نظرة عامة

على مدى الأشهر القليلة الماضية، راقبنا عن كثب المشهد المتطور للتهديدات والهجمات الإلكترونية التي تستهدف الولايات المتحدة. تشير النتائج التي توصلنا إليها إلى زيادة كبيرة في حوادث برامج الفدية من يونيو إلى أكتوبر 2024، مما أثر على أكثر من 800 ضحية في مختلف القطاعات، مع تركيز ملحوظ في خدمات الأعمال والتصنيع. برزت مجموعة Play ransomware باعتبارها أكثر الجهات الفاعلة نشاطًا في مجال التهديد خلال هذه الفترة، جنبًا إلى جنب مع مجموعات بارزة أخرى مثل RansomHub و Lockbit و Qilin و Meow. استهدفت هذه المجموعات في المقام الأول البنية التحتية الحيوية، مستفيدة من نقاط الضعف الموجودة لتنفيذ هجماتها.

‍

أدت الحوادث الهامة، مثل هجوم Rhysida ransomware على مدينة كولومبوس، إلى اختراق البيانات الحساسة، مما يؤكد الحاجة الملحة لتدابير أمنية معززة. علاوة على ذلك، أثرت العديد من خروقات البيانات البارزة على المؤسسات الرئيسية، بما في ذلك TIDE وإدارة الانتخابات في فرجينيا و Healthcare.gov، حيث تبيع الجهات الفاعلة في مجال التهديد المعلومات الشخصية الحساسة والوصول إلى RDP في المنتديات السرية. لقد قمنا أيضًا بتضمين أهم ناقلات الهجمات الأولية (IAVs) التي تستخدمها جهات التهديد هذه، والتي تشمل رسائل البريد الإلكتروني المخادعة واستغلال الثغرات الأمنية في البرامج، مما يتيح الوصول غير المصرح به إلى الأنظمة الحيوية.

‍

وبالإضافة إلى هذه الهجمات، يسلط تقريرنا الضوء على حملة التجسس الصينية، التي يطلق عليها اسم «سولت تايفون»، والتي تستهدف مزودي خدمة الإنترنت في الولايات المتحدة (ISPs). كما لاحظنا أنشطة قراصنة الإنترنت من مختلف المجموعات التي تدافع عن المواقف المؤيدة للفلسطينيين والموالية لروسيا، مما يزيد من تعقيد مشهد التهديدات الإلكترونية.

‍

تتجاوز آثار هذه التهديدات الإلكترونية الخسائر المالية الفورية، وتؤثر على ثقة الجمهور ومرونة البنية التحتية الحيوية في جميع القطاعات. تعد المراقبة والتحليل المستمران لتكتيكات الجهات الفاعلة في التهديد أمرًا ضروريًا للمنظمات للبقاء في صدارة الهجمات المحتملة. من خلال فهم هذه الأنماط، يمكن للشركات تنفيذ تدابير استباقية لتعزيز دفاعاتها وحماية المعلومات الحساسة. يعد الاستثمار في الأمن السيبراني أمرًا بالغ الأهمية ليس فقط لحماية الأصول ولكن أيضًا للحفاظ على استقرار الاقتصاد الأوسع.

‍

الهجمات الإلكترونية الأخيرة على الولايات المتحدة

رانسوم وير:

في الولايات المتحدة، كان لهجمات برامج الفدية تأثير كبير في مختلف القطاعات، حيث تم الإبلاغ عن أكثر من 800 ضحية من يونيو إلى الآن. تقف العديد من مجموعات برامج الفدية وراء هذه الهجمات، وتعد مجموعة Play ransomware هي الأبرز. وقد أثرت هذه الهجمات الإلكترونية على مجموعة واسعة من الصناعات، مما تسبب في اضطرابات كبيرة وخسائر مالية.

‍

توفر الرسوم البيانية أدناه إحصاءات توضح القطاعات المتأثرة ببرامج الفدية في الولايات المتحدة على مدار الأشهر الخمسة الماضية. ستجد أيضًا بيانات عن مجموعات برامج الفدية النشطة خلال هذه الفترة وإحصاءات شهرية عن هجمات برامج الفدية.

في الأشهر الخمسة الماضية، أثرت هجمات برامج الفدية بشكل كبير على مختلف الصناعات في جميع أنحاء الولايات المتحدة. تشمل القطاعات الأكثر تضررًا ما يلي:
‍

Industry affected	Number of attacks
Business Services	152
Manufacturing	121
IT & Technology	87
Healthcare & Pharma	84
Construction	57
Education	44
Non-Profit	40
Government	31
Transport & Logistics	30
Engineering	25

‍

بالإضافة إلى ذلك، تأثرت العديد من القطاعات الأخرى أيضًا، بما في ذلك البيع بالتجزئة، والتمويل والبنوك، والعقارات، والسلع الاستهلاكية، والضيافة، والطاقة، والنفط والغاز، والزراعة، والإعلام، والترفيه والتسويق، والخدمات البيئية، والأغذية والمشروبات، والاتصالات، والتأمين، والسيارات، والاتصالات، والقانون، والتجارة الإلكترونية، والتصدير/الاستيراد. هذا يسلط الضوء على الطبيعة الواسعة النطاق لتهديدات برامج الفدية عبر صناعات متعددة.

‍

***إحصاءات خاصة بصناعة برامج الفدية من يونيو إلى أكتوبر 2024***

‍

أهم 5 مجموعات نشطة من برامج الفدية تستهدف الولايات المتحدة في الأشهر الخمسة الماضية:

Ransomware Group	Description
Play	Play ransomware, also known as PlayCrypt, is a cybercriminal group recognized for its double-extortion tactics. In the past five months, it has emerged as the most active ransomware group in the United States, targeting approximately 106 organizations. The sectors most affected by Play ransomware include Business Services, Manufacturing, Construction, Hospitality, and Transport & Logistics, among others.
RansomHub	Ransomhub is famous for targeting critical infrastructure and has been observed exploiting known vulnerabilities. As the second most active ransomware group in the United States over the past five months, it has attacked approximately 89 organizations. The sectors most affected by Ransomhub include Business Services, Manufacturing, IT & Technology, Healthcare & Pharma, and Transport & Logistics, among others.
Lockbit	Lockbit is a notorious ransomware group recognized for its aggressive and widespread attacks across various industries. Utilizing advanced encryption techniques, they demand substantial ransoms from their victims. In the last five months, Lockbit has targeted approximately 44 organizations in the United States, affecting a diverse range of sectors, including Healthcare & Pharma, Finance & Banking, IT & Technology, Manufacturing, Business Services, and others.
Quilin	Qilin, the fourth most active ransomware group in the United States, has targeted 42 organizations over the past five months. Known for exploiting vulnerabilities and using phishing and spear-phishing emails, Qilin gains access to credentials and spreads laterally within networks. The group has affected sectors such as Business Services, Healthcare & Pharma, IT & Technology, Non-Profit, and Finance & Banking, among others.
Meow	Meow, the fifth most active ransomware group in the United States, has targeted 40 organizations over the past five months. Based on the latest data, the top five affected industries by Meow ransomware are Business Services, Healthcare & Pharma, Manufacturing, IT & Technology, and Environmental Services, among others

‍

***مجموعات برامج الفدية الأكثر نشاطًا في الولايات المتحدة - إحصاءات يونيو - أكتوبر 2024***

‍

في الأشهر الخمسة الماضية، زادت هجمات برامج الفدية في الولايات المتحدة من 175 في يونيو 2024 إلى 214 في يوليو، وبلغت ذروتها عند 217 في أغسطس، ثم انخفضت إلى 199 في سبتمبر، مع الإبلاغ عن 66 هجومًا حتى الآن في أكتوبر 2024.

‍

***إحصائيات شهرية حول عدد هجمات برامج الفدية***

‍

مدينة كولومبوس مستهدفة بواسطة Rhysida Ransomware

‍

في 31 يوليو 2024، أدرجت Rhysida ransomware مدينة كولومبوس بولاية أوهايو كضحية في موقع التسرب الخاص بها. قامت المجموعة بسحب 6.5 تيرابايت من البيانات، والتي تضمنت تسجيلات دخول الموظفين الداخليين وكلمات المرور، والتفريغ الكامل للخوادم التي تضم تطبيقات خدمات الطوارئ، والوصول إلى خلاصات كاميرات الفيديو بالمدينة. ادعت Rhysida أنه تم بيع 55٪ من البيانات المسروقة، بينما تم تحميل 45٪ المتبقية إلى موقع التسرب الخاص بها مجانًا ولم تكن جزءًا من عملية البيع. يشكل الهجوم على مدينة كولومبوس مخاطر كبيرة، بما في ذلك التعرض المحتمل لمعلومات الموظفين الحساسة، وتعطيل خدمات الطوارئ، وتعريض أمن أنظمة مراقبة المدينة للخطر.

‍

*منشور Rhysida على موقع التسرب الخاص بهم*

‍

خروقات البيانات:

يسلط هذا القسم الضوء على خروقات البيانات الهامة الأخيرة التي تؤثر على الولايات المتحدة، مع التركيز على قواعد البيانات المخترقة للمؤسسات الرئيسية وبيع المعلومات الشخصية الحساسة. تؤكد هذه الحوادث المخاطر الجسيمة المرتبطة بالوصول غير المصرح به إلى البيانات الشخصية والمالية، والتي يمكن أن تؤدي إلى سرقة الهوية والاحتيال المالي والاضطرابات التشغيلية. بالإضافة إلى الانتهاكات المذكورة أدناه، تم الإبلاغ عن العديد من الحوادث الأخرى في المنتديات السرية، مما أثر على كل من المنظمات الكبيرة والصغيرة عبر مختلف القطاعات في الولايات المتحدة.

تسرب بيانات تايد الناتو:

في 7 يوليو 2024، نشر ممثل التهديد المعروف باسم «natohub» على منتدى سري، مدعيًا أنه حصل على تسرب كبير للبيانات من TIDE (مركز الفكر لاتخاذ قرارات المعلومات وتفوق التنفيذ)، وهي منظمة تابعة لحلف شمال الأطلسي. وبحسب ما ورد يتضمن التسرب 643 ملف CSV تحتوي على معلومات حساسة مثل بيانات المستخدم ومجموعات المستخدمين والخوادم المادية والافتراضية وسجلات الأحداث. يتعلق جزء كبير من البيانات بمستخدمين من الولايات المتحدة.

‍

‍

***تحتوي البيانات المنشورة من قبل ممثل التهديد على بيانات تخص مستخدمين من الولايات المتحدة***

‍

تم تسريب قاعدة بيانات إدارة الانتخابات في فرجينيا على منتدى تحت الأرض:

قام ممثل تهديد مشهور معروف باسم IntelBroker بتسريب قاعدة بيانات تابعة لإدارة الانتخابات في فرجينيا. تحتوي قاعدة البيانات على معلومات حساسة مثل أسماء الناخبين والعناوين والانتماءات الحزبية.

‍

***تم نشر قاعدة بيانات إدارة فرجينيا للانتخابات في منتدى تحت الأرض***

‍

تم نشر قاعدة بيانات Healthcare.gov على منتدى تحت الأرض:

شوهدت إحدى الجهات الفاعلة في مجال التهديد المعروفة باسم HealthDontCare وهي تنشر قاعدة بيانات healthcare.gov. يدعي الممثل أنه استغل العديد من نقاط الضعف للوصول إلى البيانات ويقدم قاعدة البيانات مجانًا حيث لم يتم دفع رسوم الابتزاز لممثل التهديد. تتضمن قاعدة البيانات معلومات التعريف الشخصية (PII) للمستخدمين، مثل الأسماء والعناوين وأرقام الهواتف وعناوين البريد الإلكتروني.

‍

***مشاركة ممثل التهديد على healthcare.gov***

‍

بيانات مكتب التحقيقات الفيدرالي (FBI) المصنفة المنشورة على المنتدى:

نشر ممثل تهديد مشهور يُعرف باسم كومي على المنتدى السري، مدعيًا أنه اخترق مكتب التحقيقات الفيدرالي (FBI) وحصل على بيانات مستخدم حساسة.

‍

‍

بيانات مسربة من وكالة الأمن القومي:

في 8 يوليو 2024، نشر ممثل تهديد معروف باسم Gostingr في منتدى سري، مدعيًا أنه يمتلك 1.4 غيغابايت من البيانات الحساسة التابعة لوكالة الأمن القومي (NSA) بالولايات المتحدة. تتضمن البيانات الأسماء الكاملة وعناوين البريد الإلكتروني وأرقام المكاتب وأرقام الخلايا الشخصية والمعلومات المصنفة. تدعي Gostingr أنها حصلت على البيانات من خلال اختراق شركة Acuity Inc.، وهي شركة تعمل مباشرة مع حكومة الولايات المتحدة وحلفائها.

‍

‍

خرق بيانات وزارة الخارجية في فلوريدا:

نشر ممثل التهديد المعروف باسم Hikki-chan على المنتدى السري، عرضًا لبيع قاعدة بيانات ضخمة يُزعم أنها تنتمي إلى وزارة خارجية فلوريدا (FDOS). يُزعم أن قاعدة البيانات تحتوي على أكثر من 17 مليون عنوان بريد إلكتروني فريد ومعلومات التعريف الشخصية (PII) لما يقرب من 5 ملايين فرد. تتضمن البيانات الأسماء الكاملة والمعرفات والعناوين وأرقام الهواتف والمزيد. بالإضافة إلى ذلك، يُقال إن قاعدة البيانات تحتوي على معلومات عن 83,211 منظمة مرتبطة بـ FDOS، بما في ذلك الأسماء القانونية وأسماء DBA وأرقام الهواتف وعناوين العمل ورسائل البريد الإلكتروني الخاصة بالعمل والمدن وتفاصيل أخرى.

‍

***منشور ممثل التهديد في وزارة خارجية فلوريدا***

‍

وثائق ADT الداخلية المسربة في منتدى تحت الأرض:

في 8 يوليو 2024، قام ممثل التهديد المعروف باسم Abu_Al_Sahrif بتسريب وثائق داخلية تابعة لشركة ADT، وهي شركة أمنية أمريكية، في منتدى سري. تتضمن البيانات المسربة أكثر من 2400 ملف متعلق بالدعم الفني لشركة ADT وعملائها. ادعى نفس الفاعل في مجال التهديد أنه يمتلك مجموعة من الوثائق الداخلية التابعة لشركة Leidos، وهي شركة تكنولوجيا معلومات مقرها الولايات المتحدة. تتراوح تواريخ كلا التسريبين من 2020 إلى 2023.

‍

‍

‍

بيع بطاقات الائتمان من الولايات المتحدة الأمريكية:

نشر مستخدم يدعى Staffyyyy على منتدى الويب المظلم عن بيع بطاقات الائتمان لمواطني الولايات المتحدة الأمريكية التي تم الحصول عليها من خلال الاستنشاق. تتضمن البيانات تفاصيل حساسة للغاية مثل CardNumber و CardExp و CardCVV ومعلومات حامل البطاقة (الاسم الأول والأخير والعنوان والمدينة والمنطقة والرمز البريدي والبلد) وحامل البطاقة IP والبريد الإلكتروني ورقم الهاتف ورقم الضمان الاجتماعي (SSN) وكلمة المرور وتفاصيل الشركة. لقد لاحظنا قيام جهات تهديد أخرى ببيع بيانات مماثلة عبر المنتديات والأسواق السرية، وغالبًا ما تستخدم بطاقات الائتمان المسروقة للمعاملات الاحتيالية وسرقة الهوية وعمليات الشراء غير المصرح بها.

‍

***بيع بطاقات الائتمان وبيانات PII في منتدى تحت الأرض***

‍

بيع وصول RDP إلى المنظمات التي تتخذ من الولايات المتحدة مقراً لها المنشورة في منتدى تحت الأرض:

وقد لوحظ أن العديد من الجهات الفاعلة في مجال التهديد في المنتديات السرية تبيع الوصول إلى RDP (بروتوكول سطح المكتب البعيد) إلى العديد من الشركات التي تتخذ من الولايات المتحدة مقراً لها عبر قطاعات متعددة. تدعي هذه الجهات الفاعلة أنها اخترقت حسابات الإدارة المحلية أو العديد من المضيفين داخل المؤسسات وعادة ما تقدم هذا الوصول مقابل الدفع.

‍

***بيع الوصول إلى RDP على منتديات Underground***

‍

أهم نواقل الهجوم الأولي (IAVs) التي تم استغلالها من قبل الجهات الفاعلة في مجال التهديد:

‍

في الأشهر الأخيرة، لوحظ أن الجهات الفاعلة في مجال التهديد تستغل العديد من نقاط الضعف والتشكيلات الخاطئة للوصول غير المصرح به إلى الأنظمة. فيما يلي بعض نواقل الهجوم الأولي الأكثر شيوعًا:

Top Initial Attack Vectors (IAVs) Exploited by Threat Actors:	Threat Description
Exploiting Misconfigured Cloud Resources	Misconfigurations in cloud-based repositories such as GitHub, Bitbucket, and AWS S3 buckets are common targets, allowing attackers to steal sensitive code and data.
Compromising Active Directory	Attackers frequently target Active Directory (AD) environments to escalate privileges and access sensitive systems across enterprise networks.
Misconfigured Databases and Servers	Publicly exposed or misconfigured databases (e.g., MySQL) and servers (e.g., SMB, Apache Solr) provide attackers easy access to sensitive data or remote control capabilities without needing credentials
Exploiting Stealer Logs and Pastebin Scraping	Threat actors utilize stealer logs, which contain leaked credentials, to infiltrate systems. They also scrape Pastebin for leaked code, credentials, or other sensitive information that can be used to gain unauthorized access.
Brute-forcing Passwords	Weak or default passwords are often brute-forced, allowing attackers to access critical systems.
Exploiting Web Application Vulnerabilities	Vulnerabilities in web applications, such as SQL injection or remote code execution, are often exploited to gain initial access.

‍

حملة التجسس الصينية «Salt Typhoon» التي تستهدف مزودي خدمة الإنترنت الأمريكيين:

يُشتبه في أن مجموعة Salt Typhoon، التي ربما تكون مجموعة APT مدعومة من الحكومة الصينية تختلف عن APT41، تشارك في حملات تجسس تستهدف مزودي خدمة الإنترنت الأمريكيين، باستخدام تكتيكات معقدة مماثلة للأنشطة الإلكترونية الأخرى التي ترعاها الدولة الصينية.
يتضمن الدافع وراء حملة Salt Typhoon الصينية التجسس للوصول إلى البيانات الحساسة على شبكات ISP، والتأهب المسبق للاضطرابات السيبرانية المحتملة أثناء النزاعات (خاصة فيما يتعلق بتايوان)، وجمع المعلومات الاستخبارية حول البنية التحتية الحيوية للولايات المتحدة ونقاط الضعف في الدفاع السيبراني لاستغلالها في المستقبل.

ينصب التركيز الأساسي على مزودي خدمة الإنترنت المقيمين في الولايات المتحدة الذين يستخدمون برنامج Versa Networks، مع تأثيرات ثانوية محتملة على الوكالات الحكومية والمقاولين العسكريين ومستخدمي البنية التحتية الحيوية لمزودي خدمات الإنترنت هؤلاء. تستغل المجموعة الثغرات الأمنية في يوم الصفر في برامج إدارة شبكة ISP، وتحافظ على الوصول المستمر باستخدام الأبواب الخلفية، وتتحرك أفقيًا عبر الأنظمة المخترقة إلى أهداف عالية القيمة.

‍

أنشطة الهاكتيفيست:

استهدفت مجموعات هاكتيفيست مثل الرسمي، ومصر المجهولة، والجيش السيبراني الروسي، وAlixsec، وUserSec، وفريق Dark Storm، جنبًا إلى جنب مع حلفائهم، بنشاط الولايات المتحدة. وتدافع العديد من هذه الجماعات عن مواقف مؤيدة للفلسطينيين ومؤيدة لروسيا وأجرت مجموعة من العمليات السيبرانية، بما في ذلك هجمات DDoS وتشويه مواقع الويب وتسريب قواعد البيانات التي تدعي أنها تنتمي إلى أهدافها. تركز مجموعات القرصنة هذه بشكل أساسي على الكيانات والمنظمات الحكومية التي لها علاقات مع روسيا وإسرائيل ولكنها لا تقصر هجماتها على قطاعات محددة، بل تستهدف بدلاً من ذلك صناعات مختلفة في جميع المجالات.

‍

***مجموعات Hacktivists التي تستهدف كيانات من الولايات المتحدة***

‍

التأثير على الولايات المتحدة:

سرقة الهوية والاحتيال المالي: يمكن أن تؤدي قواعد البيانات المخترقة إلى الوصول غير المصرح به إلى المعلومات الشخصية الحساسة، مما يؤدي إلى سرقة الهوية والاحتيال المالي.
اضطراب تشغيلي: يمكن للهجمات الإلكترونية، وخاصة هجمات DDoS وبرامج الفدية، تعطيل عمليات البنية التحتية والخدمات الحيوية، مما يؤثر على كل من الشركات والوكالات الحكومية.
خروقات البيانات: يمكن أن تؤدي قواعد البيانات المسربة والمعلومات الحساسة إلى تقويض ثقة الجمهور في المنظمات والهيئات الحكومية، مما يؤدي إلى الإضرار بالسمعة.
مخاطر الأمن القومي: يمكن أن تؤدي أنشطة التجسس التي تستهدف الحكومة والمنظمات ذات الصلة بالدفاع إلى سرقة المعلومات الحساسة، مما يعرض الأمن القومي للخطر.
زيادة تكاليف الأمن السيبراني: قد تواجه المنظمات تكاليف متزايدة لتعزيز تدابير الأمن السيبراني الخاصة بها استجابة للتهديدات المتزايدة.

التأثير الاقتصادي: يمكن أن تؤدي الاضطرابات الناجمة عن الحوادث الإلكترونية إلى خسائر اقتصادية كبيرة للمنظمات والصناعات المتضررة.

‍

التوصيات:

بروتوكولات الأمان المحسّنة: تنفيذ تدابير أمنية قوية، مثل المصادقة متعددة العوامل والتشفير، لحماية البيانات الحساسة.
عمليات تدقيق أمنية منتظمة:: إجراء عمليات تدقيق وتقييمات متكررة لنقاط الضعف لتحديد ومعالجة نقاط الضعف الأمنية في النظم والشبكات.
تدريب الموظفين: توفير تدريب للتوعية بالأمن السيبراني للموظفين للتعرف على محاولات التصيد وهجمات الهندسة الاجتماعية الأخرى.
خطط الاستجابة للحوادث: تطوير خطط الاستجابة للحوادث وتحديثها بانتظام لضمان استجابات سريعة وفعالة للانتهاكات أو الهجمات المحتملة.
التعاون مع وكالات الأمن السيبراني: المشاركة مع وكالات الأمن السيبراني الفيدرالية والمحلية، مثل CISA، للحصول على إرشادات حول معلومات التهديدات وأفضل الممارسات.
المراقبة واكتشاف التهديدات: استخدام أدوات المراقبة المتقدمة للكشف عن الأنشطة غير العادية في الشبكات والاستجابة الفورية للتهديدات المحتملة.
حملات التوعية العامة: تثقيف الجمهور بشأن مخاطر التهديدات السيبرانية وتعزيز الممارسات الآمنة عبر الإنترنت للتخفيف من تأثير سرقة الهوية والاحتيال.

‍

مؤشرات التسوية (IOCs)

SHA256
86e17aa882c690ede284f3e445439dfe589d8f36e31cbc09d102305499d5c498
d5c2f87033a5baeeb1b5b681f2c4a156ff1c05ccd1bfdaf6eae019fc4d5320ee
3e6317229d122073f57264d6f69ae3e145decad3666ddad8173c942e80588e69