لاحظ باحثون أمنيون قراصنة مرتبطون بعصابة لوكبيت سيئة السمعة يستغلون ثغرتين في جدار حماية "فورتينت" لنشر برمجيات فدية على شبكات عدة شركات.
في تقرير نُشر الأسبوع الماضي، أفاد باحثون أمنيون في "فورسكاوت" أن مجموعة تُتابعها وتُدعى "Mora_001" تستغل جدران حماية "فورتينت" الموجودة على حافة شبكة الشركة وتعمل كبوابة رقمية، لاختراق ونشر سلالة مخصصة من برمجيات الفدية تُسمى "SuperBlack".
استُغلت إحدى الثغرات الأمنية، المُعرَّفة برقم CVE-2024-55591، في هجمات إلكترونية لاختراق شبكات شركات عملاء "فورتينت" منذ ديسمبر 2024، بحسب تقرير نشره موقع "تك كرانش" واطلعت عليه "العربية Business".
وتُشير شركة فورسكاوت إلى أن ثغرة أخرى، مُعرَّفة برقم CVE-2025-24472، تُستغل أيضًا بواسطة Mora_001 في هجمات.
وقد أصدرت "فورتينت" تصحيحات لكلا الثغرات في يناير.
قال ساي موليج، المدير الأول لرصد التهديدات في شركة فورسكاوت، إن شركة الأمن السيبراني حققت في ثلاثة حوادث في شركات مختلفة، وسط توقعات بوجود حوادث أخرى.
وفي إحدى حالات الاختراق المؤكدة، قالت "فورسكاوت" إنها لاحظت قيام المهاجم بتشفير خوادم ملفات تحتوي على بيانات حساسة بشكل انتقائي.
وقال موليج: "بدأ التشفير فقط بعد استخراج البيانات، بما يتماشى مع الاتجاهات الأخيرة بين مشغلي برامج الفدية الذين يعطون الأولوية لسرقة البيانات على التعطيل".
تقول شركة فورسكاوت إن مُهدّد Mora_001 يُظهر بصمةً تشغيليةً مميزة، وتؤكد الشركة أن له صلاتٍ وثيقة بعصابة برمجيات الفدية لوكبيت، التي فكّكت السلطات الأميركية نشاطها العام الماضي.
وأوضح موليج أن برمجية الفدية سوبر بلاك مبنية على مُنشئ البرامج الخبيثة المُسرّب المُستخدم في هجمات لوكبيت 3.0، بينما تتضمن مذكرة الفدية التي استخدمها Mora_001 نفس عنوان المراسلة الذي استخدمه "لوكبيت".
وقال موليج: "قد يشير هذا الارتباط إلى أن Mora_001 إما هو أحد الشركاء الحاليين الذين لديهم أساليب تشغيلية فريدة أو مجموعة مرتبطة تتقاسم قنوات الاتصال".
يقول ستيفان هوستيتلر، رئيس استخبارات التهديدات في شركة الأمن السيبراني Arctic Wolf، التي لاحظت سابقًا استغلال CVE-2024-55591، إن نتائج "فورسكاوت" تشير إلى أن المتسللين يستهدفون المنظمات المتبقية التي لم تتمكن من تطبيق التصحيح أو تقوية تكوينات جدار الحماية الخاصة بها عندما تم الكشف عن الثغرة الأمنية في الأصل.
ويقول هوستيتلر إن مذكرة الفدية المستخدمة في هذه الهجمات تحمل أوجه تشابه مع مذكرة الفدية التي استخدمتها مجموعات أخرى، مثل عصابة الفدية ALPHV/BlackCat التي لم تعد موجودة الآن.