هجوم رانسوم وير جيانتسمEN: كيف يتسلل هجوم رانسوم وير جيانتسمEN إلى أنظمة الدفاع ويوقفها قبل أن يبدأ

في الأشهر الأخيرة، شهد قطاع الأمن السيبراني تطوراً ملحوظاً في أساليب هجمات رانسوم وير، حيث لم تعد تقتصر على تشفير البيانات وابتزاز الضحايا بل امتدت إلى تعطيل أنظمة الدفاع قبل بدء الهجوم. جاء ذلك في ظل ظهور مجموعة رانسوم وير جيانتسمEN، التي تعتمد على نموذج "البرمجيات كخدمة" (RaaS)، مما يسمح للمهاجمين بتأجير أدواتهم لجهات أخرى. لكن ما يميز جيانتسمEN هو استخدامه لأدوات متخصصة تُعرف باسم "قتل EDR" (EDR killers)، والتي صممت خصيصاً لإيقاف برامج الحماية قبل أن تتمكن من رصد الهجوم أو منعه.

اكتشف باحثو الأمن في شركة إيسيت (ESET) أن جيانتسمEN يستخدم أداة رئيسية تُدعى "GentleKiller"، والتي تأتي بثماني نسخ مختلفة على الأقل. تتميز هذه الأداة بقدرتها على التظاهر بأنها برامج أمنية شرعية، مثل كاسبرسكي (Kaspersky) وفالورانت (Valorant) وجافيلين (Javelin) وووتش دوج (WatchDog). الهدف من هذه المحاكاة هو خداع أنظمة الدفاع وجعلها تثق في هذه الأداة، مما يسمح لها بتنفيذ مهامها الخبيثة دون أن يتم اكتشافها. علاوة على ذلك، تعتمد GentleKiller على تقنية تُعرف باسم "إحضار برنامج تشغيل ضعيف خاص بك" (BYOVD) لرفع امتيازاتها إلى مستوى kernel، مما يمنحها القدرة على تعطيل محركات الأمان في أنظمة الضحايا.

كيف تعمل أدوات قتل EDR في هجوم جيانتسمEN؟

تعمل أدوات قتل EDR في البداية على تعطيل برامج الحماية قبل أن تتمكن من رصد الهجوم. في حالة جيانتسمEN، تستخدم الأداة GentleKiller مجموعة من التقنيات لاختراق أنظمة الدفاع. تعتمد الأداة على برامج تشغيل ضعيفة (vulnerable drivers) لرفع امتيازاتها إلى مستوى kernel، مما يمنحها وصولاً كاملاً إلى نظام التشغيل. بعد ذلك، تقوم الأداة بإيقاف العمليات المرتبطة ببرامج الحماية، مثل مايكروسوفت ديفيندر (Microsoft Defender) وكراودسترايك (CrowdStrike) وسنتينلوان (SentinelOne) وبالو ألتو (Palo Alto) وسوفوس (Sophos) وتريند مايكرو (Trend Micro) وإسست (ESET) وبيتدفندر (Bitdefender) وماكافي/تريلليكس (McAfee/Trellix) وكاسبرسكي (Kaspersky). وقد وثّق الباحثون أن GentleKiller تستهدف أكثر من 400 عملية مرتبطة بحوالي 48 منتجاً أمنياً مختلفاً، مما يجعلها واحدة من أكثر الأدوات شمولاً في هذا المجال.

إضافة إلى ذلك، تستخدم GentleKiller تقنيات متقدمة للتعمية وحماية الشفرة، مثل أدوات التعبئة التجارية إنجما (Enigma) وثيميدا (Themida)، مما يصعّب على الباحثين تحليلها واكتشافها. كما تم رصد استخدام توقيعات رقمية مسروقة من برامج شرعية، على الرغم من أنها غير صالحة للاستخدام القانوني. هذا المزيج من التقنيات يجعل من الصعب على أنظمة الدفاع اكتشاف الهجوم قبل فوات الأوان.

أدوات خارجية تدعم هجوم جيانتسمEN

لم يكتفِ جيانتسمEN بالأداة الرئيسية GentleKiller، بل قام بدمج أدوات خارجية أخرى في ترسانته، مثل أداة OxideHarvest، التي تعتمد على لغة رست (Rust) لسرقة بيانات الاعتماد. هذه الأدواتAdditional external tools have been observed in Gentleman RaaS operations, including OxideHarvest, a Rust-based credential-stealing utility documented by ESET. Although the exact role of OxideHarvest in the overall attack chain is still being analyzed, its presence suggests that the threat actor is layering multiple attack vectors to maximize impact. By combining EDR killers with credential theft tools, the group can move laterally within compromised networks, escalate privileges, and ultimately deploy ransomware payloads with minimal resistance.

The inclusion of external tools may also serve tactical purposes: they can be swapped in or out depending on the target environment, making attribution harder and increasing the chances of a successful breach. ESET’s analysis indicates that these tools are integrated into the RaaS framework but operate with some independence, potentially allowing affiliates to choose the most effective combination for a given victim.

لماذا تعتبر تقنية BYOVD خطيرة بشكل خاص؟

تقنية "إحضار برنامج تشغيل ضعيف خاص بك" (BYOVD) هي واحدة من أكثر التقنيات خطورة في ترسانة المهاجمين، لأنها تستغل ثغرات معروفة في برامج التشغيل لتجاوز أنظمة الدفاع. في حالة جيانتسمEN، تستخدم GentleKiller هذه التقنية لرفع امتيازاتها إلى مستوى kernel، مما يمنحها القدرة على تعطيل محركات الأمان بشكل كامل. هذه التقنية ليست جديدة، لكنها أصبحت أكثر انتشاراً في السنوات الأخيرة بسبب سهولة تنفيذها وسهولة الحصول على برامج التشغيل الضعيفة.

على الرغم من أن شركات الأمن تعمل باستمرار على إغلاق هذه الثغرات، إلا أن المهاجمين يستغلون دائماً الثغرات الجديدة أو غير Patch منها. في حالة جيانتسمEN، تستخدم GentleKiller ثمانية نسخ مختلفة من برامج التشغيل الضعيفة، مما يزيد من فرص نجاح الهجوم. علاوة على ذلك، فإن استخدام برامج التشغيل الضعيفة يجعل من الصعب على أنظمة الدفاع اكتشاف الهجوم، لأنها تبدو وكأنها جزء شرعي من النظام.

كيف يمكن للمؤسسات حماية نفسها من هجوم جيانتسمEN؟

نظراً لتعقيد هجوم جيانتسمEN وتطور أدواته، فإن المؤسسات بحاجة إلى اعتماد استراتيجية دفاع متكاملة تشمل عدة طبقات من الحماية. أولاً، يجب تحديث جميع أنظمة التشغيل وبرامج التشغيل بشكل دوري لإغلاق الثغرات المعروفة. ثانياً، يجب تقييد استخدام برامج التشغيل الضعيفة ومنحها امتيازات محدودة، مما يقلل من فرص استغلالها من قبل المهاجمين. ثالثاً، يجب تفعيل ميزات الحماية المتقدمة في أنظمة التشغيل، مثل حماية kernel في ويندوز 11، والتي يمكن أن تمنع رفع الامتيازات غير المصرح بها.

بالإضافة إلى ذلك، يجب على المؤسسات اعتماد حلول أمنية متعددة الطبقات، مثل أنظمة كشف التسلل (IDS) وأنظمة منع التسلل (IPS) وأنظمة الحماية من البرمجيات الخبيثة (EDR/XDR). هذه الحلول يمكنها رصد الأنشطة المشبوهة والتحذير منها قبل أن تتسبب في أضرار كبيرة. كما يجب تدريب الموظفين على التعرف على محاولات الاحتيال والهجمات السيبرانية، مثل رسائل البريد الإلكتروني المشبوهة أو الروابط الخبيثة.

أخيراً، يجب على المؤسسات الاحتفاظ بنسخ احتياطية آمنة للبيانات الحيوية، واختبارها بشكل دوري للتأكد من قدرتها على استعادة البيانات في حالة حدوث هجوم. هذه النسخ الاحتياطية يجب أن تكون مخزنة في مواقع آمنة ومعزولة عن الشبكة الرئيسية، مما يمنع المهاجمين من الوصول إليها أو تعطيلها.

ما هي الخطوات التالية التي يجب على الباحثين في الأمن السيبراني اتخاذها؟

بالنظر إلى تعقيد هجوم جيانتسمEN وتطور أدواته، فإن الباحثين في الأمن السيبراني بحاجة إلى تكثيف جهودهم لفهم هذه الهجمات بشكل أفضل. يجب تحليل أدوات القتل EDR مثل GentleKiller بشكل مفصل لفهم آليات عملها وتقنيات التعمية المستخدمة فيها. كما يجب رصد التطورات الجديدة في تقنيات BYOVD وتطوير أدوات كشفها ومنعها.

بالإضافة إلى ذلك، يجب على مجتمع الأمن السيبراني التعاون بشكل وثيق لمشاركة المعلومات حول هذه الهجمات والأدوات المستخدمة فيها. هذا التعاون يمكن أن يساعد في تطوير حلول أمنية أكثر فعالية ومنع انتشار هذه الهجمات. كما يجب على الشركات الأمنية تحديث حلولها بشكل دوري لمواجهة التهديدات الجديدة والمتطورة.

أخيراً، يجب على المؤسسات الحكومية والمنظمات الدولية اتخاذ خطوات لتنظيم استخدام أدوات القتل EDR وتطوير استراتيجيات دفاع مشتركة لمواجهة هذه التهديدات. هذا التعاون الدولي يمكن أن يساعد في تقليل تأثير هذه الهجمات وحماية البنية التحتية الحيوية للدول.

ما الذي يمكن أن نتوقعه في المستقبل؟

من المتوقع أن يستمر هجوم جيانتسمEN في التطور والتكيف مع التقنيات الجديدة، مما يجعله أكثر خطورة على المؤسسات. قد تشمل التطورات المستقبلية استخدام تقنيات الذكاء الاصطناعي لاختراق أنظمة الدفاع بشكل أكثر فعالية، أو تطوير أدوات قتل EDR أكثر تعقيداً وصعوبة في الكشف عنها. كما قد يشهد المستقبل انتشاراً أكبر لنموذج RaaS، مما يزيد من صعوبة تتبع المهاجمين وتحديد هويتهم.

بالإضافة إلى ذلك، من المتوقع أن تزداد هجمات رانسوم وير التي تستهدف البنية التحتية الحيوية، مثل المستشفيات والمدارس والمؤسسات الحكومية. هذه الهجمات يمكن أن تسبب أضراراً جسيمة وتؤثر على حياة الملايين من الناس. لذلك، يجب على المؤسسات الاستعداد لهذه التهديدات واتخاذ الإجراءات اللازمة لحماية نفسها.

في الختام، يمثل هجوم جيانتسمEN تهديداً خطيراً على أمن المؤسسات، حيث يعتمد على أدوات متطورة وتقنيات متقدمة للتغلب على أنظمة الدفاع. يجب على المؤسسات اعتماد استراتيجيات دفاع متكاملة وتحديث حلولها الأمنية بشكل دوري لحماية نفسها من هذه الهجمات. كما يجب على الباحثين في الأمن السيبراني التعاون لمواجهة هذه التهديدات وتطوير حلول أمنية فعالة. في نهاية المطاف، فإن السبيل الوحيد لمواجهة هذه التهديدات هو التعاون المستمر والتحلي باليقظة الدائمة.