نوع التقريرتصنيف مجموعة التهديداتموضوع البحثمجموعة أرفين كلوب رانسوم ويرطناجر

ملخص تنفيذي

• كلاود سيكقام فريق أبحاث استخبارات التهديدات بتحليل ملف تعريف مجموعة برامج الفدية التي يطلق عليها اسم Arvin Club.
• تحتفظ هذه المجموعة بموقع Onion وقنوات متعددة لتحديث أنشطتها وحالتها.
• قامت المجموعة مؤخرًا باختراق Kendriya Vidyalaya، وهي مجموعة من المدارس الحكومية المركزية في الهند. بالإضافة إلى ذلك، أظهرت المجموعة دعمها لـ ReVil، التي تم حلها منذ ذلك الحين.
• تم إجراء مزيد من البحث لتحليل عمليات المجموعة و TTPs.

ملاحظات أولية

• Arvin Club هي مجموعة Ransomware شائعة ذات حضور واسع على Telegram، والتي تشمل الدردشات الجماعية الشخصية والقنوات الرسمية.
• أطلقت المجموعة مؤخرًا موقع TOR/Onion الرسمي لتحديث حالتها وإصدار تفاصيل أحدث هجماتها وخروقات البيانات.
• هدفهم الأخير هو Kendriya Vidyala، وهي سلسلة من المدارس في الهند. كشفت المجموعة عن معلومات التعريف الشخصية (PII) لبعض الطلاب.

معلومات من موقع TOR الخاص بالمجموعة

• نشرت المجموعة أول مشاركة لها على موقع TOR الرسمي في 5 مايو 2021. ومع ذلك، يبدو أن المجموعة كانت نشطة قبل ذلك أيضًا.
• يسرد الموقع ضحايا المجموعة وتاريخ الخرق. ومع ذلك، لم يتم اختراق معظم الكيانات المدرجة من قبل Arvin Club.
• الكيانات المخترقة المدرجة على موقع Arvin Club TOR الرسمي:

تاريخ الخرق (الضحية)24 أكتوبر 2021كندريا فيديالا، الهند20 سبتمبر 2021مكتب فان دايك28 يونيو 2021جامعة ليدن 28 يونيو 2021الناقل الجوي الروسي UT Air11 يونيو 2021أكبر تجميع لكلمات المرور RockYou202124 مايو 2021بطاقات بن بارداخت ميلات21 مايو 2021رسول التعليم الإيراني Etoudplus15 مايو 2021بنك ملات من إيران14 مايو 2021بوابة الدفع بالبطاقات6 مايو 2021تسرب بيانات بقيمة 280 مليون دولار أمريكي 6 مايو 2021تجميع العديد من الانتهاكات (COMB)4 مايو 2021منتدى الجرائم الإلكترونية Maza4 مايو 2021متجر البطاقات تحت الأرض بعنوان Swarm Shop4 مايو 20211.3 مليون سجل مستخدم في ClubHouse

معلومات من قنوات تيليجرام

• يحتوي Arvin Club على قناتين على Telegram، إحداهما هي قناتهم الرسمية ولديها 3000 مشترك.
• يشمل أعضاء قنوات Telegram ممثلين مشهورين في مجال التهديد يتمتعون بسمعة متوسطة إلى عالية عبر منتديات الجرائم الإلكترونية.
• اللغة الفارسية هي لغة التواصل الرئيسية عبر قنوات التلغرام التي يملكها النادي.
• بالإضافة إلى ذلك، تنشر المجموعة حول خروقات البيانات المختلفة التي يتم نشرها بشكل أكبر على مواقع الويب والقنوات الخاصة بهم.
• مجموعة Telegram مليئة بالمناقشات والآراء حول الحوادث الإلكترونية المختلفة حول العالم.

البحث والتحليل

• تشير ملاحظات فريق استخبارات التهديدات في CloudSek إلى أن Arvin Club ليس برنامج فدية كامل، نظرًا لعدم توفر عينات أو ملحقات مخصصة لفتح الملفات.
• بالإضافة إلى ذلك، لا توجد أي إشارة إلى أدوات مختلفة خاصة بترسانة المجموعة. هذا مشابه لطريقة عمل مجموعة Bonaci، التي لا تنشر برامج الفدية لتشفير ملفات ومجلدات الضحايا ولكن لاستخراج البيانات ونشرها.
• يبدو أن المجموعة تدمج أساليب القرصنة المعقدة. ومع ذلك، لم يكن خرقها الأخير مؤثرًا ولم يقوموا بأي محاولات لابتزاز الضحية.
• لقد حاولت المجموعة فقط إتاحة البيانات للجمهور واعتمدت شعارًا فارسيًا يُترجم إلى «حرية الاتصال».
• جميع الميزات المذكورة أعلاه تميز Arvin Club عن مجموعات برامج الفدية النموذجية.

وتجدر الإشارة إلى أن Arvin Club لا يدعي أبدًا مسؤوليته عن أي محاولات قرصنة تمت على الكيانات المدرجة على موقعه الرسمي على الويب. ونتيجة لذلك، ينص مزود معلومات التهديدات Hack Notice صراحةً على «وفقًا لما أورده Arvin Club»، ولم يتم اختراقه من قبلهم (راجع الملحق).

الشراكة مع الحكومة الإيرانية

نتيجة لبعض حوادث القرصنة، تم الإبلاغ في يوليو 2021 عن ارتباط المجموعة بالحكومة الإيرانية. ومع ذلك، نفت المجموعة هذه المزاعم عبر منشور نُشر على موقعها الإلكتروني.

الرد على حدث الشر

ردًا على مجموعة ReVil ransomware التي تم القبض عليها من قبل مكتب التحقيقات الفيدرالي، نشر Arvin Club ميمي اللسان في الخد على موقعه على الويب. [معرف التسمية التوضيحية = «المرفق _18177" aligncenter «العرض ="381"] الرد على أعضاء مجموعة Revil الذين تم اعتقالهم من قبل مكتب التحقيقات الفدرالي [/caption]

الملحق

[معرف التسمية التوضيحية = «المرفق _18178" aligncenter «العرض ="512"] الموقع الرسمي لمجموعة آرفين كلوب رانسومواري [/caption] [معرف التسمية التوضيحية = «المرفق _18179" aligncenter «العرض ="512"] تشير مشاركة Hack Notice إلى نادي Arvin [/caption]