Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L14
الفرق الحمراء — الهجومخبير80mL14

برمجيات الفدية وهجمات سلسلة التوريد

تشريح هجمات الفدية وسلاسل التوريد — منظور دفاعي

#Ransomware#Supply Chain#Wipers#MSP

لماذا ندرس Ransomware و Supply Chain؟

تشبيه — شرح مبسط
الطبيب لا يستطيع علاج المرض إن لم يعرف كيف يعمل. هذا الدرس يفكّك بنية أخطر هجمتين على الجهات الحكومية و الشركات الكبرى. الهدف وعي دفاعي بحت.
حدود واضحة
لا يحوي هذا الدرس كود ransomware جاهز، ولا أساليب لإيذاء بنية حقيقية. نوضّح الكيفية على مستوى المعمارية ليُبنى الدفاع المضاد.

تشريح هجوم Ransomware حديث

01
الدخول الأولي — Initial Access
غالباً عبر:
  • Phishing بمرفق ISO/LNK/HTML smuggling.
  • VPN/RDP مكشوف بكلمات سُرّبت (Initial Access Brokers).
  • ثغرة في edge device (Fortinet, Citrix, Ivanti, F5).
  • سلسلة توريد عبر MSP أو RMM.
02
التثبيت — Foothold
loader صغير (QakBot, IcedID, Bumblebee, Latrodectus) يجلب Cobalt Strike / Sliver beacon.
03
الاستطلاع الداخلي
AdFind, BloodHound, NetScan. يبحثون عن: DC, backups, hypervisors (ESXi), file shares.
04
رفع الصلاحيات إلى Domain Admin
عادةً خلال 24 ساعة من الدخول الأولي.
05
حذف النسخ الاحتياطية أولاً
هذه الخطوة الأخطر. يستهدفون: Veeam, Commvault, Rubrik, ESXi snapshots, S3 versioned buckets, shadow copies.
examples (defensive awareness)
vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
bcdedit /set {default} recoveryenabled No
esxcli vm process kill -t force -w <wid>
06
الابتزاز المزدوج/الثلاثي
قبل التشفير: تهريب البيانات. ثم التشفير. ثم تهديد بنشر البيانات. أحياناً DDoS كضغط رابع.
07
التشفير الجماعي
خوارزميات هجينة: ChaCha20/AES + RSA/Curve25519. الهجمات الحديثة تشفّر جزءاً من كل ملف (intermittent encryption).

عائلات Ransomware الكبرى

LockBit (3.0/Black/Green)
الأكثر نشاطاً. RaaS، StealBit للتهريب، intermittent encryption.
ALPHV / BlackCat
مكتوب بـ Rust، يستهدف ESXi/Linux أيضاً.
Royal / BlackSuit
خلفاء Conti، يستهدف القطاع الصحي و الحكومي.
Akira / Play / Rhysida
موجات حديثة تركز على VPN و SonicWall/Cisco.

هجمات سلسلة التوريد — Supply Chain

بدلاً من اختراق الهدف، يخترق المهاجم من يثق به الهدف:

1) اختراق المورّد البرمجي

  • SolarWinds (2020) — تحديث موقّع شرعياً يحوي SUNBURST.
  • 3CX (2023) — تطبيق سطح مكتب موقّع يحوي SmoothOperator.
  • XZ Utils (2024) — backdoor زُرع تدريجياً عبر مساهم مزوّر في الـ open source.

2) اختراق مزود الخدمة المُدارة (MSP)

Kaseya (2021) — ثغرة VSA أوصلت REvil إلى آلاف العملاء النهائيين.

3) Dependency Attacks

  • Typosquatting — حزمة باسم قريب (colorrs بدل colors).
  • Dependency Confusion — رفع حزمة عامة بنفس اسم حزمة داخلية.
  • Account takeover لمشرف حزمة ثم نشر إصدار خبيث.

4) Build System Compromise

  • اختراق CI/CD (Jenkins, GitHub Actions, GitLab Runners).
  • سرقة code signing keys.
  • زرع باب خلفي في build artifact فقط (لا في الكود المصدر).

Wipers — الأخطر من Ransomware

الـ wiper يبدو ransomware لكنه يدمّر البيانات بلا رجعة. أمثلة: NotPetya, HermeticWiper, AcidRain, CaddyWiper. هدفها سياسي لا مالي.

الدفاع — خطة شاملة ضد Ransomware

  1. 3-2-1-1-0 Backup: 3 نسخ، 2 وسائط، 1 خارج الموقع، 1 offline/air-gapped/immutable، 0 أخطاء في الاختبار.
  2. Immutable backups: S3 Object Lock, Veeam Hardened Repository, Wasabi immutability.
  3. تجارب استرجاع دورية موثقة.
  4. تقسيم الشبكة — DC / backups / hypervisors في VLANs منفصلة.
  5. MFA على كل شيء، خاصة VPN, RDP, hypervisors, backup admin.
  6. تعطيل SMBv1، LLMNR، NTLMv1.
  7. تصلب ESXi (تعطيل SSH، execInstalledOnly=TRUE، lockdown mode).
  8. كشف مبكر: قواعد Sigma على vssadmin delete, wbadmin delete, bcdedit, esxcli vm process kill.
  9. Canary files في كل share: ملفات وهمية ترصد أول محاولة تشفير.
  10. خطة استجابة معتمدة + اتصال خارج النطاق (Signal).

الدفاع — ضد Supply Chain

  • SBOM لكل أصل برمجي.
  • SLSA كهدف نضج.
  • Sigstore / cosign لتوقيع artifacts.
  • Pin dependencies بالـ hash، لا بالاسم فقط.
  • عزل CI/CD — ephemeral runners، OIDC بدل long-lived secrets.
  • Vendor risk management — استبيان أمني سنوي.
  • مراقبة behavioral baselines للمنتجات المثبّتة، حتى الموقّعة.
  • Network egress allow-list صارم.
الدرس من SolarWinds
توقيع رقمي شرعي ≠ ملف آمن. كل برنامج، حتى الموقّع، يجب أن يخضع لمراقبة سلوكية.

عند الإصابة — هل تدفع الفدية؟

الموقف الرسمي
FBI / CISA / Europol / NCSC ينصحون بعدم الدفع:
  • لا ضمان لاسترجاع البيانات (40% فقط من الدافعين يستردون كل شيء).
  • تموّل عمليات إجرامية لاحقة.
  • قد تكون مخالفة لعقوبات (OFAC).
  • 40% من الضحايا يُهاجمون مرة ثانية خلال سنة.

القرار يجب أن يُتخذ مع: legal, executive, insurance, law enforcement, DFIR retainer.

السابق
التملص الدفاعي وتمويه الحمولات البرمجية
التالي
الهندسة الاجتماعية وتقنيات التصيّد