تعرضت شبكات عدد من عملاء أحد مزودي الخدمات المُدارة (MSP) لهجوم سيبراني معقّد، استغل أداة “SimpleHelp” الخاصة بالمراقبة والإدارة عن بُعد (RMM)، مما أسفر عن نشر برمجيات فدية وسرقة بيانات حساسة.
وبحسب التفاصيل، بدأ الهجوم بعد أن تمكن الفاعلون من الوصول إلى أداة “SimpleHelp” لدى المزود، ثم دفعوا ملفاً خبيثاً إلى عدة نقاط نهاية لدى عملائه، ما أتاح لهم السيطرة على الأنظمة وتشغيل برمجيات فدية.
ورجّح باحثو شركة “Sophos” أن يكون الهجوم قد استغل ثلاث ثغرات أمنية أعلن عنها في عام 2024، تشمل: التنقل عبر المسار (Path Traversal)، رفع ملفات عشوائية، وتصعيد الصلاحيات داخل النظام، مما مكّن المهاجمين من توسيع نطاق الاختراق.
استغلال أدوات الدعم في تنفيذ الهجوم
أوضح فريق الاستجابة المدارة في “Sophos” أن رصد تثبيت غير مألوف لبرنامج “SimpleHelp” شكّل نقطة الانطلاق لاكتشاف الهجوم، حيث تمكن الفريق من تتبّع النشاط وتحليله عبر أداة RMM المرتبطة بالمزود المخترق، ما ساعد في جمع معلومات عن الأجهزة والبيانات والتكوينات الشبكية للعملاء المتضررين.
وقد تمكنت إحدى الشركات، المحمية بمنصة “Sophos XDR” والمسجلة في خدمات “MDR”، من صد الهجوم بالكامل، بفضل آليات الكشف السلوكي والتدخل السريع، ما منع أي ضرر يُذكر. في المقابل، تعرض عملاء آخرون لخسائر في البيانات وعمليات تشفير ناجحة.
الثغرات الأمنية: بوابة انتشار الفدية
وفقاً لتقديرات خبراء الأمن، فإن الثغرات الثلاث التي استغلها المهاجمون تمثل مزيجاً خطراً مكّنهم من تنفيذ الهجوم بنجاح، وهي:
- CVE-2024-57727: ثغرة التنقل عبر المسار، والتي تتيح الوصول إلى ملفات محمية.
- CVE-2024-57728: ثغرة رفع ملفات عشوائية، تُمكّن من تحميل ملفات خبيثة.
- CVE-2024-57726: مشكلة تصعيد الصلاحيات، التي تسمح بالتحكم المتقدم داخل النظام.
هذه الثغرات سهّلت نشر البرمجيات الخبيثة على نطاق واسع وتحقيق سيطرة شبه كاملة على الشبكات المستهدفة.
ابتزاز مزدوج يرفع الكلفة على الضحايا
اتبع المهاجمون أسلوب الابتزاز المزدوج، القائم على تشفير البيانات والمطالبة بفدية، إلى جانب التهديد بنشر المعلومات الحساسة المسروقة في حال عدم الامتثال. وقد أثر هذا التكتيك على العملاء بشكل متفاوت، حيث فقد البعض بيانات مهمة، بينما نجا آخرون بفضل تدخلات أمنية مبكرة.
DragonForce… من تهديد فردي إلى تنظيم إجرامي منسّق
تعود برمجيات الفدية المستخدمة في هذا الهجوم إلى مجموعة “DragonForce”، التي ظهرت في منتصف 2023 وتحولت مؤخراً إلى نموذج موزع يعتمد على شبكة من التابعين، متخذة من مفهوم “التنظيم الإجرامي المنسّق” وسيلة لتوسيع عملياتها.
وأعلنت المجموعة عن استحواذها على بنية تحتية تُعرف بـ “RansomHub”، ما أثار اهتماماً واسعاً في أوساط مجتمع التهديدات السيبرانية.
وتشير التقارير إلى أن مجموعات مشهورة في عالم برامج الفدية، مثل “Scattered Spider” (UNC3944)، اعتمدت “DragonForce” في هجماتها الأخيرة التي استهدفت قطاع التجزئة في الولايات المتحدة والمملكة المتحدة.
