🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

الكشف عن مجموعات برامج الفدية المتعطشة للوسائط: Bashe (APT73)

ظهرت Bashe (APT73) في أبريل 2024، وهي مجموعة برامج الفدية التي تزدهر على الخداع بدلاً من البراعة الإلكترونية الحقيقية. على عكس مشغلي برامج الفدية التقليدية، تقوم Bashe بتلفيق الهجمات من خلال الادعاء الكاذب بالمسؤولية عن الانتهاكات البارزة، بهدف جذب الشركات التابعة وتعزيز مصداقيتها. وتستهدف المجموعة الشركات متوسطة الحجم في قطاعات الخدمات المالية وتكنولوجيا المعلومات والبنوك، وتشمل أساليب المجموعة إعادة استخدام التسريبات القديمة وتنظيم البيانات من الانتهاكات العامة لتضليل الضحايا ووسائل الإعلام. يكشف هذا التقرير كيف تتلاعب Bashe بالسرد، والأضرار المحتملة الناجمة عن ادعاءاتها الاحتيالية، ولماذا يجب على الشركات استخدام معلومات التهديدات المتقدمة للتمييز بين التهديدات الحقيقية والمسرحيات الإلكترونية. ابق في طليعة الخداع الإلكتروني - تعرف على كيفية حماية مؤسستك من أساليب Bashe المضللة.

أيوش جونيجا
January 29, 2025
Green Alert
Last Update posted on
August 21, 2025
ما وراء المراقبة: الحماية التنبؤية للمخاطر الرقمية باستخدام CloudSek

قم بحماية مؤسستك من التهديدات الخارجية مثل تسرب البيانات وتهديدات العلامة التجارية والتهديدات الناشئة عن الويب المظلم والمزيد. حدد موعدًا لعرض تجريبي اليوم!

Schedule a Demo
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

تحاكي APT73/BASHE، وهي مجموعة برامج الفدية الناشئة حديثًا والنشطة منذ أبريل 2024، المجموعات القائمة مثل LockBit. تستهدف المؤسسات متوسطة الحجم التي تتراوح إيراداتها السنوية بين 10 ملايين دولار و 500 مليون دولار، وتشمل ضحاياها قطاعات الخدمات المالية وتكنولوجيا المعلومات والبنوك والتصنيع. إنهم يركزون على استخراج البيانات الحساسة لإنشاء واجهة شرعية لمطالبهم، مع إعطاء الأولوية للأهداف في أمريكا الشمالية وأوروبا وآسيا. على الرغم من علامات قلة الخبرة، تشير استراتيجياتها التكيفية إلى إمكانية النمو السريع.

تزدهر مجموعة Bashe ransomware بناءً على الادعاءات الكاذبة والانتصارات الملفقة، وتعمل أكثر من مجرد محتالين انتهازيين في عالم الجرائم الإلكترونية. إن استراتيجيتهم في الحصول على الفضل في الهجمات التي لم يرتكبوها ليست سوى محاولة يائسة لتضخيم أهميتها لجذب الشركات التابعة المشروعة لبرامج الفدية. بدلاً من إظهار البراعة التقنية الحقيقية، يعتمد Bashe على الخداع وشاشات الدخان ويتلاعب بعيناتها عن طريق إخفاء معلومات التعريف الشخصيمما يزيد من صعوبة التحقق من صحة ادعاءاتهم. تحت الواجهة، فإن افتقارهم إلى الأصالة يجعلهم مثالًا رئيسيًا على عدم كفاءة المجرمين الإلكترونيين والمسرحيات المبالغ فيها.
تدعي مجموعة Bashe Ransomware زورًا مسؤوليتها عن الهجمات لاكتساب السمعة ودعوة الجهات الفاعلة ذات المصداقية في مجال التهديد إلى البرنامج التابع لها. يساعدهم هذا التكتيك على إبراز صورة القوة والتأثير، مما يغري مجرمي الإنترنت الآخرين للتعاون معهم.

نعتقد أن الشركات التابعة قد انضمت إليها بالفعل أو ستنضم إليها على الأرجح في المستقبل القريب، مدفوعة بالضجيج الإعلامي الذي يولده هؤلاء الأفراد.

تحليل الأحداث:

فيما يلي بعض الأهداف الأخيرة جنبًا إلى جنب مع الجداول الزمنية لتواريخ نشرها على DLS:

Target Timeline
Malindoair 20/01/2025
Betclic 15/01/2025
Federal Bank India 24/12/2024
Line Bank 23/12/2024
Bank Rakyat Indonesia 18/12/2024

المخطط الزمني:

1. 20 يناير 2025: أعلنت مجموعة Bashe ransomware على موقع تسريب البيانات الخاص بها أنها اخترقت قائمة ماليندو إير في بنغلاديش معلومات تحديد الهوية الشخصية للركاب.

لقطة شاشة للأحداث التي تم التقاطها بواسطة زيفيجيل 

لقطة شاشة للمنشور المنشور على برنامج الفدية DLS

بعد إجراء مزيد من التحليل وفحص العينة المقنعة المدرجة على موقع Ransomware DLS، تم تحديد أن هذه إعادة نشر لتسرب بيانات Malindo Air الذي حدث في الأصل في مارس 2019.

لقطة شاشة من BreachForums تعرض تاريخ التسرب الأصلي

للتأكد من أن المنشور الذي نشره Bashe هو مجرد إعادة نشر للبيانات القديمة، اخترنا عشوائيًا أسماء من العينة التي قدمتها Bashe وقمنا بفحصها مقابل التنازلات. تم العثور على جميع الأسماء المختارة عشوائيًا لتكون جزءًا من نفس تسرب بيانات Malindo Air الذي حدث في عام 2019.

2. 15 يناير 2025: أعلنت Bashe عن تسريب آخر على موقع تسريب البيانات الخاص بها يستهدف منظمة المقامرة عبر الإنترنت بيتكليك، قائمة مرة أخرى معلومات التعريف الشخصي للعميل.

لقطة شاشة للأحداث التي تم التقاطها بواسطة زيفيجيل

لقطة شاشة للمنشور من رانسوم وير DLS

عند تحليل هذا المنشور والعينات، تم اكتشاف أن البيانات التي قدموها تم تنسيقها من قبل مجمّع تمت استضافته في منتديات القرصنة المختلفة.

جعل إخفاء العينات من الصعب التحقق من صحة هذا المنشور. ومع ذلك، من خلال اختيار الأسماء عشوائيًا من العينة وتحليلها عبر مصادر البيانات المختلفة، لاحظنا عاملاً مشتركًا واحدًا: كانت جميع الأسماء موجودة في نفس العازف من إحدى هذه المنصات.

تقودنا هذه النتيجة إلى استنتاج أن هذا المنشور هو منشور مزيف آخر حيث قام الممثل ببساطة برعاية البيانات من كومبوليست موجود.

3. 24 ديسمبر 2024: أعلنت Bashe عن تسريب آخر على موقع تسريب البيانات الخاص بها البنك الفيدرالي عطاء الهند معلومات التعريف الشخصي للعميل.

لقطة شاشة للأحداث التي تم التقاطها بواسطة زيفيجيل

لقطة شاشة للمنشور من رانسوم وير DLS

عند تحليل هذا المنشور والعينات، تم اكتشاف أن العينة التي قدموها مطابقة للعينة المنشورة على Breachforum في مايو 2023.

لقطة شاشة لمنشور Breachforum

4. 23 ديسمبر 2024: أعلن Bashe عن تسريب آخر على موقع تسريب البيانات الخاص به يستهدف بنكًا إندونيسيًا - لينبانك، قائمة مرة أخرى معلومات التعريف الشخصي للعميل.

لقطة شاشة للأحداث التي تم التقاطها بواسطة زيفيجيل

لقطة شاشة للمنشور من رانسوم وير DLS

عند تحليل هذا المنشور والعينات، تم اكتشاف أن البيانات التي قدموها لا علاقة لها تمامًا ببنك إندونيسيا بسبب ذكر رمز IFSC للبنوك الهندية.

لقطة شاشة لمنشور Breachforum الذي أخذ منه Bashe البيانات

لقطة شاشة لرموز IFSC التابعة للبنك الهندي

5. 18 ديسمبر 2024: أعلن Bashe عن تسريب آخر على موقع تسريب البيانات الخاص به مرة أخرى يستهدف بنكًا إندونيسيًا - بنك راكيات إندونيسيا (BRI) ، قائمة مرة أخرى معلومات التعريف الشخصي للعميل.

لقطة شاشة للأحداث التي تم التقاطها بواسطة زيفيجيل

لقطة شاشة للمنشور من رانسوم وير DLS

عند تحليل هذا المنشور والعينات، تم اكتشاف أن العينة التي قدموها مطابقة لإحدى المستندات المتاحة للجمهور على منصة المشاركة.

لقطة شاشة لمنصة مشاركة الملفات التي أخذ منها Bashe البيانات

التأثير

  • تآكل المصداقية: قد تواجه المؤسسات المستهدفة بادعاءات كاذبة ضررًا بالسمعة حيث يفقد أصحاب المصلحة والعملاء الثقة، حتى لو كانت الادعاءات غير صحيحة.
  • استنزاف الموارد: يتم إهدار الوقت والموارد في التحقيق في المطالبات الاحتيالية ومعالجتها بدلاً من التركيز على التهديدات الحقيقية.
  • زيادة الذعر: يمكن أن يؤدي الضجيج الإعلامي حول الادعاءات التي لا أساس لها من الصحة إلى خلق حالة من الذعر غير الضروري، مما يزيد من توسيع نطاق الوصول والتأثير المتصور لمجموعات برامج الفدية مثل Bashe.
  • فرصة للجهات الفاعلة في مجال التهديد: تؤدي الادعاءات الكاذبة إلى ظهور شركة Bashe، مما قد يؤدي إلى جذب الشركات التابعة وتمكينها من توسيع عملياتها.

التوصيات:

  • قم بتطبيق أنظمة استخبارات التهديدات القوية لمراقبة المطالبات التي تقدمها مجموعات برامج الفدية والتحقق منها باستمرار، وتحديد البيانات المعاد نشرها أو المنسقة.
  • قم بتثقيف المؤسسات حول التحقق من صحة البيانات المسربة قبل الاستجابة لمطالب برامج الفدية لتجنب الذعر غير الضروري أو الخسارة المالية.
  • عزز التعاون مع منصات الأمن السيبراني مثل Xvigil لاكتشاف ادعاءات برامج الفدية الاحتيالية وتحليلها والإبلاغ عنها على الفور.
  • تعزيز استراتيجيات الاتصال الداخلية والخارجية لمنع الضجيج الإعلامي من إضفاء الشرعية على الادعاءات التي لا أساس لها من الصحة من قبل الجهات الفاعلة في مجال التهديد.

ملف تعريف مجموعة برامج الفدية: Bashe

الاسم المستعار: إيرلين، APT73 (المُعلنة ذاتيًا APT)

مستوى النشاط: نشطة للغاية

الدافع الأساسي: مكاسب مالية، اكتساب المصداقية

أهم البلدان المستهدفة:

  1. المملكة المتحدة
  2. إندونيسيا
  3. الولايات المتحدة
  4. كندا
  5. ألمانيا
  6. سويسرا
  7. فرنسا
  8. الهند
  9. البرازيل

الصناعات المستهدفة:

يُظهر Bashe نطاقًا واسعًا للاستهداف عبر مختلف الصناعات، بما في ذلك:

  • خدمات مالية
  • ذلك
  • الخدمات المصرفية
  • قطاعات التصنيع

المراجع

Predict Cyber threats against your organization

Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

رانسوم وير
Table of Content

ملخص تنفيذي

تحاكي APT73/BASHE، وهي مجموعة برامج الفدية الناشئة حديثًا والنشطة منذ أبريل 2024، المجموعات القائمة مثل LockBit. تستهدف المؤسسات متوسطة الحجم التي تتراوح إيراداتها السنوية بين 10 ملايين دولار و 500 مليون دولار، وتشمل ضحاياها قطاعات الخدمات المالية وتكنولوجيا المعلومات والبنوك والتصنيع. إنهم يركزون على استخراج البيانات الحساسة لإنشاء واجهة شرعية لمطالبهم، مع إعطاء الأولوية للأهداف في أمريكا الشمالية وأوروبا وآسيا. على الرغم من علامات قلة الخبرة، تشير استراتيجياتها التكيفية إلى إمكانية النمو السريع.

تزدهر مجموعة Bashe ransomware بناءً على الادعاءات الكاذبة والانتصارات الملفقة، وتعمل أكثر من مجرد محتالين انتهازيين في عالم الجرائم الإلكترونية. إن استراتيجيتهم في الحصول على الفضل في الهجمات التي لم يرتكبوها ليست سوى محاولة يائسة لتضخيم أهميتها لجذب الشركات التابعة المشروعة لبرامج الفدية. بدلاً من إظهار البراعة التقنية الحقيقية، يعتمد Bashe على الخداع وشاشات الدخان ويتلاعب بعيناتها عن طريق إخفاء معلومات التعريف الشخصيمما يزيد من صعوبة التحقق من صحة ادعاءاتهم. تحت الواجهة، فإن افتقارهم إلى الأصالة يجعلهم مثالًا رئيسيًا على عدم كفاءة المجرمين الإلكترونيين والمسرحيات المبالغ فيها.
تدعي مجموعة Bashe Ransomware زورًا مسؤوليتها عن الهجمات لاكتساب السمعة ودعوة الجهات الفاعلة ذات المصداقية في مجال التهديد إلى البرنامج التابع لها. يساعدهم هذا التكتيك على إبراز صورة القوة والتأثير، مما يغري مجرمي الإنترنت الآخرين للتعاون معهم.

نعتقد أن الشركات التابعة قد انضمت إليها بالفعل أو ستنضم إليها على الأرجح في المستقبل القريب، مدفوعة بالضجيج الإعلامي الذي يولده هؤلاء الأفراد.

تحليل الأحداث:

فيما يلي بعض الأهداف الأخيرة جنبًا إلى جنب مع الجداول الزمنية لتواريخ نشرها على DLS:

Target Timeline
Malindoair 20/01/2025
Betclic 15/01/2025
Federal Bank India 24/12/2024
Line Bank 23/12/2024
Bank Rakyat Indonesia 18/12/2024

المخطط الزمني:

1. 20 يناير 2025: أعلنت مجموعة Bashe ransomware على موقع تسريب البيانات الخاص بها أنها اخترقت قائمة ماليندو إير في بنغلاديش معلومات تحديد الهوية الشخصية للركاب.

لقطة شاشة للأحداث التي تم التقاطها بواسطة زيفيجيل 

لقطة شاشة للمنشور المنشور على برنامج الفدية DLS

بعد إجراء مزيد من التحليل وفحص العينة المقنعة المدرجة على موقع Ransomware DLS، تم تحديد أن هذه إعادة نشر لتسرب بيانات Malindo Air الذي حدث في الأصل في مارس 2019.

لقطة شاشة من BreachForums تعرض تاريخ التسرب الأصلي

للتأكد من أن المنشور الذي نشره Bashe هو مجرد إعادة نشر للبيانات القديمة، اخترنا عشوائيًا أسماء من العينة التي قدمتها Bashe وقمنا بفحصها مقابل التنازلات. تم العثور على جميع الأسماء المختارة عشوائيًا لتكون جزءًا من نفس تسرب بيانات Malindo Air الذي حدث في عام 2019.

2. 15 يناير 2025: أعلنت Bashe عن تسريب آخر على موقع تسريب البيانات الخاص بها يستهدف منظمة المقامرة عبر الإنترنت بيتكليك، قائمة مرة أخرى معلومات التعريف الشخصي للعميل.

لقطة شاشة للأحداث التي تم التقاطها بواسطة زيفيجيل

لقطة شاشة للمنشور من رانسوم وير DLS

عند تحليل هذا المنشور والعينات، تم اكتشاف أن البيانات التي قدموها تم تنسيقها من قبل مجمّع تمت استضافته في منتديات القرصنة المختلفة.

جعل إخفاء العينات من الصعب التحقق من صحة هذا المنشور. ومع ذلك، من خلال اختيار الأسماء عشوائيًا من العينة وتحليلها عبر مصادر البيانات المختلفة، لاحظنا عاملاً مشتركًا واحدًا: كانت جميع الأسماء موجودة في نفس العازف من إحدى هذه المنصات.

تقودنا هذه النتيجة إلى استنتاج أن هذا المنشور هو منشور مزيف آخر حيث قام الممثل ببساطة برعاية البيانات من كومبوليست موجود.

3. 24 ديسمبر 2024: أعلنت Bashe عن تسريب آخر على موقع تسريب البيانات الخاص بها البنك الفيدرالي عطاء الهند معلومات التعريف الشخصي للعميل.

لقطة شاشة للأحداث التي تم التقاطها بواسطة زيفيجيل

لقطة شاشة للمنشور من رانسوم وير DLS

عند تحليل هذا المنشور والعينات، تم اكتشاف أن العينة التي قدموها مطابقة للعينة المنشورة على Breachforum في مايو 2023.

لقطة شاشة لمنشور Breachforum

4. 23 ديسمبر 2024: أعلن Bashe عن تسريب آخر على موقع تسريب البيانات الخاص به يستهدف بنكًا إندونيسيًا - لينبانك، قائمة مرة أخرى معلومات التعريف الشخصي للعميل.

لقطة شاشة للأحداث التي تم التقاطها بواسطة زيفيجيل

لقطة شاشة للمنشور من رانسوم وير DLS

عند تحليل هذا المنشور والعينات، تم اكتشاف أن البيانات التي قدموها لا علاقة لها تمامًا ببنك إندونيسيا بسبب ذكر رمز IFSC للبنوك الهندية.

لقطة شاشة لمنشور Breachforum الذي أخذ منه Bashe البيانات

لقطة شاشة لرموز IFSC التابعة للبنك الهندي

5. 18 ديسمبر 2024: أعلن Bashe عن تسريب آخر على موقع تسريب البيانات الخاص به مرة أخرى يستهدف بنكًا إندونيسيًا - بنك راكيات إندونيسيا (BRI) ، قائمة مرة أخرى معلومات التعريف الشخصي للعميل.

لقطة شاشة للأحداث التي تم التقاطها بواسطة زيفيجيل

لقطة شاشة للمنشور من رانسوم وير DLS

عند تحليل هذا المنشور والعينات، تم اكتشاف أن العينة التي قدموها مطابقة لإحدى المستندات المتاحة للجمهور على منصة المشاركة.

لقطة شاشة لمنصة مشاركة الملفات التي أخذ منها Bashe البيانات

التأثير

  • تآكل المصداقية: قد تواجه المؤسسات المستهدفة بادعاءات كاذبة ضررًا بالسمعة حيث يفقد أصحاب المصلحة والعملاء الثقة، حتى لو كانت الادعاءات غير صحيحة.
  • استنزاف الموارد: يتم إهدار الوقت والموارد في التحقيق في المطالبات الاحتيالية ومعالجتها بدلاً من التركيز على التهديدات الحقيقية.
  • زيادة الذعر: يمكن أن يؤدي الضجيج الإعلامي حول الادعاءات التي لا أساس لها من الصحة إلى خلق حالة من الذعر غير الضروري، مما يزيد من توسيع نطاق الوصول والتأثير المتصور لمجموعات برامج الفدية مثل Bashe.
  • فرصة للجهات الفاعلة في مجال التهديد: تؤدي الادعاءات الكاذبة إلى ظهور شركة Bashe، مما قد يؤدي إلى جذب الشركات التابعة وتمكينها من توسيع عملياتها.

التوصيات:

  • قم بتطبيق أنظمة استخبارات التهديدات القوية لمراقبة المطالبات التي تقدمها مجموعات برامج الفدية والتحقق منها باستمرار، وتحديد البيانات المعاد نشرها أو المنسقة.
  • قم بتثقيف المؤسسات حول التحقق من صحة البيانات المسربة قبل الاستجابة لمطالب برامج الفدية لتجنب الذعر غير الضروري أو الخسارة المالية.
  • عزز التعاون مع منصات الأمن السيبراني مثل Xvigil لاكتشاف ادعاءات برامج الفدية الاحتيالية وتحليلها والإبلاغ عنها على الفور.
  • تعزيز استراتيجيات الاتصال الداخلية والخارجية لمنع الضجيج الإعلامي من إضفاء الشرعية على الادعاءات التي لا أساس لها من الصحة من قبل الجهات الفاعلة في مجال التهديد.

ملف تعريف مجموعة برامج الفدية: Bashe

الاسم المستعار: إيرلين، APT73 (المُعلنة ذاتيًا APT)

مستوى النشاط: نشطة للغاية

الدافع الأساسي: مكاسب مالية، اكتساب المصداقية

أهم البلدان المستهدفة:

  1. المملكة المتحدة
  2. إندونيسيا
  3. الولايات المتحدة
  4. كندا
  5. ألمانيا
  6. سويسرا
  7. فرنسا
  8. الهند
  9. البرازيل

الصناعات المستهدفة:

يُظهر Bashe نطاقًا واسعًا للاستهداف عبر مختلف الصناعات، بما في ذلك:

  • خدمات مالية
  • ذلك
  • الخدمات المصرفية
  • قطاعات التصنيع

المراجع

أيوش جونيجا

Related Blogs