمتع بخبرة في البحث عن أهداف تعتبر مربحة للغاية واستغلالها، وكثير منها في الولايات المتحدة.

تستهدف RansomHub منظمات من مجموعة متنوعة من القطاعات. ومع ذلك، على مدار عام 2024، كانت الغالبية العظمى من القطاعات التي رصدتها ZeroFox غير مستهدفة بشكل كافٍ مقارنة بمشهد التهديدات الأوسع. ومن المرجح جدًا أن يكون هذا بسبب تشتت الموارد في المقام الأول عبر مجموعة واسعة من القطاعات، مما يشير إلى أن المجموعة تدير مجموعة متنوعة من الشركات التابعة التي تسعى إلى أهداف مربحة بشكل عشوائي نسبيًا. 

في الربع الثالث من عام 2024، لوحظت زيادات طفيفة في استهداف RansomHub لقطاعي الرعاية الصحية والتكنولوجيا. وفي حين وصل هذا إلى مستويات غير متناسبة، فإن الهجمات التي تستهدف هذه القطاعات تتزايد أيضًا عبر مشهد التهديدات الأوسع.

من المؤكد تقريبًا أن نجاح RansomHub ونموه المستمر ومعدل صرف الشركاء التنافسي للغاية بنسبة 90 بالمائة يواصل جذب الشركاء ذوي الكفاءة العالية من مجموعات برامج الفدية الأخرى ودفع تطوير تكتيكات وتقنيات وإجراءات جديدة (TTPs).

في أبريل 2024، تمت إضافة Change Healthcare إلى موقع تسرب الضحايا الخاص بـ RansomHub - على الرغم من أن الاختراق البارز قد تم إعلانه من قبل مجموعة برامج الفدية البارزة "ALPHV" التي لم تعد موجودة الآن.
في الأسابيع الأخيرة، وردت تقارير عن رصد مجموعة التهديدات "Scattered Spider" وهي تستغل برنامج الفدية RansomHub، مما يشير إلى الانتماء بين المجموعات.
تشير التقارير إلى أن RansomHub لوحظ مؤخرًا أنه يستخدم أداة خبيثة جديدة في هجماته المصممة لإنهاء عمليات اكتشاف نقاط النهاية والاستجابة لها قبل أن تتمكن من الاستجابة للاختراق.

من المرجح أن تظل RansomHub أبرز مجموعة برامج الفدية الخبيثة خلال الأشهر المقبلة وتستمر في جذب الشركاء. ومن المؤكد أن المجموعة ستستمر في استهداف مجموعة متنوعة للغاية من القطاعات، ومن المرجح جدًا أن تزداد نسبة الهجمات التي تستهدف المنظمات الموجودة في أمريكا الشمالية.

توصيات زيرو فوكس
• تطوير استراتيجية شاملة للاستجابة للحوادث.
• ‏نشر عملية إدارة تصحيحات شاملة، والتأكد من تحديث
• ‏جميع أصول تكنولوجيا المعلومات بأحدث تحديثات البرامج في أسرع وقت ممكن.
• ‏اعتماد موقف الأمن السيبراني القائم على الثقة الصفرية استنادًا إلى مبدأ الحد الأدنى من الامتيازات، وتنفيذ تقسيم الشبكة لفصل الموارد حسب الحساسية و/أو الوظيفة.
• ‏تنفيذ مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي، وسياسات كلمات مرور آمنة ومعقدة، والتأكد من استخدام بيانات اعتماد فريدة وغير متكررة.
• ‏تأكد من إجراء نسخ احتياطية للبيانات الهامة أو الملكية أو الحساسة دائمًا على خوادم آمنة خارج الموقع أو قائمة على السحابة مرة واحدة على الأقل سنويًا - ومن الأفضل بشكل متكرر.
• ‏قم بتكوين خوادم البريد الإلكتروني لحظر رسائل البريد الإلكتروني التي تحتوي على مؤشرات ضارة، ونشر بروتوكولات المصادقة لمنع رسائل البريد الإلكتروني المزيفة.
مراقبة الحسابات المخترقة وبيانات الاعتماد التي يتم تداولها بشكل استباقي في منتديات الويب العميقة والمظلمة.
• الاستفادة من معلومات التهديدات السيبرانية لإبلاغ اكتشاف التهديدات السيبرانية ذات الصلة والأساليب والتدابير الوقائية المرتبطة بها.