كشف تحليل دليل مفتوح على خادم بعنوان (5.78.84[.]144) مرتبط ببرمجية Beast Ransomware، وهي خدمة فدية مشبوهة يُعتقد أنها خليفة برمجية Monster، عن مجموعة واسعة من الأدوات التي يستخدمها المهاجمون في دورة الهجوم. تضمنت الأدوات برامج Advanced IP Scanner وAdvanced Port Scanner لرسم الشبكات الداخلية وتحديد منافذ RDP وSMB المفتوحة، ما يسمح لهم بتحديد نقاط الدخول المحتملة إلى الأنظمة المستهدفة.
أدوات جمع البيانات والاعتماد
كما تم العثور على برامج متخصصة في تحديد الملفات الحساسة المرشحة للسرقة وتحديد الخوادم التي تحتوي على أكبر حجم من البيانات. إلى جانب ذلك، استخدم المهاجمون أدوات شهيرة مثل Mimikatz وLaZagne وAutomim لاستخراج بيانات الاعتماد وكلمات المرور، إضافة إلى برنامج AnyDesk لضمان الاستمرارية والتحكم عن بُعد، ما يعزز قدرتهم على البقاء داخل الشبكة لفترات طويلة.
الحركة الجانبية وتسريب البيانات
للتنقل بين الأنظمة، اعتمد المهاجمون على أداة PsExec التي تتيح تنفيذ الأوامر عن بُعد، بينما استخدموا برنامج MEGASync كقناة لتسريب البيانات إلى الخارج. هذا التسلسل يعكس دورة هجوم متكاملة تبدأ بالمسح، مروراً بجمع بيانات الاعتماد، وصولاً إلى الحركة الجانبية، وانتهاءً بعملية استخراج البيانات.
توقف العمليات واستئنافها
تشير التحليلات إلى أن عمليات Beast Ransomware توقفت في نوفمبر 2025، لكنها استؤنفت مجدداً في يناير 2026، ما يعكس استراتيجية إعادة التنظيم أو تطوير الأدوات قبل العودة إلى النشاط. هذا النمط يبرز خطورة خدمات الفدية كخدمة (RaaS)، حيث يمكن للمهاجمين استئناف نشاطهم بسرعة بعد توقف مؤقت، مع تحديث أدواتهم وأساليبهم.
