تعرّضت شركة عالمية رائدة في مجال تخزين البيانات والبنية التحتية لهجوم فدية خبيث، نفذته المجموعة الإجرامية المعروفة باسم “Howling Scorpius”، وهي الجهة المسؤولة عن نشر برمجيات الفدية الخبيثة من نوع Akira. بدأ الهجوم، الذي استغل ثغرة عبر واجهة التحقق البسيطة، في إحداث أضرار بالغة.
كشفت التحقيقات التي أجرتها شركة Palo Alto Networks عن تفاصيل الهجوم، الذي بدأ بزيارة لموقع إلكتروني لبيع السيارات يبدو طبيعياً، حيث قام أحد الموظفين بالنقر على ما بدا أنه طلب تحقق روتيني لإثبات أنه ليس روبوتاً.
هجوم فدية Akira يكشف ثغرات أمنية خطيرة
تسببت هذه النقرة الوحيدة في اختراق دام 42 يوماً، كشف خلالها المهاجمون عن نقاط ضعف جوهرية في البنية الأمنية للشركة، مما يسلط الضوء على استمرار فعالية الهندسة الاجتماعية في تجاوز الدفاعات السيبرانية المتطورة.
استخدم المهاجمون تكتيك “ClickFix”، وهو أسلوب هندسة اجتماعية متقدم يُموه توزيع البرمجيات الخبيثة على أنها إجراءات أمنية مشروعة.
عندما تفاعل الموظف مع واجهة التحقق المزيفة، قام عن غير قصد بتحميل برنامج SectopRAT الخبيث، وهو حصان طروادة للوصول عن بعد (RAT) مبني بلغة .NET. وقد منح هذا البرنامج الخبيث المجموعة الإجرامية موطئ قدم أولي داخل شبكة المؤسسة.
يعمل برنامج SectopRAT في وضع التخفي، مما يسمح للمهاجمين بالتحكم عن بعد في الأنظمة المصابة، ومراقبة نشاط المستخدمين، وسرقة البيانات الحساسة، وتنفيذ الأوامر دون الكشف عن وجودهم. هذا النهج المتخفي يمثل تحدياً كبيراً لأنظمة الكشف والاستجابة.
مسار الهجوم والتدمير
بعد تأمين موطئ القدم، قام المهاجمون بإنشاء قناة اتصال احتياطية (Command-and-Control) على أحد الخوادم، وبدأوا على الفور في استكشاف البنية التحتية الافتراضية لتخطيط خطواتهم التالية.
خلال فترة الاختراق الممتدة، نجحت مجموعة Howling Scorpius في اختراق العديد من الحسابات ذات الامتيازات العالية، بما في ذلك حسابات مديري النطاقات (Domain Administrators)، مما منحهم سيطرة أكبر على الشبكة.
استغل المهاجمون بروتوكولات مثل بروتوكول سطح المكتب البعيد (RDP)، و Secure Shell (SSH)، وبروتوكول كتلة الخادم (SMB) للتنقل الجانبي داخل الشبكة.
تمكنوا من الوصول إلى وحدات التحكم بالنطاق، وقاموا بتجميع أرشيفات ضخمة من البيانات باستخدام برنامج WinRAR عبر مشاركات ملفات متعددة، وانتقلوا من نطاقات وحدات الأعمال إلى بيئة الشركة، وصولاً إلى موارد الحوسبة السحابية. هذا التنقل المتعدد المستويات يوضح مدى عمق الاختراق.
قبيل نشر حمولة فدية Akira، قام المهاجمون بحذف حاويات تخزين النسخ الاحتياطي، وقاموا بتسريب ما يقرب من واحد تيرابايت من البيانات باستخدام برنامج FileZillaPortable. هذه الخطوة تهدف إلى زيادة الضغط على الضحية لدفع الفدية.
بعد ذلك، قاموا بنشر برمجيات فدية Akira عبر خوادم في ثلاث شبكات منفصلة، مما أدى إلى توقف الأجهزة الافتراضية عن العمل وتوقف العمليات بالكامل. وطالب المهاجمون بفدية مقابل استعادة البيانات.
ثغرة كشف الأدوات الأمنية
كشف الحادث عن فجوة أمنية حرجة: بالرغم من أن الشركة كانت قد نشرت حلين متطورين للكشف والاستجابة لنقاط النهاية (EDR)، والتي سجلت جميع الأنشطة الخبيثة، إلا أن هذه الأدوات أصدرت تنبيهات قليلة للغاية. تم تسجيل كل اتصال مشبوه وكل حركة جانبية تقريباً في سجلات النظام، لكن غياب التنبيهات الكافية أبقى الأدلة الحاسمة مغفلة.
استجابت وحدة Palo Alto Networks 42 بالتحقيق الشامل، وأعادت بناء مسار الهجوم الكامل، وساهمت في التفاوض لخفض مبلغ الفدية المطلوب بنسبة تقارب 68 بالمئة.