كشفت تقارير أمنية أن مجموعة DragonForce ، المتخصصة في هجمات الفدية، تمكنت من الوصول إلى أداة الإدارة والمراقبة عن بُعد ( RMM) الخاصة بمزود خدمة مُدار ( MSP)، وقامت باستغلالها لسرقة البيانات ونشر برمجيات الفدية عبر عدة نقاط نهاية.
وتشير التحليلات التي قدمتها شركة Sophos إلى أن الهجوم استهدف استغلال ثلاث ثغرات أمنية في SimpleHelp ( CVE-2024-57727، CVE-2024-57728، CVE-2024-57726)، والتي تم الكشف عنها في يناير 2025، مما مكّن المهاجمين من الوصول إلى البنية التحتية الخاصة بالمزود.
وقد تم رصد النشاط المريب بعد قيام المهاجمين بتثبيت ملف SimpleHelp Installer بطريقة غير شرعية عبر الأداة الأصلية الخاصة بالمزود، والتي تُستخدم لإدارة أنظمة العملاء عن بُعد.
كما تم استغلال الوصول غير المصرح به لجمع بيانات من بيئات العملاء المختلفة، بما في ذلك أسماء الأجهزة، تكوينات المستخدمين، واتصالات الشبكة، مما أدى لاحقًا إلى تنفيذ هجمات الابتزاز المزدوج.
تحوّل DragonForce إلى نموذج “كارتل الفدية”
على مدى الأشهر الأخيرة، طورت DragonForce نموذجًا جديدًا للعلامة التجارية في مجال الفدية، مما أتاح للجهات الفاعلة السيبرانية إمكانية إطلاق إصدارات خاصة بهم من البرمجية تحت أسماء مختلفة.
وقد تزامن ظهور هذا الكارتل مع اختراق مواقع تسريب البيانات التي تديرها مجموعات BlackLock و Mamona ، بالإضافة إلى ما يبدو أنه استحواذ عدائي على مجموعة RansomHub ، وهي إحدى أبرز عصابات الجريمة الإلكترونية بعد سقوط LockBit و BlackCat العام الماضي.
هجمات DragonForce على قطاع البيع بالتجزئة في المملكة المتحدة خلال الشهر الماضي سلطت المزيد من الضوء على هذه المجموعة، حيث تسبب الهجوم في تعطل أنظمة تقنية المعلومات لدى شركات عديدة، وفقًا لتقارير BBC.
وأشارت تحليلات Cyberint إلى أن هناك أدلة متزايدة على أن مجموعة Scattered Spider قد لعبت دورًا أساسيًا في تمكين هذه الهجمات، نظرًا لاستراتيجياتها المرتكزة على الاختراق عبر الحوسبة السحابية والهوية الرقمية.
وتُعرف Scattered Spider بأنها جزء من The Com ، وهو تكتل غير مُحكم من مجرمي الإنترنت، حيث تُستخدم تقنيات الهندسة الاجتماعية لاستقطاب الشباب من المملكة المتحدة والولايات المتحدة للانضمام إلى الشبكة الإجرامية.
تداعيات المعركة بين عصابات الفدية
تشير التطورات الأخيرة إلى أن عالم الفدية يشهد تفككًا متزايدًا مع انخفاض ولاء الجهات التابعة، إلى جانب الاستعانة بالذكاء الاصطناعي في تطوير البرمجيات الضارة وتعزيز حملات الهجوم.
وقال أيدن سينوت ، الباحث الأمني في Sophos Counter Threat Unit:
“مجموعة DragonForce ليست مجرد علامة تجارية أخرى لبرمجيات الفدية، إنها قوة تسعى لإعادة تشكيل مشهد هجمات الفدية بالكامل.”
بعد تعرض LockBit لضربة قوية في 2024 إثر عملية أمنية دولية أطلقتها Operation Cronos ، شهدت العصابة انتكاسة أخرى هذا الشهر عندما تم تسريب قاعدة بيانات تحتوي على آلاف سجلات المحادثات، وبناءات البرمجية، ولوحة تحكم الفدية.
تحذيرات أمنية حول تقنيات الهجوم الجديدة
في ظل تطور استراتيجيات الهجمات السيبرانية، أصبح المزج بين القصف الإلكتروني (Email Bombing) والهجمات الصوتية (Vishing) وسيلة فعالة لاختراق الشبكات عبر خداع الموظفين لمنح وصول بعيد للمهاجمين.
كشفت تقارير عن استخدام مجموعات مثل 3AM Ransomware برمجية QDoor لإنشاء نفق شبكي خلفي دون إثارة الشبهات، مما يتيح السيطرة الكاملة على الأنظمة المصابة.
وقد أكد الباحث الأمني شون غالاغر من Sophos أن الشركات يجب أن تعطي الأولوية لتوعية الموظفين حول أساليب الهندسة الاجتماعية ، بالإضافة إلى تقييد الوصول البعيد وتنفيذ سياسات تمنع تشغيل البرمجيات الافتراضية.
من الضروري أيضًا حظر حركة المرور الشبكية المرتبطة بالتحكم عن بُعد إلا من الأجهزة المُصرح لها.
