تطوير أدوات جديدة لسرقة البيانات، هذا ما كشف عنه آخر الهجمات السيبرانية التي تستهدف المؤسسات، حيث طورت جهات مرتبطة بمجموعة فدية تريغونا (Trigona) أداة مخصصة لاستخراج البيانات. هذا التحرك يدل على تطور في أساليب الهجوم، مما يزيد من قدرة المخترقين على سرقة معلومات حساسة بدقة وسرعة أكبر.
مجموعة تريغونا، التي ظهرت لأول مرة في أواخر عام 2022، تعمل بنموذج “الفدية كخدمة” (RaaS) وتديرها مجموعة إجرامية سيبرانية تُعرف باسم “Rhantus”. ومع ذلك، فإن الاعتماد على هذه الأدوات المخصصة يمثل تغيراً جذرياً عن الأساليب التقليدية.
فدية تريغونا: تطوير “أداة استخراج” مخصصة
لطالما اعتمدت العديد من مجموعات الفدية على أدوات متاحة للجمهور مثل Rclone أو MegaSync لنقل البيانات المسروقة. وعلى الرغم من فعاليتها، أصبحت هذه الأدوات معروفة بالفعل للكثير من شركات الأمن السيبراني، مما يسهل اكتشافها. ومع ذلك، فإن هذا التوجه نحو أدوات مصممة خصيصاً يشير إلى أن المهاجمين يكتسبون قدرات تقنية متزايدة وتخطيطاً أدق لعملياتهم.
وقد رصد فريق Symantec Threat Hunter هذه الهجمات في مارس 2026. وأشارت ملاحظات الفريق إلى أن هذا التغيير في التكتيكات يمثل تطوراً مهماً في سلوك مجموعة تريغونا، مما يؤكد دور تطوير أدوات جديدة لسرقة البيانات في زيادة فعالية هذه العمليات.
ابتكار الأدوات لتعزيز السرية
يبدو أن المهاجمين يستثمرون وقتاً وموارد كبيرة في تطوير برمجيات خبيثة خاصة بهم، وذلك لتقليل احتمالية رصدهم أثناء المرحلة الأكثر حساسية من الهجوم، وهي سرقة البيانات. يعد هذا النوع من الاستثمار التقني نادراً نسبياً بين منتسبي مجموعات الفدية، والذين يفضلون عادةً حلولاً جاهزة وسريعة.
الأداة المخصصة، المسماة “uploader_client.exe”، هي أداة تعمل عبر سطر الأوامر وتتصل بخادم محدد مسبقاً يتحكم به المهاجم. في إحدى الحوادث المؤكدة، استُخدمت الأداة لاستهداف مجلدات تحتوي على فواتير مالية ومستندات PDF ذات قيمة عالية مخزنة على محركات الأقراص الشبكية. يوضح هذا المستوى من الاستهداف أن المجموعة تعرف بدقة نوع البيانات التي تحمل أكبر قيمة، وتبني أدوات مصممة خصيصاً لاستخراجها.
التأثير الأوسع لتطور التهديدات السيبرانية
يمتد التأثير الأوسع لهذا التطور إلى ما هو أبعد من حملة فدية واحدة. إنه يوضح أن بعض الجهات التهديدية مستعدة للاستثمار في البحث والتطوير، وتعامل عمليات الجريمة الإلكترونية بنفس هيكل وانضباط المشاريع البرمجية المشروعة. الأهم هو أن تطوير أدوات جديدة لسرقة البيانات يشكل تهديداً متزايداً للمؤسسات.
تتعرض المؤسسات في مختلف الصناعات التي تتعامل مع سجلات مالية حساسة أو مستندات سرية لخطر متزايد مع تزايد تعقيد هذه الأدوات وصعوبة اكتشافها. وتشمل التوصيات الأمنية الهامة مراقبة الاستخدام غير المصرح به لأدوات الوصول عن بعد، وتكوين أنظمة الكشف عن نقاط النهاية لإصدار تنبيهات بشأن نشاط برامج تشغيل مستوى النواة، والتأكد من تحديث برامج الحماية باستمرار. كما يجب مراقبة حركة مرور الشبكة للكشف عن اتصالات صادرة غير عادية ذات حجم كبير أو تدور بسرعة.