مركز الأمن السيبراني للأبحاث والدراسات CCRS https://ccforrs.com Thu, 22 May 2025 18:05:49 +0000 ar hourly 1 https://wordpress.org/?v=6.8.1 مركز الأمن السيبراني للأبحاث والدراسات CCRS false إف بي آي ويوروبول يعطلان شبكة برمجية لومّا الخبيثة المرتبطة بـ10 ملايين إصابة https://ccforrs.com/%d8%a5%d9%81-%d8%a8%d9%8a-%d8%a2%d9%8a-%d9%88%d9%8a%d9%88%d8%b1%d9%88%d8%a8%d9%88%d9%84-%d9%8a%d8%b9%d8%b7%d9%84%d8%a7%d9%86-%d8%b4%d8%a8%d9%83%d8%a9-%d8%a8%d8%b1%d9%85%d8%ac%d9%8a%d8%a9-%d9%84%d9%88/ https://ccforrs.com/%d8%a5%d9%81-%d8%a8%d9%8a-%d8%a2%d9%8a-%d9%88%d9%8a%d9%88%d8%b1%d9%88%d8%a8%d9%88%d9%84-%d9%8a%d8%b9%d8%b7%d9%84%d8%a7%d9%86-%d8%b4%d8%a8%d9%83%d8%a9-%d8%a8%d8%b1%d9%85%d8%ac%d9%8a%d8%a9-%d9%84%d9%88/#respond Mon, 26 May 2025 08:54:19 +0000 https://ccforrs.com/?p=12619 في عملية واسعة النطاق نفذتها وكالات إنفاذ القانون العالمية بالتعاون مع شركات القطاع الخاص، تم تعطيل البنية التحتية الإلكترونية المرتبطة ببرمجية لومّا (المعروفة أيضًا باسم LummaC أو LummaC2)، وهي أداة سرقة معلومات تُباع كخدمة. وتمكنت الجهات الأمنية من مصادرة 2,300 نطاق كانت تعمل كنقاط تحكم (C2) لتوجيه الأجهزة المصابة بنظام ويندوز.

وصرحت وزارة العدل الأمريكية (DoJ) في بيان لها:

“تُستخدم برمجيات مثل LummaC2 لسرقة المعلومات الحساسة مثل بيانات تسجيل الدخول لملايين الضحايا، وذلك لتسهيل جرائم متنوعة تشمل التحويلات البنكية الاحتيالية وسرقة العملات الرقمية.”

10 ملايين إصابة حول العالم

استُخدمت البنية التحتية المصادرة لاستهداف الملايين عبر شركاء الجريمة الإلكترونية. ومنذ ظهورها أواخر عام 2022، يُقدّر أن لومّا سُرقت بواسطتها بيانات مثل:

  • معلومات المتصفحات

  • بيانات الحفظ التلقائي

  • كلمات المرور

  • عبارات استرداد العملات المشفرة

وكشف مكتب التحقيقات الفيدرالي (FBI) أن البرمجية مسؤولة عن 10 ملايين إصابة، بينما رصدت يوروبول إصابة 394,000 جهاز ويندوز بين مارس ومايو 2025. ووصفت الوكالة الأوروبية لومّا بأنها “أكبر تهديد لسرقة البيانات في العالم”.

تعاون دولي لضرب البنية التحتية

بالتعاون مع شركات أمنية مثل مايكروسوفت، إيسيت، بيستسايت، لومين، كلاودفلير، CleanDNS، وGMO Registry، تم إسقاط 2,300 نطاق خبيث كانوا يدعمون شبكة لومّا.

وقال ستيفن ماسادا، المستشار العام المساعد في وحدة الجرائم الرقمية بمايكروسوفت (DCU):

“مطور لومّا الرئيسي مقيم في روسيا ويُعرف باسم ‘شامل’، ويُسوق خدماته عبر تيليجرام ومنتديات روسية. ويقدم مستويات مختلفة من الخدمة، تبدأ من 250 دولارًا وتصل إلى 20,000 دولار للوصول إلى الكود المصدري!”

كيف تعمل برمجية لومّا؟

  • تُباع بنموذج Malware-as-a-Service (MaaS) عبر اشتراكات.

  • تُوزع عبر شبكات الدفع لكل تثبيت (PPI) ومواقع قرصنة البرامج.

  • تستخدم تقنيات التمويه المتقدمة مثل LLVM Core وControl Flow Obfuscation لتعقيد التحليل الأمني.

  • زادت عمليات بيع بيانات الضحايا عبر منتديات الجريمة الإلكترونية بنسبة 71.7% عام 2024 مقارنة بـ2023.

استراتيجيات التهرب من الاكتشاف

أوضحت مايكروسوفت أن مشغلي لومّا يستخدمون:

  • نطاقات متغيرة باستمرار.

  • إساءة استخدام شبكات الإعلانات والخدمات السحابية المشروعة.

  • إخفاء خوادم C2 خلف بروكسي كلاودفلير.

كما كشفت شركة كاتو نيتوركس عن حملات جديدة تستخدم تخزين Tigris وOracle Cloud وScaleway لاستضافة صفحات reCAPTCHA مزيفة تخدع الضحايا لتحميل البرمجية الخبيثة.

جهود تعطيل الشبكة

أضافت كلاودفلير صفحة تحذيرية تعترض اتصالات المهاجمين، مما عطّل عملياتهم لأيام. وقال بليك دارشي، رئيس Cloudforce One:

“ألحقنا ضررًا كبيرًا بالبنية التحتية للبرمجية، لكننا نتوقع عودتها بأساليب جديدة.”

مطور لومّا يعلن اعتزامه التوقف!

في مقابلة مع الباحث الأمني g0njxa (يناير 2025)، قال المطور الروسي خلف لومّا:

“نخطط للتوقف بحلول خريف 2025. عملنا بجد لتحقيق ما وصلنا إليه، وأصبح هذا المشروع جزءًا من حياتنا.”

يُذكر أن هذه الضربة الأمنية تُظهر تطور الجرائم الإلكترونية وتؤكد أهمية التعاون الدولي لمواجهة التهديدات السيبرانية.

]]> https://ccforrs.com/%d8%a5%d9%81-%d8%a8%d9%8a-%d8%a2%d9%8a-%d9%88%d9%8a%d9%88%d8%b1%d9%88%d8%a8%d9%88%d9%84-%d9%8a%d8%b9%d8%b7%d9%84%d8%a7%d9%86-%d8%b4%d8%a8%d9%83%d8%a9-%d8%a8%d8%b1%d9%85%d8%ac%d9%8a%d8%a9-%d9%84%d9%88/feed/ 0