كشفت تقارير تحليل الحوادث الرقمية الصادرة عن The DFIR Report أن هجومًا سيبرانيًا وقع في سبتمبر 2024 كشف عن تورط جهة تهديد واحدة في أنشطة مرتبطة بعدة عصابات فدية شهيرة، ما يشير إلى وجود شبكة تعاون خفية بين الوسطاء والمجموعات الإجرامية العاملة في هذا المجال.
بداية الهجوم بملف خبيث مموّه
بدأت عملية الاختراق بتنزيل ملف ضار متنكّر في صورة تطبيق “EarthTime” التابع لشركة DeskSoft، وهو برنامج معروف يُستخدم لعرض خرائط زمنية تفاعلية للأرض. بعد تشغيل الملف المزيف، تم تثبيت أداة التحكم عن بُعد SectopRAT، التي بدورها نشرت أداة SystemBC وعددًا من الأدوات الأخرى لجمع المعلومات الأولية عن النظام والبيئة المستهدفة.
أدوات متعددة تكشف روابط بين العصابات
أظهرت عملية الفحص الرقمي وجود عدد من البرمجيات الخبيثة داخل الشبكة المخترقة، منها أداة Grixba المرتبطة بعصابة الفدية Play Ransomware، وبرمجية Betruger التي تُستخدم كباب خلفي لصالح مجموعة RansomHub. كما اكتُشف ملف NetScan سابق يحتوي على بيانات من شركة أخرى يُعتقد أنها كانت ضحية لهجوم فدية نفذته عصابة DragonForce.
تشير هذه المعطيات إلى أن المهاجم كان على الأرجح وسيطَ وصولٍ أولي (IAB) يعمل لصالح أكثر من مجموعة فدية، يسهّل لها عمليات الدخول والاستطلاع داخل الشبكات مقابل حصة من الأرباح.
حركة جانبية وتسريب بيانات دون تشفير
ورغم أن الهجوم لم يتضمن تنفيذ برمجية فدية لتشفير الملفات، إلا أن المهاجم تمكن من التحرك أفقيًا داخل الشبكة عبر بروتوكول RDP، ثم قام بتهريب البيانات إلى خادم FTP باستخدام أداة WinSCP، حيث جُمعت الملفات في أرشيفات WinRAR قبل نقلها. ويُعد هذا النمط من العمليات مؤشّرًا على أن الجهة المهاجمة كانت تهدف إلى الابتزاز عبر تسريب البيانات (Data Exfiltration) بدلًا من التشفير التقليدي، وهو أسلوب آخذ في الانتشار بين العصابات الكبرى خلال العامين الأخيرين.
خلفية عن المجموعات المرتبطة
-
Play Ransomware: مجموعة فدية ظهرت عام 2022 واشتهرت باستخدام تقنيات “Double Extortion”، أي تشفير الملفات وتهديد الضحية بنشرها.
-
RansomHub: واحدة من العصابات الناشئة التي تضم عناصر سابقة من مجموعات فدية مثل ALPHV وLockBit، وتعمل بنظام الشراكة مع وسطاء الوصول.
-
DragonForce: جماعة سيبرانية ذات نشاط سياسي وفوضوي، يُعتقد أنها تعمل من جنوب شرق آسيا وتنفذ هجمات ذات دوافع أيديولوجية وتجارية معًا.
ويُظهر هذا الحادث كيف تتقاطع خطوط التعاون بين مجرمي الإنترنت، إذ باتت الحدود بين العصابات التقليدية والوسطاء المستقلين أكثر ضبابية، ما يزيد من تعقيد مشهد التهديدات السيبرانية عالميًا.
