تُعد حملات الفدية الجديدة تحديًا متزايدًا للمؤسسات. فقد رصدت شركة مايكروسوفت استخدام مجموعة تهديدات سيبرانية تُعرف بـ Storm-1175 لبرمجيات الفدية Medusa، مستهدفة الأنظمة المكشوفة على الإنترنت بسرعة فائقة، مما يزيد من المخاطر الأمنية.
تتميز هذه المجموعة بسرعة تحركها، حيث يمكنها السيطرة على أنظمة المؤسسة بالكامل في غضون 24 ساعة من اختراقها الأول. يعتمدون بشكل أساسي على استغلال الثغرات الأمنية المعروفة، أو ما يُعرف بـ “N-day vulnerabilities”، والتي يتم الكشف عنها ولكن لم يتم معالجتها بعد من قبل جميع المستخدمين.
يقوم المهاجمون بالمسح الآلي للتطبيقات والأنظمة المتصلة بالإنترنت، مثل أدوات نقل الملفات والخوادم البريدية، التي لا تزال تعمل بإصدارات ضعيفة. مجرد بضعة أيام من عدم التحديث كافية لتمكينهم من الدخول.
وفقًا لتحليلات مايكروسوفت، تعود المجموعة إلى عام 2023، وقد تمكنت من استغلال أكثر من 16 ثغرة أمنية معروفة عبر منصات المؤسسات المختلفة. تظهر المجموعة قدرة متزايدة على الهجوم.
Storm-1175: استغلال الثغرات المعروفة وغير المعروفة
إضافة إلى استغلال الثغرات المعلنة، أكد محللو مايكروسوفت أن Storm-1175 طورت أيضًا القدرة على استخدام ثغرات “اليوم الصفري” (Zero-day) – وهي عيوب أمنية لم يتم الكشف عنها علنًا بعد. هذا يعكس تطورًا خطيرًا في أساليبهم الهجومية.
في إحدى الحالات، استغلت المجموعة ثغرة CVE-2026-23760 في برنامج SmarterMail قبل أسبوع كامل من الإعلان عنها رسميًا. وبالمثل، تم استغلال ثغرة CVE-2025-10035 في نظام Fortra’s GoAnywhere Managed File Transfer قبل أسبوع من الإعلان الرسمي عنها.
يعمل برنامج Medusa ransomware كمنصة “برمجيات فدية كخدمة” (Ransomware-as-a-Service)، حيث يقوم المطورون بتأجير الأدوات والبنية التحتية لمجموعات مثل Storm-1175. تستخدم Medusa نموذج الابتزاز المزدوج، حيث يقوم المهاجمون بتشفير بيانات الضحايا مع سرقتها، ثم يهددون بنشر الملفات علنًا إذا لم يتم دفع الفدية.
هذا يضع المؤسسات تحت ضغط هائل، حيث يجمع بين تعطيل العمليات وخطر التعرض المستمر للبيانات. الصناعات التي تعتمد بشكل كبير على المنصات المكشوفة على الإنترنت تواجه أعلى المخاطر من حملات Storm-1175.
داخل خطة Storm-1175 ما بعد الاختراق
بمجرد دخول Storm-1175 إلى بيئة الهدف، يتبع الهجوم سلسلة من الخطوات المكررة. أولاً، يقومون بزرع “ويب شل” (Web Shell) أو إسقاط حمولة وصول عن بعد (Remote Access Payload)، وهي قطعة صغيرة من الشفرة تسمح بإعادة الاتصال بالنظام المخترق في أي وقت، حتى بعد إصلاح الثغرة الأصلية. كما يتم إنشاء حسابات مستخدمين جديدة في وقت مبكر للحفاظ على مسار وصول احتياطي إلى الشبكة.
من هناك، تقوم Storm-1175 بنشر أدوات المراقبة والإدارة عن بعد المشروعة، مما يجعل أنشطتها تندمج مع حركة المرور العادية التي يولدها فريق تكنولوجيا المعلومات. تسمح هذه الأدوات للمهاجمين بالتحرك عبر الأنظمة الداخلية دون إثارة إنذارات أمنية.
لتعطيل الدفاعات، يقومون بالتلاعب بإعدادات Microsoft Defender Antivirus المخزنة في سجل Windows، وهي خطوة تتطلب وصول حساب ذي صلاحيات عالية. يستخدم المهاجمون أيضًا أوامر PowerShell المشفرة لإضافة محركات أقراص كاملة إلى قوائم الاستثناءات الخاصة بمكافحة الفيروسات، مما يمنع برامج الأمان من فحص الملفات الضارة.
في الوقت نفسه، تستهدف سرقة بيانات الاعتماد الحسابات ذات الامتيازات العالية اللازمة لدفع برامج الفدية عبر الشبكة بأكملها. عندما يصبحون مستعدين لإنهاء العملية، تستخدم Storm-1175 أداة Bandizip لتجميع الملفات التي تم جمعها، و Rclone لنقل هذه البيانات إلى مساحة تخزين سحابية بعيدة يتحكم بها المهاجمون.
في بعض الحالات، يستخدمون امتيازات مرتفعة لتشغيل تحديث لسياسة المجموعة (Group Policy)، مما يؤدي إلى نشر برامج الفدية بشكل متزامن عبر كل نظام في المجال. تنصح مايكروسوفت وفرق الأمن السيبراني المؤسسات بتحديث الأنظمة المكشوفة على الإنترنت دون تأخير، خاصة في غضون 72 ساعة لأي ثغرة مدرجة في كتالوج الوكالة الوطنية للأمن السيبراني (CISA) للثغرات المستغلة المعروفة.
يجب على فرق الأمن مراقبة التنبيهات المتعلقة بسرقة بيانات الاعتماد، والتغييرات غير المصرح بها في السجل، وإنشاء حسابات مستخدمين جديدة، حيث أن هذه علامات إنذار مبكر موثوقة لوجود مهاجم نشط. كما يعد تقييد أدوات RMM إلى التطبيقات المعتمدة وفرض المصادقة متعددة العوامل على جميع الحسابات المميزة خطوات حاسمة. يجب على الفرق تدقيق مسارات استثناء مكافحة الفيروسات بانتظام للكشف عن التعديلات غير المصرح بها قبل أن يتمكن المهاجمون من استغلالها.