كشفت تقارير أمنية حديثة عن تكثيف مجموعة من المنشقين عن برنامج الفدية “بلاك باستا” (Black Basta) حملات استهداف لأكثر من 100 موظف في عشرات المؤسسات، بهدف اختراق الأنظمة سعياً لسرقة البيانات، نشر برامج الفدية، أو الابتزاز.
هذه الحملات، التي تعتمد على الهندسة الاجتماعية عبر إغراق البريد الإلكتروني وانتحال شخصية موظفي الدعم الفني في مايكروسوفت تيمز، شهدت تصاعداً ملحوظاً الشهر الماضي، وتعود بداياتها إلى مايو 2025 على الأقل، بحسب ما ورد في تقرير لشركة “ريلاكوست” (ReliaQuest) المتخصصة في الأمن السيبراني.
حملات “بلاك باستا” الجديدة تستهدف القيادات العليا
يركز المهاجمون بشكل أساسي على استهداف كبار المسؤولين في المؤسسات للحصول على صلاحيات وصول موسعة. وأوضح باحثون شاركوا في إعداد التقرير، أن حوالي ثلاثة أرباع المستخدمين المستهدفين كانوا من المديرين التنفيذيين، المديرين، أو ذوي الأدوار ذات القيمة العالية المشابهة.
يأتي هذا النشاط بعد أن شهدت نهاية مجموعة “بلاك باستا”، وهي أحد فروع مجموعة “كونتي” (Conti)، تسرب سجلات محادثاتها الداخلية عبر الإنترنت في فبراير 2025. وقد أتاح هذا التسرب للباحثين الأمنيين والسلطات الحصول على معلومات مفصلة حول عمليات المجموعة.
خلفية نشأة “بلاك باستا”
كانت الشرطة الألمانية قد حددت بشكل علني في يناير الماضي، من يدعى أوليغ يفغينييفيتش نيفيدوف، وهو مواطن روسي، باعتباره القائد المزعوم لـ”بلاك باستا”. وينسب للسلطات أن نيفيدوف، البالغ من العمر 35 عاماً، والذي أضيف لاحقاً إلى قوائم المطلوبين لدى الإنتربول واليوروبول، قد أسس وأدار “بلاك باستا” منذ عام 2022.
وهو متهم بابتزاز أكثر من 100 شركة في ألمانيا وحوالي 600 شركة أخرى على مستوى العالم. ومع ذلك، فإن حملات الاستهداف الحالية تبدو وكأنها من قبل أفراد سابقين أو مرتبطين بالمجموعة.
تكتيكات هجومية مشابهة لـ”بلاك باستا”
تشير شركة “ريلاكوست” إلى أن الحملة التي تم رصدها مؤخراً تشترك في العديد من أوجه التشابه مع أنشطة “بلاك باستا” السابقة، متبعة نفس الأساليب من حيث استخدام الأدوات، طبيعة الأهداف، وطريقة التنفيذ التي ارتبطت بهذه المجموعة التي كانت نشطة للغاية.
يشمل ذلك الاستخدام المتكرر لأدوات الوصول عن بعد، والتركيز الشديد على القطاعات التي كانت “بلاك باستا” تفضلها تاريخياً. كما أن مستوى السرعة والتنسيق يوحي بأن المشغلين ذوي الخبرة يبنون على خطة معروفة لديهم.
وأوضح الباحثون، رغم حرصهم على عدم اعتبار أي دليل واحداً دليلاً قاطعاً، إلا أن أوجه التشابه مجتمعة تجعل من المرجح جداً تورط منتسبين سابقين أو مشغلين على صلة وثيقة بالمجموعة.
استراتيجيات الاختراق الأمني
بعد إغلاق موقع تسريب البيانات الخاص بـ”بلاك باستا” بفترة وجيزة من تسرب محادثاتها العام الماضي، عادة ما يتشتت قراصنة الإنترنت وينضمون إلى مجموعات جديدة بعد عمليات تفكيك أو حل للمجموعات الأصلية. وقد حذر باحثو التهديدات الأمنية من أن الأعضاء السابقين لا يزالون يستهدفون ضحايا جدد بنشاط.
أصدرت “ريلاكوست” تقريرها، الذي يتضمن مؤشرات على الاختراق، بعد ملاحظة زيادة حادة بشكل خاص في النشاط خلال شهر مارس، مشيرة إلى أن استهداف المجموعة أصبح أكثر تركيزاً على كبار الموظفين.
وأضاف الباحثون أن المشغلين يتحركون بسرعة كبيرة، حيث أصبحت أجزاء من سير العمل أكثر آلية أو مبسطة، مما يسهل توسيع نطاق الحملة ويجعل من الصعب على المدافعين مقاطعتها قبل تأسيس الوصول عن بعد.
وتشمل القطاعات الخمسة الأولى التي تم استهدافها في هجمات بأسلوب “بلاك باستا” الأخيرة: التصنيع، الخدمات المهنية، التمويل والتأمين، البناء، والتكنولوجيا، وفقاً لـ”ريلاكوست”.
عادة ما يقوم المهاجمون بإغراق الموظفين المستهدفين بمئات رسائل البريد الإلكتروني في غضون دقائق، ثم يتواصلون مع المستخدمين المستهدفين، منتحلين صفة موظفي دعم تقني عبر رسائل مباشرة على مايكروسوفت تيمز أو مكالمة هاتفية. وأشارت “ريلاكوست” إلى أنها رصدت بعض المهاجمين يحققون وصولاً عن بعد في غضون دقائق من أول علامة لهجوم البريد الإلكتروني.
لم تذكر “ريلاكوست” عدد المؤسسات التي تم اختراقها بنجاح نتيجة لهذه الحملة حتى الآن. وبينما يبدو الابتزاز هو الهدف الأكثر احتمالاً، فقد حذرت الشركة من افتراض أن كل هجوم يؤدي إلى تشفير برامج الفدية.
واختتم الباحثون بالقول: “بناءً على ما لاحظناه، فإن سلسلة الاختراق مصممة لتوفير الوصول بسرعة، فهم بيئة العمل، وخلق خيارات للتحقيق الربح اللاحق. وهذا يمكن أن يؤدي إلى سرقة البيانات، الابتزاز دون تشفير، أو نشر برامج الفدية، اعتماداً على الضحية والفرصة المتاحة.”