هجوم فدية من DragonForce على شركة سعودية يسفر عن سرقة 6 تيرابايت من البيانات

تعرضت إحدى الشركات العقارية والإنشائية البارزة في الرياض لهجوم فدية نفذته مجموعة DragonForce، ما أدى إلى سرقة أكثر من 6 تيرابايت من البيانات الحساسة.

نشر البيانات بعد انتهاء مهلة الفدية

وفقًا لتحذير جديد صادر عن Resecurity، أعلن المهاجمون عن الاختراق لأول مرة في 14 فبراير 2025، وطالبوا بفدية قبل نشر البيانات المسروقة. وتم تحديد الموعد النهائي للدفع في 27 فبراير، أي قبل ايام قليلة من بدء شهر رمضان.

عقب انتهاء المهلة، قامت DragonForce بنشر البيانات عبر موقع تسريب مخصص (DLS)، منفصل عن منصتها الرئيسية، وذلك كجزء من استراتيجيتها المتقدمة لتسريب البيانات.

نموذج فدية كخدمة وأساليب متقدمة

تعمل DragonForce وفق نموذج الفدية كخدمة (RaaS)، مما يمكنها من توسيع شبكتها عبر تجنيد قراصنة تابعين وتزويدهم بالأدوات والموارد اللازمة مقابل حصة من الفدية المدفوعة.

ومن اللافت أن موقع تسريب البيانات الخاص بالمجموعة مزود بآليات CAPTCHA متقدمة، لمنع التتبع التلقائي من قبل شركات الأمن السيبراني.

تم رصد نشاط DragonForce لأول مرة في ديسمبر 2023، وكان أول ضحاياها المعروفين مركز Heart of Texas Region MHMR. ومنذ ذلك الحين، واصلت المجموعة تطوير تقنياتها، مستغلة أساليب تشفير متقدمة، واتصالات عبر TOR، ومدفوعات آمنة عبر محافظ البيتكوين ونظم الدردشة الخاصة.

شبكة التابعين وجمع الفدية

تقوم DragonForce بتجنيد التابعين عبر منتدى RAMP الإجرامي، مقدمةً أحد أعلى نسب العمولات في سوق الجرائم الإلكترونية، حيث يحصل التابعون على ما يصل إلى 80% من الفدية المدفوعة.

كما يتواصل التابعون عبر نظام المراسلة المشفر TOX عبر TOR، مع إلزامهم بإثبات قدرتهم على الوصول إلى شبكات الضحايا قبل الانضمام. وبعد تسرب سابق كشف عناوين URL للتابعين، شددت المجموعة عمليات التحقق الخاصة بها لتعزيز الأمان.

وتوفر DragonForce أيضًا خدمات دعم للتابعين، تشمل:

• خدمات الاتصال المباشر لتهديد الضحايا وإجبارهم على الدفع.
• فك تشفير تجزئات NTLM/Kerberos لتعزيز الوصول بعد الاختراق.
• مولّد فدية متطور يتيح تخصيص إعدادات التشفير وفق الحاجة.

أساليب الهجوم والثغرات المستغلة

تعتمد DragonForce على هجمات التصيد الاحتيالي واستغلال الثغرات في بروتوكول سطح المكتب البعيد (RDP) وخدمات الشبكات الافتراضية الخاصة (VPN) للوصول الأولي إلى الأنظمة المستهدفة.

كما تستخدم المجموعة أسلوب الابتزاز المزدوج، حيث يتم تشفير بيانات الضحية مع التهديد بنشرها في حال عدم دفع الفدية. وتم رصد حالات قامت فيها DragonForce بنشر تسجيلات صوتية لمفاوضات الفدية، مما يزيد الضغط على الضحايا للامتثال لمطالبهم.

مخاطر متزايدة في الشرق الأوسط

يؤكد خبراء الأمن السيبراني، بما في ذلك Resecurity، أن استهداف DragonForce للمملكة العربية السعودية يعكس الحاجة الملحة إلى تعزيز تدابير الأمن السيبراني، لا سيما لحماية البنية التحتية الحيوية والمعلومات الحساسة.

تُعد دول الخليج، بما في ذلك السعودية، من بين أغنى الاقتصادات عالميًا، ما يجعلها هدفًا رئيسيًا لمجموعات الفدية. وعلى الرغم من تصنيف المملكة والإمارات ضمن أفضل الدول في مؤشرات الأمن السيبراني، لا تزال العديد من المؤسسات تفتقر إلى إجراءات حماية قوية، مما يزيد من خطورة الهجمات.