باحثون يحذرون من انتشار أسلوب “الاحتيال المزدوج” في عمليات الفدية

في تطوّر جديد لأساليب الهجمات السيبرانية، كشفت شركة «سوفوس» عن استخدام مجموعة «3AM» الناشئة لتكتيك مزدوج يجمع بين البريد العشوائي (Email Bombing) والتصيد الصوتي (Vishing) بهدف التسلل إلى شبكات المؤسسات وتنفيذ عمليات فدية رقمية. وتعد هذه المجموعة أحدث المنضمين إلى قائمة جهات التهديد التي تنتهج هذا النهج، بعد أن وثقت الجهات الأمنية سابقاً استخدامه من قبل مجموعة «Black Basta» ومجموعة أخرى تعرف بـ«Storm-1811» وفقاً لتصنيف «مايكروسوفت».

وذكرت «سوفوس» أنها رصدت هجوماً في الربع الأول من العام الجاري نفذته جهات مرتبطة بـ«3AM»، تم خلاله استخدام هذه الاستراتيجية بشكل ناجح لاختراق شبكة مستهدفة وسرقة بياناتها، دون إتمام عملية التشفير النهائية. وتشير التقارير إلى أن الضحية تلقت 24 رسالة بريد إلكتروني غير مرغوب بها خلال ثلاث دقائق فقط، ما تسبب في تشتيت الانتباه وخلق بيئة خصبة للخداع.

التحليل الفني: من البريد العشوائي إلى التحكم الكامل

يعتمد الهجوم على ثلاث مراحل دقيقة، تبدأ بجمع المعلومات عن الموظفين داخل المؤسسة المستهدفة، بما في ذلك عناوين البريد الإلكتروني وأرقام هواتف الدعم الفني الداخلي. ثم يُستخدم البريد الإلكتروني في عملية “التفجير الرقمي” عبر الاشتراك بعناوين الموظفين في عشرات القوائم البريدية، ما يؤدي إلى فيضان البريد الوارد برسائل غير مهمة.

في المرحلة التالية، يستخدم المهاجمون رقم هاتف الدعم الفني الرسمي، بعد انتحاله، لإجراء مكالمة احتيالية يدّعي فيها المتصل أنه من قسم الدعم، ويطلب من الموظف استخدام برامج مثل «Quick Assist» لتقديم المساعدة عن بُعد. وبعد الحصول على حق الوصول، يُثبت المهاجمون “حصان طروادة” من نوع QDoor عبر آلة افتراضية، تمكنهم من التحكم الكامل في النظام وسرقة البيانات على مدى تسعة أيام متواصلة، قبل محاولة تفعيل برمجية الفدية التي أُحبطت في اللحظات الأخيرة.

جذور المجموعة الجديدة: «3AM» وتاريخ الارتباط بـ«Black Basta»

ظهرت مجموعة «3AM» إلى العلن للمرة الأولى قبل نحو عامين، حين استخدمت كخطة احتياطية في هجوم استُخدمت فيه برمجية «Black Basta» الرئيسية. ووفقاً لتقارير شركة «Symantec» و«سوفوس»، يُعتقد أن «3AM» ليست سوى إعادة تسمية لمجموعة «BlackSuit/Royal» المرتبطة بإحدى الفِرَق الأساسية في مجموعة «Conti» المفككة.

يشير هذا الترابط إلى وجود بنية تنظيمية متشعبة، تعيد استخدام نفس الأساليب والهياكل التقنية، مع تغيير العلامات التجارية لتضليل أدوات الرصد والمتابعة. ويعكس استخدامهم لتقنية “الهجوم المزدوج” مدى تطور أساليب الهندسة الاجتماعية التي تركز اليوم بشكل متزايد على العامل البشري باعتباره الحلقة الأضعف في منظومة الأمن السيبراني.

دفاعات مقترحة: كيف يمكن للمؤسسات الوقاية من الهجمات المركبة

يحذر الباحثون من أن عودة ظاهرة “البريد العشوائي” المدعومة بأدوات مجانية وخدمات مدفوعة تجعل من الصعب رصد الهجمات في وقت مبكر، خصوصاً وأن الرسائل الواردة غالباً لا تُصنف على أنها خبيثة من قبل الأنظمة التقليدية. ويؤكد «شانس كالدويل»، مدير مركز مكافحة التصيد في شركة «Cofense»، أن مثل هذه الرسائل يصعب تصفيتها دون التسبب في حجب رسائل مشروعة أخرى.

وتوصي «سوفوس» المؤسسات باتباع مجموعة من التدابير الوقائية، تتضمن تدريب الموظفين على طرق الاتصال الرسمية المعتمدة للدعم الفني، وعدم الاستجابة لأي طلبات دعم خارج القنوات المحددة. كما تدعو إلى استخدام كلمات مرور قوية، وتنفيذ سياسات تحكم بالبرمجيات تستند إلى قواعد صارمة، لضمان عدم تثبيت أدوات تحكم عن بُعد دون موافقة مسبقة.

ويشير المحللون إلى أن نجاح هذا النمط من الهجمات يتوقف على قدرة المهاجمين على زرع الشك وإثارة القلق لدى الموظف المستهدف، ما يبرز الحاجة لتدريب الموظفين على كيفية التصرف عند التعرض لمثل هذه المواقف.