اكتشفت خبراء سيبرانيون مؤخراً نشاطاً جديداً لمجموعة عصابة الإنترنت Cuba المعروفة بتطويرها لبرمجيات الفدية الخبيثة، حيث قامت المجموعة بنشر برمجية خبيثة مقلقة، إذ تمكنت البرمجية من تجنب عمليات الاكتشاف المتقدمة، واستهدفت المؤسسات حول العالم، وتركت خلفها قائمة من الشركات المخترقة في مختلف القطاعات.

كشفت كاسبرسكي في ديسمبر 2022 عن نشاط مشبوه في نظام أحد عملائها، وعثرت على ثلاث ملفات مشبوهة، كانت هذه الملفات تشغّل سلسلة من الإجراءات التي تقوم بتحميل مكتبة komar65، المعروفة أيضاً باسم BUGHATCH، التي تعد باباً خلفياً متطوراً ويتم تفعيلها في ذاكرة العملية.

تقوم BUGHATCH بتنفيذ جزء مضمن من النص البرمجي لواجهة البرمجة (Shellcode) داخل مساحة الذاكرة المخصصة له باستخدام واجهة برمجة التطبيقات لنظام Windows، ويتضمن هذا النص البرمجي وظائف متعددة، وبعد ذلك، يتصل البرنامج بخادم قيادة وتحكم (C2) وينتظر تلقي المزيد من الأوامر، ويمكن أن تطلب هذه الأوامر تثبيت برامج مخصصة للاختراق مثل Cobalt Strike Beacon وMetasploit، كما يشير استخدام أداة سرقة كلمات المرور Veeamp بقوة إلى يد برمجية الفدية Cuba في الأمر.

بشكل مثير للاهتمام، يشير ملف قاعدة بيانات البرنامج إلى مجلد باسم «komar»، وهي كلمة روسية تعني «البعوضة»، مما يشير إلى احتمال وجود أعضاء ناطقين بالروسية داخل المجموعة، ما يتطابق مع أدلة سابقة متعلقة بالمجموعة. وكشف تحليل إضافي أجرته كاسبرسكي عن نشر Cuba لنماذج إضافية تحسن وظائف هذه البرمجية الخبيثة. حيث يقوم أحد هذه النماذج بجمع معلومات النظام ليتم إرسالها إلى خادم عبر طلبات HTTP POST.

واصلت كاسبرسكي تحقيقاتها، واكتشفت عينات جديدة من البرامج الخبيثة المنسوبة إلى مجموعة Cuba على موقع VirusTotal، وتمكنت بعض هذه البرمجيات من تجنب الاكتشاف من مزودي الخدمات الأمنية الآخرين، تمثل هذه العينات نسخاً جديدة لبرمجية BURNTCIGAR الخبيثة، وتستخدم بيانات مشفرة لتجنب اكتشافها من برامج مكافحة الفيروسات.

يقول جليب إيفانوف خبير الأمن السيبراني لدى كاسبرسكي، عن هذا الاكتشاف: «تؤكد النتائج التي توصلنا إليها أهمية الوصول إلى أحدث التقارير والمعلومات عن التهديدات. فمع مواصلة عصابات برمجيات الفدية، مثل مجموعة Cuba تطوير وتحسين تقنياتها، تعد المعرفة المسبقة إجراءً مهم للتصدي للهجمات المحتملة بشكل فعال. ففي مشهد التهديدات السيبرانية دائم التغير، تعد المعرفة وسيلة الدفاع النهائية ضد المجرمين السيبرانيين الجدد».

تعد Cuba سلالة برمجيات فدية أحادية الملف وصعبة الاكتشاف نظراً لعملها دون مكتبات إضافية. وتشتهر المجموعة الإجرامية الناطقة بالروسية بانتشارها الواسع، وتستهدف صناعات مثل البيع بالتجزئة، والتمويل، والخدمات اللوجستية، بالإضافة إلى المصانع والمنشآت الحكومية حول أمريكا الشمالية، وأوروبا، وأوقيانوسيا، وآسيا. تستخدم المجموعة مزيجاً من الأدوات العامة والخاصة، وتحدّث مجموعة أدواتها بانتظام، كما تستخدم مناورات مثل هجمات BYOVD (أحضر برنامج التعريف المعرض للخطر الخاص بك).

ما يميز عمليات المجموعة هي تلاعبها بالطوابع الزمنية لوقت تجميع برمجياتها الخبيثة بهدف تضليل المحققين. مثلاً، في عام 2020 تم العثور على عينات كان تاريخ تجميعها 4 يونيو 2020، فيما حملت الإصدارات الأحدث طوابع زمنية تشير إلى تجميعها في 19 يونيو 1992، ولا يقتصر نهج المجموعة الفريد على تشفير البيانات فقط، بل يتضمن تخصيص الهجمات لسرقة المعلومات الحساسة مثل المستندات المالية، والسجلات المصرفية، وحسابات الشركات، والكود المصدري. وتعد شركات تطوير البرمجيات معرضة للخطر الأكبر من هذه المجموعة، وعلى الرغم من ظهور المجموعة منذ فترة ليست بقصيرة، فهي لا تزال مرنة وتطور أساليبها باستمرار.