يواصل القراصنة المسؤولون عن فيروس الفدية ميدوسا توسيع عملياتهم، حيث استهدفوا ما يقرب من 400 ضحية منذ ظهوره الأول في يناير 2023. وشهدت الهجمات بدافع مالي زيادة بنسبة 42% بين عامي 2023 و2024.
وفقًا لفريق Symantec Threat Hunter، فقد نفذت المجموعة أكثر من 40 هجومًا في الشهرين الأولين فقط من عام 2025. وتقوم شركة الأمن السيبراني بتتبع هذه الحملة تحت اسم “Spearwing”.
هجمات مزدوجة الابتزاز لتعزيز الضغط على الضحايا
على غرار معظم مشغلي فيروسات الفدية، تعتمد مجموعة Spearwing وشركاؤها على هجمات الابتزاز المزدوجة، حيث يتم سرقة بيانات الضحايا أولاً قبل تشفير شبكاتهم، وذلك لإجبارهم على دفع الفدية. ووفقًا لتقرير Symantec، فإن المجموعة تهدد بنشر البيانات المسروقة على موقعها الخاص بتسريبات البيانات في حال رفض الضحايا الدفع.
في ظل تفكك بعض شبكات فيروس الفدية كخدمة (RaaS) مثل LockBit وBlackCat، شهدت عصابات مثل RansomHub (المعروفة أيضًا باسم Greenbottle وCyclops) وPlay (المعروفة أيضًا باسم Balloonfly) وQilin (المعروفة أيضًا باسم Agenda وStinkbug وWater Galura) استفادة كبيرة من الفراغ الذي تركه انهيار هذه الشبكات. ومع ذلك، فإن الزيادة الكبيرة في إصابات Medusa تشير إلى أن المجموعة قد تكون أيضًا تسعى إلى ملء هذا الفراغ.
تصاعد التهديدات وسط مشهد متغير لفيروسات الفدية
تشهد بيئة فيروسات الفدية حالة من التغير المستمر، حيث تظهر شبكات جديدة باستمرار، مثل:
• Anubis
• CipherLocker
• Core
• Dange
• LCRYX
• Loches
• Vgod
• Xelera
وقد ظهرت هذه التهديدات الجديدة خلال الأشهر الأخيرة، مما يضيف المزيد من التعقيد إلى المشهد الأمني السيبراني.
استهداف المؤسسات المالية والحكومية والمنظمات غير الربحية
يُعرف فيروس الفدية Medusa بمطالبة ضحاياه بفدية تتراوح بين 100,000 دولار و15 مليون دولار، حيث يستهدف مقدمي الرعاية الصحية والمنظمات غير الربحية بالإضافة إلى المؤسسات المالية والجهات الحكومية.
وتشمل سلاسل الهجوم استغلال الثغرات الأمنية في التطبيقات المتاحة للعامة، خصوصًا خوادم Microsoft Exchange، للحصول على وصول أولي. كما يُعتقد أن القراصنة يستخدمون وسطاء للوصول الأولي إلى الشبكات المستهدفة.
استخدام تقنيات متقدمة لتعزيز السيطرة
بمجرد اختراق الشبكة، يستخدم المهاجمون أدوات الإدارة عن بُعد (RMM) مثل SimpleHelp وAnyDesk وMeshAgent للحفاظ على وصول دائم. كما يعتمدون على تقنية “إحضار برنامج التشغيل الضعيف الخاص بك” (BYOVD) لتعطيل برامج مكافحة الفيروسات باستخدام أداة KillAV، وهي نفس الأداة المستخدمة سابقًا في هجمات BlackCat.
وأشار تقرير Symantec إلى أن استخدام البرنامج الشرعي PDQ Deploy يُعد أحد السمات المميزة لهجمات Medusa، حيث يتم استغلاله لتنزيل أدوات إضافية والانتقال عبر الشبكة المصابة.
أدوات أخرى مستخدمة في هجمات Medusa
خلال عمليات الاختراق، يستخدم القراصنة أدوات متقدمة مثل:
• Navicat: للوصول إلى قواعد البيانات وتنفيذ الاستعلامات.
• RoboCopy وRclone: لسرقة البيانات وإخراجها من الشبكة.
هجمات تستهدف الشركات الكبرى بحثًا عن الأرباح
أوضح تقرير Symantec أن مجموعة Spearwing تستهدف عادةً المؤسسات الكبرى عبر مختلف القطاعات، حيث تسعى عصابات فيروسات الفدية إلى تحقيق أرباح مالية فقط دون أي دوافع أيديولوجية أو أخلاقية.
وما زال فيروس الفدية Medusa التوسع بسرعة، مستغلاً الثغرات الأمنية في التطبيقات المتاحة للعامة لشن هجمات متطورة. مع تصاعد الهجمات واستهداف القطاعات الحيوية، أصبح من الضروري أن تعتمد المؤسسات إجراءات وقائية قوية، مثل تحديث الأنظمة بانتظام، وتعزيز أنظمة الحماية، ومراقبة النشاطات المشبوهة في الشبكات.
