كشف باحثون أمنيون عن ارتباط بين عمليات برنامج الفدية "تيرمايت" وسلسلة هجمات معقدة تستخدم تقنية "كليكفيكس" ونظام الاختراق الخلفي "كاسل رات". حيث رصدت مجموعة التهديدات المعروفة باسم "فيلفيت تمبيست" (وتُعرف أيضاً باسم ديف-0504) وهي توزع هذه الأدوات بعد اختراق الشبكة الأولي. تمتلك هذه المجموعة تاريخاً طويلاً كمُوَفِّر لبرامج الفدية، ارتبطت خلال السنوات الخمس الماضية ببرامج فدية رئيسية مثل "ريوك" و"ريفيل" و"كونتي" و"بلاك كات".
ووثقت شركة الاستخبارات الأمنية "مال بيكون" منهجية الهجوم بعد مراقبة أنشطة المجموعة في بيئة محاكاة لمنظمة غير ربحية أمريكية على مدى اثني عشر يوماً في فبراير. بعد الحصول على النفاذ، نفذ المهاجمون أنشطة مكثفة يدوياً شملت استطلاع "أكتيف دايركتوري" واكتشاف المضيفين. وشمل جزء رئيسي من عملياتهم استخدام نص "باورشيل" لجمع بيانات الاعتماد المخزنة في متصفح "كروم".
وتم استضافة نص جمع بيانات الاعتماد هذا على عنوان بروتوكول إنترنت ربطه الباحثون مباشرةً بالبنية التحتية لتوزيع الأدوات المستخدمة في حملات برنامج الفدية "تيرمايت". ثم استخدم المهاجمون تقنية "كليكفيكس"، التي تسيء استخدام أدوات "ويندوز" المشروعة، لنشر برنامج "دونات لودر" الخبيث. ويقوم هذا المحمل لاحقاً بتثبيت حصان طروادة "كاسل رات" للوصول الخلفي، مما يوفر وصولاً مستمراً ويمهد الطريق لنشر محتمل لبرنامج الفدية.
تسلط النتائج الضوء على التكتيكات المتطورة لوكلاء برامج الفدية المعروفين، الذين يواصلون تحسين أدواتهم ما بعد الاختراق. من خلال ربط أدوات وبُنى تحتية محددة بمجموعة "فيلفيت تمبيست"، يمكن للفرق الأمنية الدفاع بشكل أفضل ضد هذا التهديد. إن استخدام ملفات ثنائية مشروعة لأغراض خبيثة مثل "باورشيل" لسرقة بيانات الاعتماد ونشر حصان طروادة مخصص يؤكد الحاجة إلى كشف قوي على نقاط النهاية ومراقبة الأنشطة الإدارية غير المعتادة.
يجب أن تركز استراتيجيات الدفاع على مراقبة سلوكيات "باورشيل" المشبوهة، وتعطيل حسابات "ويندوز" غير المستخدمة، وتطبيق سياسات امتياز صارمة، والبحث عن مؤشرات الاختراق المرتبطة بالبنى التحتية المعروفة للمجموعة. هذا الاكتشاف يذكرنا بأن تهديدات برامج الفدية لا تزال تتطور باستمرار، مما يتطلب يقظة دائمة وتحديثاً مستمراً لإجراءات الحماية الأمنية.
