تقوم مجموعات برامج الفدية الخبيثة باستخدام تقنية هجومية متطورة ومتخفية للغاية لتعطيل دفاعات الأمان على نقاط النهاية. وفقاً لأبحاث مشتركة من شركة Cisco Talos و Trend Micro، فإن الجهات الفاعلة المهددة وراء عمليات برنامجي الفدية Qilin و Warlock تستخدم بنشاط طريقة "إحضار برنامج التشغيل الضعيف الخاص بك" (BYOVD). تتضمن هذه التقنية تحميل برنامج تشغيل موقّع رقمياً ولكنه ضعيف في نواة نظام Windows، ثم استغلاله للحصول على صلاحيات نظام عالية المستوى وتعطيل برامج الأمان. الهدف الأساسي هو إنهاء أو شل أكثر من 300 عملية وخدمة وبرنامج تشغيل مميزة لأنظمة كشف الاستجابة للنقاط الطرفية (EDR) ومضادات الفيروسات على النظام المخترق، مما يخلق مساراً واضحاً لنشر برنامج الفدية دون عوائق.
في حالة هجمات برنامج الفدية Qilin المحددة التي حللتها Cisco Talos، تتضمن سلسلة الاختراق نشر ملف مكتبة الربط الديناميكي الخبيث (DLL) باسم `msimg32.dll`. يتم وضع هذا الملف بشكل استراتيجي ليتم تحميله بواسطة برنامج تشغيل شرعي وضعيف. بمجرد استغلال برنامج التشغيل، يمنح المخترقين وصولاً في وضع النواة، وهو أعلى مستوى من الصلاحيات في نظام تشغيل Windows. من هذا الموقع القوي، يمكن للبرنامج الضار معالجة الذاكرة مباشرة، وإنهاء العمليات، وحذف الملفات التابعة لأدوات الأمان. هذه الطريقة خطيرة بشكل خاص لأنها تسيء استخدام مكون موثوق وموقّع لتجاوز ضوابط الأمان التي من شأنها عادةً منع برامج تشغيل النواة غير الموقعة أو الخبيثة بوضوح.
تمثل تكتيكات BYVD تصعيداً كبيراً في مشهد تهديدات برامج الفدية الخبيثة، حيث تتجاوز مجرد تشفير الملفات البسيط لتشمل تدابير مضادة للطب الشرعي ومضادة للكشف المتقدمة قبل الهجوم. من خلال تعطيل أدوات EDR - المصممة للكشف عن مثل هذا السلوك الضار والاستجابة له - فإن المهاجمين يعمون فعلياً فرق الأمان عن الاختراق الجاري. وهذا يسمح لهم بالتحرك جانبياً، وتصعيد الصلاحيات، ونشر حمولة برنامج الفدية براحتهم. كما أن استخدام برنامج تشغيل ضعيف، غالباً ما يتم الحصول عليه من بائعي أجهزة شرعيين، يجعل الكشف أكثر صعوبة، حيث يبدو المكون الأولي حميداً للعديد من حلول الأمان.
يجب على المؤسسات اعتماد استراتيجية دفاع متعددة الطبقات لمواجهة هذا التهديد. تشمل الإجراءات الحرجة تنفيذ قائمة سماح قوية للتطبيقات لمنع تنفيذ برامج التشغيل غير المصرح بها، ونشر حلول أمان مع حماية على مستوى النواة يمكنها اكتشاف إساءة استخدام برامج التشغيل، وتطبيق سياسة أمان Windows المعروفة باسم "سلامة التعليمات البرمجية المحمية بواسطة Hypervisor" (HVCI) أو Memory Integrity بدقة. يستخدم HVCI الأمان القائم على المحاكاة الافتراضية لعزل النواة ومنع تحميل برامج التشغيل غير الموقعة أو غير الموثوقة، مما يحظر بشكل فعال العديد من هجمات BYOVD. علاوة على ذلك، فإن المراقبة المستمرة لأحداث إنهاء العمليات غير العادية والحفاظ على جرد محدث لجميع برامج التشغيل في البيئة هي خطوات استباقية أساسية.
يؤكد التعاون بين مجموعتي Qilin و Warlock في استخدام هذه التقنية على اتجاه مشاركة الأدوات والمنهجيات داخل النظام البيئي للإجرام الإلكتروني. ويبرز الحاجة إلى أن يركز المدافعون ليس فقط على حمولة برنامج الفدية نفسها، ولكن على سلسلة الهجوم بأكملها، وخاصة مراحل الوصول الأولي وتصعيد الامتيازات. مع استمرار جهات برامج الفدية الخبيثة في تحويل مكونات البرامج الشرعية إلى أسلحة، يجب أن يضع مجتمع الأمن السيبراني أولوية لتقوية الأنظمة ضد الهجمات القائمة على برامج التشغيل ومشاركة المعلومات الاستخباراتية حول الثغرات الأمنية المستغلة لتعطيل هذه العمليات قبل تشفير البيانات الحرجة واحتجازها مقابل فدية.
