مجموعة REvil تنفذ هجوم فدية استهدف عشرات الشركات الأمريكية

نفذت مجموعة القرصنة الشهيرة REvil هجوم فدية جديد استهدفت من خلاله عشرات الشركات الصغيرة في الولايات المتحدة.

حيث استهدفت المجموعة بشكل أساسي مخدمات شركة كاسيا Kaseya وهي منصة برمجية مصممة للمساعدة في إدارة خدمات تكنولوجيا المعلومات عن بُعد.

وبعد ذلك استخدمتها كقناة لنشر برمجيات الفدية عبر مزودي الخدمات السحابية التابعة لها.

واستخدمت المجموعة في هجومها تحديثاً ضاراً لخوادم VSA لنشر برامج الفدية على شبكات المؤسسات.

وظهرت هذه الحادثة، التي يعتقد أنها أثرت على عشرات الشركات في جميع أنحاء العالم، لأول مرة في وقت سابق من يوم أمس الجمعة.

وبحسب عملاء شركة الأمن Sophos و Kaseya فإن تحديث Kaseya الضار يصل إلى خوادم VSA المحلية، حيث يتم نشر برنامج الفدية على جميع أنظمة العملاء المتصلة باستخدام محرك البرمجة النصية الداخلي.

وشرح محلل البرامج الضارة في Sophos آلية عمل هذا الهجوم، حيث تقوم عصابة REvil بتعطيل حلول مكافحة الفيروسات المحلية.

ثم تنشر تطبيق Windows Defender المزيف الذي يقوم بتشغيل برنامج الفدية الثنائي الفعلي الذي يقوم بتشفير ملفات الضحية.

وتم الإبلاغ أن المجموعة طلبت مبلغاً قدره 44,999 دولار لإلغاء تشفير ملفات الأنظمة المتأثرة.

وطلبت شركة Kaseya وفور ورود أنباء الهجوم، من عملائها إغلاق خوادم VSA الخاصة بهم في الوقت الحالي “لأن أحد الأشياء الأولى التي يقوم بها المهاجم هو إيقاف الوصول الإداري إلى VSA.”

كما ادعى تقرير صادر عن موقع Bleeping Computer أن هذا الهجوم قد استهدف ستة شركات كبيرة مزودة للخدمات المدارة MSP.

وهي شركات تقدم خدمات تكنولوجيا المعلومات عن بعد للشركات الصغيرة التي تفتقر إلى قسم تكنولوجيا المعلومات.

وبمجرد إصابة مزودي الخدمة المُدارة، يمكن أن تهاجم أنظمتهم العملاء الذين يقدمون خدمات تكنولوجيا المعلومات عن بُعد من أجل (إدارة الشبكة وتحديثات النظام والنسخ الاحتياطية وأشياء أخرى).

وقامت المجموعة بتشفير البيانات لما يصل إلى 200 شركة.

ونشر الباحث Kevin Beaumont مزيداً من التفاصيل حول كيفية عمل الهجوم معتبراً أن فيروس الفدية قد وصل من خلال تحديث Kaseya واستخدام الامتيازات الإدارية للنظام الأساسي لإصابة الأنظمة.

وعلقت شركة Kaseya حول هذا الأمر قائلة أنها قد اتخذت إجراءات سريعة لحماية عملائها، كما قامت بإغلاق خوادم SaaS على الفور كإجراء احترازي.

على الرغم من عدم تلق أي تقارير عن هجوم استهدف SaaS أو عملاء مستضافين.

وأخطرت الشركة عملاءها المحليين على الفور عبر البريد الإلكتروني والإشعارات داخل المنتج والهاتف لإغلاق خوادم VSA الخاصة بهم لمنع تعرضهم للاختراق.

وأشارت الشركة إلى تأثر عدد قليل جداً من العملاء المحليين تقدر حالياً بأقل من 40 في جميع أنحاء العالم.

ووعدت بتحديد مصدر الثغرة الذي نتج عنه الهجوم، وتصحيحها.

وكانت مجموعة REvil قد ابتزت شركة آبل فيما سبق عن طريق هجوم ببرمجية فدية.

مقالات قد تعجبك

المدير التنفيذي لإنستغرام يقول إن التطبيق لن يقتصر على مشاركة الصور
تيك توك يرفع مدة مقاطع الفيديو لتصل إلى ثلاث دقائق
شاشة الموت الزرقاء ستصبح سوداء في ويندوز 11
زر إيقاف تشغيل ويندوز 10 لا يقوم بإيقاف تشغيل النظام بشكل كامل
لماذا هنالك عدة أنواع للبيتكوين؟ وما الفروق بينها؟
كيفية استبدال مزوّد الطاقة للكمبيوتر

هجمات لفيروس الفدية استهدفت مراكز طبية وأدت لإبطاء التجارب السريرية

تعتبر الهجمات الإلكترونية على قطاع الرعاية الصحية أمراً مشيناً للغاية، خصوصاً في هذا الوقت، حيث تعمل هذه المراكز في أبحاث ودراسات حول فيروس كورونا.

آخر هذه الهجمات ما ذكرته صحيفة نيويورك تايمز الأمريكية غن تبلطؤ التجارب السريرية بعد أن عانى مزود برامج الرعاية الصحية eResearchTechnology من هجمات برامج الفدية التي بدأت قبل أسبوعين.

وكانت شركة IQVIA (شركة أبحاث تدير أعمال لقاح COVID-19 التابع لشركة AstraZeneca) و شركة Bristol Myers Squibb (مشاركة في اختبارات حول كوفيدCOVID-19) من أكبر الأهداف المتأثرة.

وقالت كل من الشركتين IQVIA و Bristol Myers Squibb إن تأثير الهجوم كان “محدودًا” ، ويرجع الفضل في ذلك جزئياً إلى النسخ الاحتياطية للبيانات، لكن يبدو أن عملاء eResearchTechnology الآخرين اضطروا إلى تتبع مرضى التجربة باستخدام الورق.

وليس من الواضح ما إذا كانت البرامج الضارة قد أثرت على أي تجربة لـ COVID-19، كما أنه ليس من المؤكد من يقف وراء هذه الهجمات، ولم يذكر eResearchTechnology ما إذا كان قد قام بدفع الفدية لاستعادة أجهزة الحاسوب الخاصة به أم لا.

تأتي هذه الحادثة بعد أيام فقط من هجمات فدية ضخمة مشتبه بها ضد مركز خدمات الصحة العالمي Universal Health Services أعاقت رعاية المرضى.

وضمن نفس السياق، توفي مريض ألماني قبل أسابيع، عندما أجبرت هجمات الفدية الرقمية مشفى على نقل مريض يحتاج إلى رعاية صحية.

يبدو أن برامج الفدية تضرب بشكل أعمق في أنظمة الرعاية الصحية ،ولها تأثير ملموس على تلك الأنظمة في وقت الحاجة إليها أكثر من أي وقت مضى.

مقالات قد تعجبك

مايكروسوفت أعلنت عن لوحة مفاتيح وفأرة لاسلكية جديدة
مايكروسوفت أعلنت عن لوحة مفاتيح وفأرة لاسلكية جديدة
أسعار هواتف آيفون 12 القادمة بحسب آخر التسريبات
كيف يمكن لشبكة الجيل الخامس 5G تطوير اتصال الإنترنت المنزلي؟
كيفية رسم ومعالجة الأسهم في مايكروسوفت وورد
كيفية تغيير إعدادات سلة المحذوفات في ويندوز 10

تطبيق تيلغرام تعرّض لسلسلة هجمات DDoS من الصين

قال Pavel Durov مؤس تطبيق تيلغرام Telegram لخدمة التراسل الفوري المشفّر أن التطبيق تعرّض قبل أيام قليلة لهجوم قوي من نوع DDoS أو ما يسمّى بهجوم الحرمان من الخدمة.

وقد اتهم مؤسس التطبيق الحكومة والسلطات الصينية بتنظيم الهجوم تزامناً مع اندلاع الاحتجاجات في هونغ كونغ حول قانون لتسليم المطلوبين إلى الصين.

مؤسس التطبيق قال أن الحكومة الصينية هي التي أغرقت التطبيق بطلبات وهمية نتيجة استعماله من قبل المتظاهرين لتنظيم تجمعاتهم واحتجاجاتهم، وقد اختار المتظاهرون التطبيق المذكور نظراً إلى درجة السرية والتشفير التي يقدّمها.

وقد أفادت بعض التقارير من وكالة Bloomberg أن تطبيقات الرسائل المشفرة مثل تيلغرام و FireChat تحظى حالياً بشعبية هائلة في هونغ كونغ وبعدد تحميلات كبير جداً، حيث يحاول المتظاهرون إخفاء هوياتهم عن حكومة هونغ كونغ المدعومة من بكين.

بالإضافة إلى استخدام تطبيقات المراسلة المشفرة، لاحظت الوكالة أن المحتجين في هونغ كونغ قاموا بتغطية وجوههم أيضاً لتجنب أنظمة التعرف على الوجه، كما أنهم تجنبوا استخدام بطاقات النقل العام التي يمكنها ربط الموقع بالهويات.

وقال حساب تويتر الرسمي على تويتر أن الخدمة قد تعرّضت لمجموعة هائلة من طلبات الخدمة الوهمية والتي كان معظمها صادراً من عناوين IP من الصين.

تأتي هذه الطلبات الوهمية تجسيداً لمفهوم هجوم حرمان الخدمة DDoS الذي يهدف إلى إغراق الخدمة الضحية بمجموعة من الطلبات الوهمية، مما يشغلها عن معالجة الطلبات الحقيقية من باقي المستخدمين.

وتأتي احتجاجات هونغ كونغ رداً على قانون مقترح يسمح للحكومة التي تدعمها بكين بتسليم مواطنيها إلى الصين، ويخشى النقاد من إمكانية استخدام القانون لتدعيم سلطة بكين على الدولة التي تتمتع بحكم شبه ذاتي.

لاحقاً، أعلنت تيلغرام عن بدء زوال آثار الهجوم الصيني وقالت أن بيانات جميع المستخدمين ما زالت آمنة ورسائلهم مشفّرة.

مقالات قد تعجبك:

ما هو الإنترنت ؟ وكيف يعمل ؟
كيفية استخدام فيسبوك بأقل نسبة ممكنة من البيانات الشخصية
كيفية تحديد تطبيقات أندرويد المزيفة قبل تحميلها
ما هي تقنية تتبع الأشعة Ray Tracing المستخدمة في الألعاب؟
كيفية التأكد من أمان إضافات كروم قبل تنصيبها

عودة فايروس الفدية WannaCry

أفاد تقرير صادر عن صحيفة Seattle Times أن أحد المصانع التابعة لشركة بوينغ Boeing في مدينة Charleston جنوب ولاية  Carolina قد تعرّض يوم الأربعاء لهجمة إلكترونية بواسطة برمجيات الفدية المعروفة باسم WannaCry ransomwear.

وأرسل Mike VanderWel كبير المهندسين في شركة بوينج التجارية لإنتاج الطائرات مذكرة على مستوى الشركة تحذّر من هذا الهجوم.

وجاء في مذكرة التحذير أن هذه البرمجيات تنتشر بسرعة من شمال مدينة Charleston وأن بعض آليات التجميع الاتوماتيكية قد تكون قد تضررت بشكل كامل بسبب تلك الهجمات الإلكترونية.

وتشعر الشركة بالقلق من أن تلك البرمجيات قد تصيب المعدات المستخدمة في اختبارات الطيران الوظيفية، مما قد يؤدي إلى انتقال الأثر الضار إلى برمجيات الطائرات.

فايروس الفدية WannaCry يعتمد بشكل أساسي على ثغرة حرجة في نظام ويندوز، وكانت إدارة الرئيس الأمريكي دونالد ترامب قد اتهمت وحدة الإرهاب الإلكتروني في كوريا الشمالية منذ كانون الأول في العام الماضي.

وذلك بعد انتشار الفايروس بشكل مخيف بدءاً منذ شهر أيار الماضي وتسبّب بحدوث إنذار واسع النطاق على مستوى العالم.

حيث أصيبت المستشفيات في المملكة المتحدة بالشلل في الموجة الأولى من الهجوم، ثم بدأت تظهر أشكال الفايروس في أكثر من 150 دولة بعد مرور بضعة أسابيع فقط.

يعمل هذا الفايروس عن طريق إغلاق الأجهزة أو قفلها، مما يدفع أصحاب النظام إلى دفع فدية عادةً على شكل عملات رقمية لحل المشكلة واستعادة عمل الأجهزة المصابة.

وكانت شركة مايكروسوفت قد أصدرت عدة تحديثات للحد من انتشار الفايروس ولكن على ما يبدو فإن ذلك لم يزيله تماماً.

 

مقالات قد تعجبك:
برمجية دفع الفدية WannaCry التي أصابت الأجهزة العاملة بنظام التشغيل ويندوز
FBI تعتقل الخبير الأمني الذي أوقف انتشار فايروس الفدية WannaCry
فيسبوك يعترف بأن مشكلة رسائل الـSMS سببها ثغرة برمجية
اكتشاف ثغرة جديدة في iOS وآبل وعدت بإصلاحها
مايكروسوف تصدر التحديث الأمني الثاني للتعامل مع ثغرة Spectre