كشفت اليوم بالو ألتو نتوركس، المتخصصة في الأمن الإلكتروني، تفاصيل عن برمجية خبيثة جديدة تدعى (بلو سكاي)، والتي تستهدف بشكل رئيسي أنظمة التشغيل ويندوز طلباً للفدية. وتتبنى برمجية بلو سكاي التقنيات الحديثة لتفادي دفاعات الأمن الإلكتروني، وتقوم بتشفير بيانات المستخدم والمطالبة بفدية مقابل فك هذا التشفير، كما أنها تستخدم مسارات التنفيذ المتعددة (multithreading) لتشفير الملفات على الأجهزة بشكل أسرع. ووجدت التحليلات التي أجرتها شركة بالو ألتو نتوركس أن برمجية بلو سكاي مرتبطة بمجموعة “كونتي” المتخصصة في هجمات الفدية، وذلك اعتمادا على تحليل عينات برمجية فيها. وتتشابه هيكلية مسارات التنفيذ المتعددة (multithreading) الخاصة ببرمجية بلو سكاي مع الإصدار الثالث من برمجية كونتي، كما أن وحدة بحث الشبكة الخاصة بها هي عبارة عن نسخة طبق الأصل منها. ومن ناحية أخرى، فإن برمجية بلو سكاي تشبه إلى حد بعيد برمجية الفدية بابكو، حيث أن كلاهما يستخدم خوارزمية تشفير الملفات ChaCha20، جنبًا إلى جنب مع خوارزمية Curve25519 لتوليد المفاتيح. ووفقًا للدراسة التي أجرتها شركة CloudSEK، يتم استخدام البرمجة النصية PowerShell لتنزيل برمجية بلو سكاي من موقع ويب مزيف لتشفير البيانات. وبعد نجاح عملية التشفير، تقوم برمجية بلو سكاي بإعادة تسمية الملفات المشفرة باستخدام لاحقة الملف (.bluesky) وإسقاط ملف ملاحظات الفدية المسمى عبر وسوم ( DECRYPT FILES BLUESK .txet) والملف ( DECRYPT FILES BLUESKY .html).
مشاركة :