اكتشف الباحثون أن الجهات التي تنشر برمجيات الفدية Black Basta وCACTUS تعتمد على نفس الوحدة المسماة BackConnect (BC) للحفاظ على السيطرة المستمرة على الأجهزة المصابة. يشير هذا إلى أن بعض الأعضاء المرتبطين سابقًا بـ Black Basta قد انتقلوا إلى CACTUS.
السيطرة عن بعد وسرقة البيانات
وفقًا لتحليل نشرته Trend Micro يوم الاثنين، فإن هذه الوحدة تمنح المهاجمين إمكانيات تحكم واسعة عن بعد، مما يمكنهم من تنفيذ أوامر على الأجهزة المصابة. يسمح ذلك بسرقة بيانات حساسة مثل بيانات تسجيل الدخول والمعلومات المالية والملفات الشخصية.
تم تتبع وحدة BC، التي أطلق عليها اسم QBACKCONNECT بسبب ارتباطها بأداة التحميل QakBot، لأول مرة في يناير 2025 من قبل فرق الأمن السيبراني لدى Walmart وSophos، حيث أطلق الأخير على التهديد اسم STAC5777.
تكتيكات Black Basta: الهجمات عبر البريد الإلكتروني والبرامج الضارة
شهدت هجمات Black Basta خلال العام الماضي اعتمادًا متزايدًا على تكتيك قصف البريد الإلكتروني لخداع الأهداف المحتملة وتثبيت أداة Quick Assist بعد أن يتم التواصل معهم من قبل المهاجمين تحت غطاء دعم فني أو موظفي خدمة المساعدة.
بمجرد الوصول إلى النظام، يستخدم المهاجمون ملف DLL ضارًا يسمى REEDBED (ملف “winhttp.dll”) عبر عملية شرعية هي OneDriveStandaloneUpdater.exe الخاصة بتحديث Microsoft OneDrive. يؤدي ذلك في النهاية إلى تنفيذ وحدة BC.
CACTUS تتبع نفس التكتيكات ولكن بأهداف أوسع
كشفت Trend Micro عن هجوم بواسطة CACTUS Ransomware استخدم نفس النهج لنشر BackConnect، لكنه تجاوز ذلك بتنفيذ أنشطة ما بعد الاستغلال مثل التحرك الجانبي (Lateral Movement) وسرقة البيانات. ومع ذلك، فشلت محاولات تشفير الشبكة المستهدفة.
ارتباط وثيق بين Black Basta وCACTUS
تكتسب هذه التشابهات أهمية خاصة بعد تسريبات سجلات محادثات Black Basta الأخيرة، التي كشفت عن بنية الجريمة الإلكترونية الداخلية للمجموعة.
تُظهر الأدلة أن أعضاء هذه الجماعة الإجرامية شاركوا بيانات اعتماد صالحة، تم الحصول على بعضها من سجلات برامج سرقة المعلومات. وتشمل بعض نقاط الوصول الأولية الشائعة التي يستغلها المهاجمون بروتوكول سطح المكتب البعيد (RDP) ونقاط نهاية VPN.
هل انتقل أعضاء Black Basta إلى CACTUS؟
قالت Trend Micro إن هناك أدلة قوية على انتقال بعض الأفراد من مجموعة Black Basta إلى CACTUS، بناءً على التكتيكات والتقنيات والإجراءات المتشابهة التي يستخدمها الطرفان.
ما الذي يجب أن تفعله الشركات؟
مع تصاعد تهديدات برامج الفدية، يجب على الشركات اتخاذ تدابير أمنية قوية، مثل:
✅ تعزيز بروتوكولات المصادقة لحماية بيانات الاعتماد من السرقة.
✅ تحديث البرامج وأنظمة التشغيل لمنع استغلال الثغرات الأمنية.
✅ الحد من الوصول إلى الأدوات الإدارية لمنع إساءة استخدامها من قبل المهاجمين.
✅ مراقبة النشاط الشبكي لاكتشاف أي سلوك مشبوه في وقت مبكر.
يخلص التحليل إلى وجود ارتباط وثيق بين تكتيكات Black Basta وCACTUS، مما يوضح كيف يمكن لمجرمي الإنترنت إعادة تجميع صفوفهم وتبني هويات جديدة للاستمرار في هجماتهم. مع تطور استراتيجيات الهجوم، يصبح من الضروري تحسين الدفاعات السيبرانية بشكل مستمر.
