مجموعة مرتبطة بروسيا تتسلل إلى 200 شركة باستخدام برامج الفدية

قامت مجموعة قرصنة مرتبطة بروسيا باختراق ما يقرب من 200 شركة باستخدام برامج الفدية واسع النطاق مستمر ، وفقًا لشركة الأمن السيبراني Huntress Labs Inc.

استهدف المتسللون مزودي الخدمات المدارة ، الذين غالبًا ما يقدمون دعم تكنولوجيا المعلومات للشركات الصغيرة والمتوسطة الحجم ، وفقًا لـ Huntress Labs. من خلال استهداف مقدم خدمة مُدار ، قد يتمكن المتسللون من الوصول إلى شبكات الكمبيوتر الخاصة بعملائهم واختراقها.

قال جون هاموند ، باحث الأمن السيبراني في Huntress Labs: “مما نعرفه الآن ، لدينا ثمانية شركاء MSP متأثرين”. “يضيف عملاء MSP هؤلاء ما لا يقل عن 200 شركة مشفرة وفدية نتيجة تعرض MSP للاختراق.” ولم يحدد مزودي الخدمة المدارة الذين تعرضوا للهجوم.

وقال هاموند إنه يتوقع أن يرتفع عدد الضحايا “بشكل كبير” مع اكتشاف المزيد من مقدمي الخدمات المدارة المعرضين للخطر. أسماء عملاء MSP الذين تعرضوا للهجوم غير معروفة بعد.

قال أندرو هوارد ، الرئيس التنفيذي لشركة Kudelski Security ومقرها سويسرا ، وهي شركة مزودة لخدمات الأمن السيبراني المُدارة: “هذه واحدة من أكثر الهجمات تأثيرًا على نطاق واسع والتي نفذتها الدول غير القومية ، والتي رأيناها على الإطلاق ويبدو أنها مصممة فقط لانتزاع الأموال” خدمات. “من الصعب تصوير طريقة أفضل للمهاجم لتوزيع البرامج الضارة مقارنة بموفري تكنولوجيا المعلومات الموثوق بهم.”

قال جيك ويليامز ، كبير مسؤولي التكنولوجيا في BreachQuest ، إنه استجاب بالفعل للعديد من ضحايا برامج الفدية ، بما في ذلك المدرسة والشركة المصنعة. وقال إنه في تلك الحالات ، بدأت طلبات الفدية بمبلغ 45 ألف دولار.

في الماضي ، غالبًا ما تطلب مجموعات برامج الفدية دفعة واحدة دفعة واحدة من مزود خدمة مُدار ، بدلاً من محاولة تحصيل المدفوعات من جميع عملائها. ولكن في هذه الحالة ، يبدو أن الجهات الفاعلة في REvil تقوم بتشفير مئات عملاء MSP وتطالب بالدفع من كل عميل ، على حد قول ويليامز.

برامج الفدية

قال ويليامز: “لا توجد وسيلة لدى الممثلين للتعامل مع النطاق الترددي للتعامل مع كل حالة على حدة في نفس الوقت”. “إذا استمروا في هذا الاتجاه ، فسيستغرق حل هذا الأمر أسابيع.”

وتأتي الهجمات بعد أسابيع قليلة من قمة بين الرئيس جو بايدن والرئيس الروسي فلاديمير بوتين حذر فيها بايدن من أن 16 نوعا من البنية التحتية الحيوية محظورة على الهجمات الإلكترونية.

تم إلقاء اللوم على قراصنة ترعاهم الدولة في هجمات ضد تسع وكالات حكومية أمريكية ونحو 100 شركة ، والتي تم الكشف عنها في ديسمبر وتضمنت جزئيًا تحديثات ضارة في برامج من شركة SolarWinds Corp. ومقرها تكساس.

في الآونة الأخيرة ، تم إلقاء اللوم في هجوم فدية على شركة كولونيال بايبلاين ، والتي ضغطت على إمدادات البنزين على طول الساحل الشرقي ، على عصابة إجرامية مرتبطة بالروسيا تسمى دارك سايد.

أشار باحثو الأمن السيبراني إلى Kaseya ، الذي يطور البرمجيات المستخدمة من قبل مزودي الخدمات المدارة ، باعتباره السبب الجذري المحتمل للاختراق.

نصحت Kaseya عملاءها يوم الجمعة بإغلاق برنامج Virtual System Administrator الخاص بها بسبب هجوم محتمل.

وقال كاسييا في بيان “نحن بصدد التحقيق في السبب الجذري للحادث مع قدر كبير من الحذر لكننا نوصيك بإغلاق خادم VSA على الفور حتى تتلقى إشعارًا آخر منا”.

أقرت وكالة الأمن السيبراني وأمن البنية التحتية بالاختراق في بيان موجز.

وقالت الوكالة “CISA تتخذ إجراءات لفهم ومعالجة هجوم فدية سلسلة التوريد الأخير ضد Kaseya VSA ومقدمي الخدمات المدارة المتعددين (MSPs) الذين يستخدمون برامج VSA.”

تُعرف مجموعة القرصنة التي تقف وراء الهجوم باسم “REvil” ، وفقًا لألان ليسكا ، محلل التهديدات البارز في شركة الأمن السيبراني Recorded Future Inc. ، قال ليسكا إن هذه هي المرة الثالثة التي تستهدف فيها REvil Kaseya لشن هجمات فدية. ولم يتسن الوصول إلى ممثل عن Kaseya للتعليق.

كان REvil أيضًا وراء هجوم الفدية على مورد اللحوم JBS SA في مايو. وقالت الشركة إنها دفعت في النهاية 11 مليون دولار فدية.

قال جيسون إينغلس ، مؤسس شركة Ingalls Information Security للاستجابة للاختراق ، إن الهجمات مثل هجوم MSP الذي أُعلن عنه يوم الجمعة أصبحت أكثر شيوعًا.

قال “المتسللون يتسللون إلى المصدر الأكثر موثوقية للبرامج أو الأمن في سلسلة إمداد ضخمة ، ثم يعرضون جميع عملائهم للخطر”. “هذه هي نفس طريقة الهجوم المستخدمة في اختراق SolarWinds ، ولكن يتم استخدامها الآن من قبل المجرمين للاستفادة من وصولهم إلى ضحية واحدة .

المصدر: رويترز