كاسبرسكي تطلق أداة لفك تشفير برمجيات الفدية الموجهة ضد المؤسسات الحكومية
أعلنت كاسبرسكي عن اطلاقها أداةً جديداً من برمجيات فك التشفير لمساعدة ضحايا تعديل برامج الفدية، وذلك بالاعتماد على كود المصدر "كونتي" الذي تم تسريبه في الآونة الأخيرة. وتهيمن "كونتي" التي تعدّ إحدى أهم عصابات برمجيات الفدية منذ العام 2019، وتم تسريب بياناتها، بما في ذلك كود المصدر في مارس 2022 بعد صراع داخلي نجم عن الأزمة الجيوسياسية في أوروبا. ونُشر التعديل المكتشف من قبل مجموعة غير معروفة لبرامج الفدية، وتم استخدامه ضد الشركات والمؤسسات الحكومية.
وفي أواخر فبراير من العام الجاري 2023، كشف خبراء كاسبرسكي عن جزء جديد من البيانات المسربة المنشورة على المنتديات. وبعد تحليل تلك البيانات التي احتوت على 258 مفتاحاً خاصاً، إضافة إلى كود المصدر وبعض برامج فك التشفير التي جرى جمعها سابقاً، طرحت كاسبرسكي أداةً جديداً من برنامج فك التشفير لمساعدة ضحايا تعديل برمجيات الفدية من عصابة "كونتي".
ظهر "كونتي" في أواخر عام 2019 وكان نشطًا للغاية طوال عام 2020 ، حيث يمثل أكثر من 13 ٪ من جميع ضحايا برامج الفدية خلال هذه الفترة. ومع ذلك، قبل عام، بمجرد تم تسريب الكود المصدري، قامت عصابات إجرامية مختلفة بإنشاء تعديلات متعددة لبرمجيات الفدية "كونتي "واستخدمتها في هجماتها.وفي شهر ديسمبر من العام الماضي 2022، تمكن الخبراء المتخصصون في كاسبرسكي من اكتشاف هذا النوع من البرمجيات الخبيثة التي تم تسريب مفاتيحها، حيث كانت هذه السلالة تستخدم في العديد من الهجمات ضد الشركات والمؤسسات الحكومية.
وتوجد المفاتيح الخاصة المسربة في 257 حقبة ، علماً أن مجلداً واحداً منها فقط يحتوي على مفتاحين، كما يشتمل بعضها على برامج فك تشفير تم تطويرها سابقاً، فضلاً عن وجود العديد من الملفات العادية، مثل المستندات والصور وغيرها، والتي يفترض أن تكون عبارة عن ملفات اختبارية، ويقصد بذلك قيام الضحية بإرسال عدد من الملفات إلى المهاجمين للتأكد من إمكانية فك تشفير الملفات.
وحدّدت أربعة وثلاثون من هذه الحقائب أسماء شركات وهيئات حكومية. ولو افترضنا أن حقيبة واحدة
وبعد تحليل تلك البيانات، أصدر الخبراء نسخة جديدة من برنامج فك التشفير لمساعدة ضحايا التعديل من برمجيات الفدية "كونتي". وتمت إضافة كود فك التشفير وجميع المفاتيح البالغ عددها 258 إلى أحدث إصدار من الأداة المساعدة التي تحمل اسم (RakhniDecryptor 1.40.0.00) من كاسبرسكي. ونشرت أيضاً حل فك التشفير على موقع No Ransom التابع لكاسبرسكي (https://noransom.kaspersky.com).
وقال فيدور سينيتسين، كبير محللي البرمجيات الضارة في كاسبرسكي: "يستخدم مجرمو الشبكة برامج الفدية كأداة تهديد رئيسية منذ سنوات عديدة، لكن بعد قيامنا بدراسة الطرق والتقنيات والإجراءات التي تنتهجها مختلف العصابات التي تعتمد على هذا النوع من التهديدات، اكتشفنا أن العديد منها يعمل بطرق مماثلة، وبالتالي أصبح من السهل علينا التصدّي لهجماتها. وتوجد في الوقت الحالي أداة فك التشفير للتعديل الجديد الذي أدخل على برمجيات الفدية من "كونتي"، وقمنا بنشرها بالفعل على صفحة No Ransom في موقعنا. ومع ذلك، يجب التأكيد على حقيقة مهمة، وهي أن أفضل استراتيجية للحماية تتمثل في تقوية الخطوط الدفاعية، ووقف المهاجمين في المراحل الأولى من اقتحامهم، وكبح محاولات نشر برمجيات الفدية، والتقليل من الأضرار التي قد تترتب على تلك الهجمات".