بعد أسابيع فقط من دعوة الرئيس جو بايدن إلى فلاديمير بوتين للحد من الجريمة الإلكترونية ، اتُهمت عصابة فدية سيئة السمعة مرتبطة بروسيا بشن هجوم جريء على سلسلة توريد البرمجيات العالمية.
يُعتقد أن REvil ، المجموعة التي تم إلقاء اللوم عليها في هجوم الفدية في 30 مايو على شركة JBS SA العملاقة لتعليب اللحوم ، وراء الاختراقات على ما لا يقل عن 20 من مزودي الخدمة المدارة ، الذين يقدمون خدمات تكنولوجيا المعلومات للشركات الصغيرة والمتوسطة الحجم.
تأثر أكثر من 1000 شركة بالفعل ، وهو رقم من المتوقع أن ينمو ، وفقًا لشركة الأمن السيبراني Huntress Labs Inc.
“استنادًا إلى مجموعة من مزودي الخدمة الذين يتواصلون معنا للحصول على المساعدة جنبًا إلى جنب مع التعليقات التي نراها في الموضوع الذي نتتبعه على Reddit ، فمن المعقول الاعتقاد بأن هذا قد يؤثر على الآلاف من الشركات الصغيرة” ، وفقًا لـ جون هاموند ، باحث في الأمن السيبراني في Huntress Labs.
تعتبر مهاجمة MSPs طريقة خادعة بشكل خاص للقرصنة ، لأنها قد تسمح للمهاجمين بالتسلل إلى عملائهم أيضًا. قال هاموند إن أكثر من 20 MSPs قد تأثرت حتى الآن.
في السويد ، تعذّر فتح معظم متاجر سلسلة البقالة التابعة لسلسلة البقالة Coop والتي يزيد عددها عن 800 متجر يوم السبت بعد أن أدى الهجوم إلى خلل في سجلات النقد الخاصة بهم ، وفقًا لما قالته المتحدثة باسم الشركة تيريز كناب لبلومبرج نيوز.
هناك ضحايا في 17 دولة حتى الآن ، بما في ذلك المملكة المتحدة وجنوب إفريقيا وكندا والأرجنتين والمكسيك وإسبانيا ، وفقًا لأرييه جوريتسكي ، الباحث المتميز في شركة ESET للأمن السيبراني.
هجوم رانسوم وير هو الأحدث في سلسلة من الاختراقات المدمرة في الأشهر الأخيرة ، مما يجعل الأمن السيبراني قضية أمن قومي ملحة بشكل متزايد لإدارة بايدن.
في قمة عُقدت في 16 يونيو ، حذر بايدن الرئيس الروسي بوتين من أن 16 نوعًا من البنية التحتية الحيوية – بما في ذلك الغذاء والزراعة وخدمات الطوارئ والرعاية الصحية – محظورة على الهجمات المستقبلية.
لم يُعرف بعد ما إذا كان الضحايا الأمريكيون لهجوم برنامج الفدية الأخير قد وقعوا ضمن تلك القطاعات.
تم الكشف عن هجوم على سلسلة إمداد برمجيات في ديسمبر / كانون الأول شمل تسع وكالات أمريكية ونحو 100 شركة كضحايا.
تم اتهام قراصنة ترعاهم الدولة الروسية بالهجوم ، حيث زرع قراصنة كودًا خبيثًا في تحديثات لبرامج شهيرة لشركة SolarWinds Corp.
سلسلة توريد البرمجيات العالمية هدف للهجمات الإلكترونية
أنشأ العملاء الذين قاموا بتنزيل التحديثات عن غير قصد بابًا خلفيًا يمكن للقراصنة استغلاله بعد ذلك. لقد كان معقدًا بشكل خاص وسلط الضوء على الإمكانات المرعبة لاختراق سلسلة التوريد.
في الآونة الأخيرة ، كشفت هجمات برامج الفدية على شركة Colonial Pipeline Co. ، المشغل لأكبر خط أنابيب للوقود في البلاد ، و JBS عن ثغرات أمنية كبيرة في الشركات الأمريكية المهمة.
دفعت كل من كولونيال وجي بي إس للقراصنة ملايين الدولارات. المتسللون الذين يقفون وراء الهجوم الاستعماري ، مجموعة تسمى DarkSide ، تم ربطهم أيضًا بروسيا.
يبدو أن هجوم يوم الجمعة يجمع بين هجوم سلسلة التوريد وبرامج الفدية ، مما يؤدي إلى زيادة كبيرة في عدد الضحايا المحتملين ، ويفترض ، دفع تعويضات. فيروسات الفدية هي نوع من الهجمات يقوم من خلالها المتسللون بتشفير ملفات الكمبيوتر ثم المطالبة بالدفع لفتحها.
من بين الشركات المستهدفة ، كانت شركة Kaseya Ltd. ، وهي شركة مطورة للبرمجيات ومقرها ميامي لمقدمي الخدمات المدارة ، كوسيلة لمهاجمة عملائها ، وفقًا لخبراء الأمن السيبراني.
قال هاموند: “ما يميز هذا الهجوم هو تأثيره المتدفق ، من مزود الخدمة المدارة إلى الأعمال التجارية الصغيرة”.
تابع: “تتعامل Kaseya مع الشركات الكبيرة على طول الطريق إلى الشركات الصغيرة على مستوى العالم ، لذلك في نهاية المطاف ، لديها القدرة على الانتشار إلى أي حجم أو نطاق عمل.”
وقالت كاسية في بيان إنها أبلغت مكتب التحقيقات الفدرالي. وقالت الشركة إنها حددت حتى الآن أقل من 40 عميلا تأثروا بالهجوم.
قال آلان ليسكا ، محلل التهديدات البارز في شركة الأمن السيبراني Recorded Future Inc. ، إن REvil كانت وراء الهجمات.
قال إريك غولدستين ، المدير التنفيذي المساعد للأمن السيبراني في وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية ، إن المجموعة تراقب هذا الوضع عن كثب.
وقال في بيان “نحن نعمل مع كاسية وننسق مع مكتب التحقيقات الفدرالي لإجراء تواصل مع الضحايا المحتمل تأثرهم”.
تابع: “نشجع جميع الأشخاص الذين قد يتأثرون على استخدام وسائل التخفيف الموصى بها وللمستخدمين لاتباع إرشادات Kaseya لإغلاق خوادم VSA على الفور.
كما هو الحال دائمًا ، نحن على استعداد لمساعدة أي كيانات متأثرة “.
اثنان من MSPs المتضررة تشمل Synnex Corp. و Avtex LLC ، وفقًا لشخصين على دراية بالانتهاكات.
صرح رئيس Avtex ، جورج ديمو ، لـ Bloomberg News في رسالة نصية مساء الجمعة ، “لقد تأثر المئات من MSPs بما يبدو أنه اختراق لسلسلة التوريد العالمية.”
وأضاف: “نحن نعمل مع هؤلاء العملاء الذين تأثروا لمساعدتهم على التعافي”.
المصدر: رويترز