كشفت شركة الأمن السيبراني “تريند مايكرو” عن حملة هجومية متطورة، استهدفت القطاعين العام والطيران في منطقة الشرق الأوسط، مستخدمة برمجيات فدية جديدة تحمل اسم “شارون”، لم يسبق رصدها من قبل، مما يثير القلق بشأن تصاعد التهديدات السيبرانية في المنطقة.
تقنيات الهجوم المتقدمة
أظهرت التحليلات أن الجهة المهاجمة استخدمت تكتيكات متطورة، تحاكي أساليب مجموعات التهديدات المستمرة المتقدمة (APT)، مثل التحميل الجانبي لملفات DLL، وحقن العمليات، إضافة إلى تجاوز أنظمة الحماية المتقدمة (EDR)، مما يعكس مستوى عالياً من التطور والاحترافية في الهجوم.
هذه الأساليب تحمل أوجه تشابه مع تلك التي سبق استخدامها من قبل مجموعة قرصنة صينية، تُعرف باسم “إيرث باكسيا”، والتي استهدفت مؤسسات حكومية في قارة آسيا، وفقًا لتقرير نشره موقع “thehackernews” واطلعت عليه “العربية Business”، مما يثير تساؤلات حول الجهة التي تقف وراء هذا الهجوم.
آلية عمل الفدية “شارون”
أفاد الباحثون بأن المهاجمين استغلوا ملفًا شرعيًا مرتبطًا بمتصفح “إيدج” للتمويه، مما سمح بتحميل ملف DLL خبيث، وأدى في النهاية إلى نشر برنامج الفدية “شارون”، القادر على تعطيل الخدمات الأمنية، وحذف النسخ الاحتياطية، وتسريع عملية تشفير الملفات باستخدام تقنية المعالجة متعددة الخيوط، مما يجعله أداة قوية وخطيرة.
كما لجأ المهاجمون إلى استخدام برنامج تشغيل مأخوذ من مشروع مفتوح المصدر لتعطيل أنظمة الحماية، وهو ما يمثل خطوة متقدمة تشير إلى دمج تقنيات جديدة قيد التطوير، بهدف زيادة فعالية الهجوم وتقليل فرص الكشف عنه.
هجمات موجهة ورسائل فدية مخصصة
الأمر اللافت هو أن الهجمات بدت موجهة بدقة، حيث تضمنت رسائل فدية مخصصة تحمل اسم المؤسسة المستهدفة، وهو ما يختلف عن النمط التقليدي لبرامج الفدية العشوائية، ويوحي بأن المهاجمين لديهم معرفة مسبقة بالضحايا وأهدافهم.
أشارت “تريند مايكرو” إلى ثلاثة احتمالات محتملة وراء هذه العملية، أولها تورط مباشر لمجموعة “إيرث باكسيا”، أو تقليد أساليبها عن عمد، أو أن تكون هناك جهة تهديد جديدة طورت تقنيات مشابهة بشكل مستقل، مما يجعل تحديد المسؤولية أمرًا صعبًا ويتطلب مزيدًا من التحقيق.
حملة “إنترلوك” وتصاعد هجمات الفدية
يتزامن هذا الكشف مع حملة هجومية أخرى كشفت عنها شركة “eSentire”، حملت اسم “إنترلوك”، واعتمدت على إغراءات “ClickFix” لنشر برمجيات خبيثة وسرقة البيانات، قبل تنفيذ هجوم فدية، مما يؤكد على تصاعد وتيرة التهديدات السيبرانية.
إحصائيات مقلقة حول هجمات الفدية
وفقًا لإحصائيات “باراكودا”، فإن:
- 57% من المؤسسات تعرضت لهجوم فدية ناجح خلال العام الماضي.
- 32% من الضحايا قاموا بدفع الفدية المطلوبة.
- 41% فقط من بين الذين دفعوا الفدية تمكنوا من استعادة بياناتهم بالكامل.