- الحرب على غزة.. أكثر من 400 شهيد بغارات إسرائيلية عنيفة على القطاع
- نتنياهو: المفاوضات لن تجرى من الآن فصاعداً إلا تحت النار
- نتنياهو يعد بمواجهة حماس بـ"قوة أكبر" بعد غارات جوية على غزة
- تصريح من محمد صلاح خلال تدريبات منتخب مصر يشعل تفاعلاً
- ماذا قال ترامب عن اتصاله مع بوتين وما توافقا عليه؟
- ماذا دار في الاتصال بين ترامب وبوتين بشأن أوكرانيا؟
- حماس: مصلحتنا في استمرار الاتفاق وسنظل نتعامل بمرونة
- فيديو.. إسرائيل توثق نقل عنصر في حزب الله السلاح قبل اغتياله
- فلسطين تدعو لاجتماع عربي والأزهر يندد بـ"الإرهاب الإسرائيلي"
- الجابر يناقش مع غورغييفا دفع عجلة النمو العالمي والاقتصادات
- الهجري: نرفض الإعلان الدستوري وأيدينا ما تزال ممدودة
- أبو إسحاق الحويني: ماذا نعرف عنه؟ ولماذا تباينت ردود الفعل حول آرائه؟
- الجهاد الإسلامي تنعى "أبو حمزة" متحدث جناحها العسكري
- مسؤول أممي: جنوب السودان على شفا حرب أهلية
- إدارة ترامب تواصل مساعيها لتسريح مئات العلماء الحكوميين
- كيف أصبحت تركيا قوة عسكرية عالمية؟
- زيلينسكي يؤيد هدنة تشمل منشآت الطاقة.. وينتقد شروط بوتين
- استئناف القتال يفاقم الخلافات بإسرائيل ومظاهرة أمام الكنيست
استغلال ثغرة في شركة أمن معلومات لزرع برامج فدية
لاحظ باحثون أمنيون قراصنة مرتبطون بعصابة لوكبيت سيئة السمعة يستغلون ثغرتين في جدار حماية "فورتينت" لنشر برمجيات فدية على شبكات عدة شركات.
في تقرير نُشر الأسبوع الماضي، أفاد باحثون أمنيون في "فورسكاوت" أن مجموعة تُتابعها وتُدعى "Mora_001" تستغل جدران حماية "فورتينت" الموجودة على حافة شبكة الشركة وتعمل كبوابة رقمية، لاختراق ونشر سلالة مخصصة من برمجيات الفدية تُسمى "SuperBlack".
استُغلت إحدى الثغرات الأمنية، المُعرَّفة برقم CVE-2024-55591، في هجمات إلكترونية لاختراق شبكات شركات عملاء "فورتينت" منذ ديسمبر 2024، بحسب تقرير نشره موقع "تك كرانش" واطلعت عليه "العربية Business".
وتُشير شركة فورسكاوت إلى أن ثغرة أخرى، مُعرَّفة برقم CVE-2025-24472، تُستغل أيضًا بواسطة Mora_001 في هجمات.
وقد أصدرت "فورتينت" تصحيحات لكلا الثغرات في يناير.
قال ساي موليج، المدير الأول لرصد التهديدات في شركة فورسكاوت، إن شركة الأمن السيبراني حققت في ثلاثة حوادث في شركات مختلفة، وسط توقعات بوجود حوادث أخرى.
وفي إحدى حالات الاختراق المؤكدة، قالت "فورسكاوت" إنها لاحظت قيام المهاجم بتشفير خوادم ملفات تحتوي على بيانات حساسة بشكل انتقائي.
وقال موليج: "بدأ التشفير فقط بعد استخراج البيانات، بما يتماشى مع الاتجاهات الأخيرة بين مشغلي برامج الفدية الذين يعطون الأولوية لسرقة البيانات على التعطيل".
تقول شركة فورسكاوت إن مُهدّد Mora_001 يُظهر بصمةً تشغيليةً مميزة، وتؤكد الشركة أن له صلاتٍ وثيقة بعصابة برمجيات الفدية لوكبيت، التي فكّكت السلطات الأميركية نشاطها العام الماضي.
وأوضح موليج أن برمجية الفدية سوبر بلاك مبنية على مُنشئ البرامج الخبيثة المُسرّب المُستخدم في هجمات لوكبيت 3.0، بينما تتضمن مذكرة الفدية التي استخدمها Mora_001 نفس عنوان المراسلة الذي استخدمه "لوكبيت".
وقال موليج: "قد يشير هذا الارتباط إلى أن Mora_001 إما هو أحد الشركاء الحاليين الذين لديهم أساليب تشغيلية فريدة أو مجموعة مرتبطة تتقاسم قنوات الاتصال".
يقول ستيفان هوستيتلر، رئيس استخبارات التهديدات في شركة الأمن السيبراني Arctic Wolf، التي لاحظت سابقًا استغلال CVE-2024-55591، إن نتائج "فورسكاوت" تشير إلى أن المتسللين يستهدفون المنظمات المتبقية التي لم تتمكن من تطبيق التصحيح أو تقوية تكوينات جدار الحماية الخاصة بها عندما تم الكشف عن الثغرة الأمنية في الأصل.
ويقول هوستيتلر إن مذكرة الفدية المستخدمة في هذه الهجمات تحمل أوجه تشابه مع مذكرة الفدية التي استخدمتها مجموعات أخرى، مثل عصابة الفدية ALPHV/BlackCat التي لم تعد موجودة الآن.
المصدر:
العربيّة
