كشفت تقارير أمنية حديثة عن ظهور برمجية فدية جديدة تحمل اسم GIBCRYPTO، تتميز بقدرات متقدمة تجعلها أكثر خطورة من البرمجيات التقليدية. هذه البرمجية لا تكتفي بتشفير الملفات باستخدام خوارزمية Salsa20، بل تقوم أيضاً بالتقاط ضغطات لوحة المفاتيح (Keylogging) وإفساد سجل الإقلاع الرئيسي (MBR) بحيث يؤدي أي محاولة لإعادة تشغيل النظام إلى حدوث خطأ يمنع الجهاز من العمل بشكل طبيعي.
ارتباط محتمل بـ Snake Keylogger
يُعتقد أن GIBCRYPTO مرتبطة بعائلة البرمجيات الخبيثة Snake Keylogger، ما يشير إلى أن مطوريها يسعون إلى توسيع نطاق أنشطتهم من مجرد سرقة المعلومات إلى تنفيذ هجمات فدية واسعة النطاق. هذا التطور يعكس استراتيجية المهاجمين في تنويع أدواتهم وزيادة قدرتهم على إحداث أضرار مزدوجة: سرقة البيانات وتعطيل الأنظمة.
هجوم SafePay عبر OneDrive
في سياق متصل، سلطت شركة Sygnia الضوء على هجوم نفذته مجموعة SafePay، حيث استغلت ثغرة في جدار حماية FortiGate وحساب إداري مُعد بشكل خاطئ للوصول إلى شبكة الضحية. بعد الحصول على بيانات الدخول المحلية، قامت المجموعة بعمليات استكشاف سريعة لتحديد الأهداف ذات القيمة العالية، ثم تصعيد الامتيازات إلى مستوى مدير النطاق (Domain Admin) خلال ساعات قليلة.
الهجوم انتهى بنشر برمجية فدية أدت إلى تشفير أكثر من 60 خادماً، مع استخدام تقنية مبتكرة لنقل البيانات عبر خدمة OneDrive، ما يعكس نهجاً منظماً ومتقدماً في تنفيذ الهجمات.
دلالات أمنية خطيرة
هذه التطورات تؤكد أن مشهد الهجمات السيبرانية يشهد تحولاً نوعياً، حيث لم تعد البرمجيات الخبيثة مقتصرة على التشفير أو سرقة البيانات فقط، بل أصبحت تجمع بين عدة تقنيات لزيادة التأثير وتعقيد الاستجابة. الجمع بين التقاط ضغطات المفاتيح وإفساد سجل الإقلاع يجعل من GIBCRYPTO تهديداً مزدوجاً يصعب التعامل معه، خاصة إذا ترافق مع استراتيجيات اختراق متقدمة مثل تلك التي استخدمتها SafePay.
المؤسسات مطالبة اليوم بتعزيز دفاعاتها عبر:
- مراقبة الأنشطة غير الطبيعية على الشبكات.
- تطبيق سياسات صارمة لإدارة الحسابات الإدارية.
- استخدام حلول نسخ احتياطي معزولة عن الشبكة.
- تفعيل أنظمة كشف التهديدات المتقدمة القادرة على رصد سلوكيات البرمجيات الخبيثة قبل تنفيذها الكامل.
