كشفت تقارير أمنية عن قيام أعضاء سابقين من مجموعة برامج الفدية الشهيرة Black Basta باستخدام أساليبهم التقليدية في الهجمات الإلكترونية، مع إضافة تقنيات جديدة تعتمد على نصوص بايثون الخبيثة ورسائل التصيد عبر مايكروسوفت تيمز.
التكتيكات الجديدة:
-
قصف البريد الإلكتروني وتصيد عبر تيمز لاختراق الشبكات.
-
استخدام نصوص بايثون لتنزيل وتنفيذ حمولات ضارة عبر طلبات cURL.
-
استغلال حسابات onmicrosoft[.]com المخترقة (50% من الهجمات) ونطاقات شرعية مُختَرقَة (42%) لتعزيز التخفي.
القطاعات المستهدفة:
-
القطاع المالي والتأميني
-
قطاع البناء والتشييد
حيث ينتحل المهاجمون صفة موظفي الدعم الفني لخداع الضحايا.
مصير Black Basta:
-
تعرضت المجموعة لضربة قوية بعد تسريب سجلات الدردشة الداخلية في فبراير 2025.
-
يُعتقد أن الأعضاء السابقين انضموا لمجموعة CACTUS (المذكورة في المحادثات المسربة)، أو لـ BlackLock التي تتعاون مع كارتل الفدية DragonForce.
التطورات التقنية:
-
استغلال الوصول الأولي عبر تصيد تيمز لبدء جلسات Quick Assist/AnyDesk.
-
تنزيل نصوص بايثون ضارة لإنشاء اتصالات C2.
-
استخدام برمجيات جافا خبيثة متطورة تسرق بيانات الاعتماد وتتخفى عبر:
-
Google Drive
-
OneDrive
-
جداول Google Sheets
-
مجموعات فدية أخرى نشطة:
-
Scattered Spider: تستهدف مقدمي الخدمات المدارة (MSPs) وتتعاون مع ALPHV وRansomHub وDragonForce.
-
Qilin: تستغل ثغرات FortiGate (CVE-2024-21762 وCVE-2024-55591).
-
Play: اخترقت 900 كيان منذ 2022، مستغلةً ثغرات SimpleHelp (CVE-2024-57727).
-
VanHelsing: تسريب شفرة المصدر الكاملة بسبب خلافات داخلية.
-
Interlock: تستخدم تروجان NodeSnake لمهاجمة الحكومات والجامعات البريطانية.
