تكشف تقارير حديثة عن نشاط متزايد لمجموعات هجوم إلكتروني منظمة، تستهدف على نطاق واسع القطاعات الحيوية في عدد من الدول، بهدف سرقة البيانات بسرعة وفرض فديات مالية. هذه المجموعات، التي تتبع لمنظمة “The Com”، تعد تهديداً مستمراً ومتصاعداً للأمن السيبراني.
ووفقاً لشركة “CrowdStrike” لأمن المعلومات، فإن مجموعتين بارزتين تُعرفان باسم “Cordial Spider” و”Snarky Spider” تقودان حملات استهداف ممنهجة. تستخدم هاتان المجموعتان تقنيات التصيد الصوتي والهندسة الاجتماعية لاختراق هويات المؤسسات المستهدفة والوصول إلى بيئات البرمجيات كخدمة (SaaS) منذ أواخر عام 2025 على الأقل.
مجموعات هجوم سيبراني تستهدف البنية التحتية الحيوية
يشير آدم مايرز، نائب الرئيس الأول لعمليات مكافحة الخصوم في “CrowdStrike”، إلى أن هذه المجموعات، التي تتألف من ناطقين باللغة الإنجليزية، تركز بشكل أساسي على المنظمات الموجودة في الولايات المتحدة. وتضم قائمة القطاعات المستهدفة مجالات حيوية مثل التعليم، والطيران، والتجزئة، والضيافة، وصناعة السيارات، والخدمات المالية، والقانون، والتكنولوجيا.
وصف مايرز هذه المجموعات بأنها “موجة جديدة من الجهات الفاعلة في الجريمة الإلكترونية”، مشيراً إلى ارتباطها الوثيق بمجموعة “Scattered Spider” إضافة إلى مجموعات فرعية أخرى تابعة لمنظمة “The Com” مثل “SLSH” و”ShinyHunters”.
آلية الهجوم عبر الهندسة الاجتماعية
تتمثل إحدى أبرز الطرق التي تتبعها هذه المجموعات في استخدام المكالمات الصوتية، والرسائل النصية، ورسائل البريد الإلكتروني كطعم. توجه هذه الوسائل الموظفين المستهدفين إلى صفحات تصيد احتيالي تحاكي صفحات تسجيل الدخول الموحد (SSO) أو موفري الهوية الأساسيين للمؤسسة.
بعد الحصول على بيانات اعتماد المستخدمين، سواء كانت أسماء مستخدمين وكلمات مرور أو مفاتيح جلسة أو رموز مميزة، تتمكن هذه المجموعات من الحصول على نقطة دخول واسعة النطاق. من هنا، يتسع نطاق الاختراق ليشمل النظم والخدمات المرتبطة، مما يعرض منظومات SaaS بأكملها للخطر.
التأثير المحتمل وعمليات الابتزاز
بمجرد اختراق الأنظمة، تبدأ المجموعات في اتخاذ خطوات لتوطيد وصولها. يتضمن ذلك غالباً إزالة أو تعطيل آليات المصادقة متعددة العوامل (MFA)، وكذلك حذف رسائل البريد الإلكتروني والتنبيهات الأخرى التي قد تكشف عن النشاط الخبيث للمؤسسة. هذا الإجراء يحرم الضحايا من أدوات اكتشاف التهديدات المبكرة.
تتشابه حملات سرقة البيانات بهدف الابتزاز بشكل كبير في أهدافها، لكن “CrowdStrike” تؤكد وجود اختلافات واضحة في التكتيكات والتقنيات والإجراءات (TTPs) بين المجموعتين. تشمل هذه الاختلافات ساعات العمل، ومزودي نطاقات التصيد، وأنظمة التشغيل المفضلة، ومواقع تسريب البيانات، والأدوات المستخدمة لتسجيل المصادقة متعددة العوامل.
من الجدير بالذكر أن موقع “BlackFile”، وهو موقع تسريب البيانات الخاص بـ “Cordial Spider”، كان خارج الخدمة في وقت سابق من هذا الأسبوع، وفقاً لما ذكره مايرز. وبينما ترفض “CrowdStrike” تحديد حجم المطالبات المالية، تشير تقارير سابقة إلى أن “Cordial Spider” غالباً ما تطلب مبالغ تصل إلى ملايين الدولارات.
أساليب متطورة للتخفي والضغط
في بعض الحالات، تتعرض المنظمات التي ترفض دفع فديات إلى هجمات حجب الخدمة الموزعة (DDoS). كما أظهرت “Snarky Spider” تكتيكات مضايقة أكثر عدوانية، بما في ذلك إرسال إبلاغات كاذبة عن عمليات طوارئ (swatting) تستهدف موظفي المؤسسات الضحية.
تعتمد كلتا المجموعتين على شبكات البروكسي السكنية، مثل Mullvad وOxylabs وغيرها، لتجنب اكتشاف عناوين IP المميزة والاندماج مع حركة المرور العادية. وقد حذر خبراء الأمن السيبراني من إساءة استخدام هذه الشبكات لأغراض إجرامية.
تبدو “Cordial Spider” و”Snarky Spider” حتى الآن أقل تأثيراً وقدرة تقنية من “Scattered Spider”، لكنهما تشتركان في العديد من الأهداف والتشابهات. يصف مايرز هاتين المجموعتين بأنهما “الجيل الجديد” من “Scattered Spider”، حيث يستفيدان من تكتيكاتها مع البناء على أساسها.