🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
على مدى الأشهر الأخيرة، واجهت الولايات المتحدة زيادة في الهجمات الإلكترونية، مع ارتفاع حوادث برامج الفدية بشكل حاد من يونيو إلى أكتوبر 2024. استهدفت المجموعات البارزة، بما في ذلك Play و RansomHub و Lockbit و Qilin و Meow، قطاعات مثل خدمات الأعمال والتصنيع وتكنولوجيا المعلومات والرعاية الصحية، مما يعرض أكثر من 800 منظمة للخطر. تضمنت الهجمات الرئيسية خرقًا لمدينة كولومبوس بواسطة Rhysida ransomware وتسريبات البيانات التي تؤثر على إدارة الانتخابات في فرجينيا و Healthcare.gov. بالإضافة إلى ذلك، تستهدف حملة التجسس الصينية «سولت تايفون» بقوة مزودي خدمات الإنترنت في الولايات المتحدة، مما يزيد من تعقيد مشهد التهديدات الإلكترونية. كما زادت مجموعات الهاكتيفيست التي تدافع عن المواقف المؤيدة لروسيا والمؤيدة للفلسطينيين من هجماتها، مما أثر على الكيانات الحكومية والبنية التحتية الحيوية. يسلط هذا التقرير الضوء على الحاجة إلى بروتوكولات أمنية محسنة وعمليات تدقيق منتظمة ومبادرات توعية عامة للتخفيف من المخاطر السيبرانية المتزايدة. تشمل التوصيات الرئيسية تنفيذ المصادقة متعددة العوامل، والتدريب المتكرر للموظفين، ومراقبة التهديدات المتقدمة لحماية البنية التحتية الحيوية للدولة وثقة الجمهور.
على مدى الأشهر القليلة الماضية، راقبنا عن كثب المشهد المتطور للتهديدات والهجمات الإلكترونية التي تستهدف الولايات المتحدة. تشير النتائج التي توصلنا إليها إلى زيادة كبيرة في حوادث برامج الفدية من يونيو إلى أكتوبر 2024، مما أثر على أكثر من 800 ضحية في مختلف القطاعات، مع تركيز ملحوظ في خدمات الأعمال والتصنيع. برزت مجموعة Play ransomware باعتبارها أكثر الجهات الفاعلة نشاطًا في مجال التهديد خلال هذه الفترة، جنبًا إلى جنب مع مجموعات بارزة أخرى مثل RansomHub و Lockbit و Qilin و Meow. استهدفت هذه المجموعات في المقام الأول البنية التحتية الحيوية، مستفيدة من نقاط الضعف الموجودة لتنفيذ هجماتها.
أدت الحوادث الهامة، مثل هجوم Rhysida ransomware على مدينة كولومبوس، إلى اختراق البيانات الحساسة، مما يؤكد الحاجة الملحة لتدابير أمنية معززة. علاوة على ذلك، أثرت العديد من خروقات البيانات البارزة على المؤسسات الرئيسية، بما في ذلك TIDE وإدارة الانتخابات في فرجينيا و Healthcare.gov، حيث تبيع الجهات الفاعلة في مجال التهديد المعلومات الشخصية الحساسة والوصول إلى RDP في المنتديات السرية. لقد قمنا أيضًا بتضمين أهم ناقلات الهجمات الأولية (IAVs) التي تستخدمها جهات التهديد هذه، والتي تشمل رسائل البريد الإلكتروني المخادعة واستغلال الثغرات الأمنية في البرامج، مما يتيح الوصول غير المصرح به إلى الأنظمة الحيوية.
وبالإضافة إلى هذه الهجمات، يسلط تقريرنا الضوء على حملة التجسس الصينية، التي يطلق عليها اسم «سولت تايفون»، والتي تستهدف مزودي خدمة الإنترنت في الولايات المتحدة (ISPs). كما لاحظنا أنشطة قراصنة الإنترنت من مختلف المجموعات التي تدافع عن المواقف المؤيدة للفلسطينيين والموالية لروسيا، مما يزيد من تعقيد مشهد التهديدات الإلكترونية.
تتجاوز آثار هذه التهديدات الإلكترونية الخسائر المالية الفورية، وتؤثر على ثقة الجمهور ومرونة البنية التحتية الحيوية في جميع القطاعات. تعد المراقبة والتحليل المستمران لتكتيكات الجهات الفاعلة في التهديد أمرًا ضروريًا للمنظمات للبقاء في صدارة الهجمات المحتملة. من خلال فهم هذه الأنماط، يمكن للشركات تنفيذ تدابير استباقية لتعزيز دفاعاتها وحماية المعلومات الحساسة. يعد الاستثمار في الأمن السيبراني أمرًا بالغ الأهمية ليس فقط لحماية الأصول ولكن أيضًا للحفاظ على استقرار الاقتصاد الأوسع.
في الولايات المتحدة، كان لهجمات برامج الفدية تأثير كبير في مختلف القطاعات، حيث تم الإبلاغ عن أكثر من 800 ضحية من يونيو إلى الآن. تقف العديد من مجموعات برامج الفدية وراء هذه الهجمات، وتعد مجموعة Play ransomware هي الأبرز. وقد أثرت هذه الهجمات الإلكترونية على مجموعة واسعة من الصناعات، مما تسبب في اضطرابات كبيرة وخسائر مالية.
توفر الرسوم البيانية أدناه إحصاءات توضح القطاعات المتأثرة ببرامج الفدية في الولايات المتحدة على مدار الأشهر الخمسة الماضية. ستجد أيضًا بيانات عن مجموعات برامج الفدية النشطة خلال هذه الفترة وإحصاءات شهرية عن هجمات برامج الفدية.
في الأشهر الخمسة الماضية، أثرت هجمات برامج الفدية بشكل كبير على مختلف الصناعات في جميع أنحاء الولايات المتحدة. تشمل القطاعات الأكثر تضررًا ما يلي:
بالإضافة إلى ذلك، تأثرت العديد من القطاعات الأخرى أيضًا، بما في ذلك البيع بالتجزئة، والتمويل والبنوك، والعقارات، والسلع الاستهلاكية، والضيافة، والطاقة، والنفط والغاز، والزراعة، والإعلام، والترفيه والتسويق، والخدمات البيئية، والأغذية والمشروبات، والاتصالات، والتأمين، والسيارات، والاتصالات، والقانون، والتجارة الإلكترونية، والتصدير/الاستيراد. هذا يسلط الضوء على الطبيعة الواسعة النطاق لتهديدات برامج الفدية عبر صناعات متعددة.
في الأشهر الخمسة الماضية، زادت هجمات برامج الفدية في الولايات المتحدة من 175 في يونيو 2024 إلى 214 في يوليو، وبلغت ذروتها عند 217 في أغسطس، ثم انخفضت إلى 199 في سبتمبر، مع الإبلاغ عن 66 هجومًا حتى الآن في أكتوبر 2024.
مدينة كولومبوس مستهدفة بواسطة Rhysida Ransomware
في 31 يوليو 2024، أدرجت Rhysida ransomware مدينة كولومبوس بولاية أوهايو كضحية في موقع التسرب الخاص بها. قامت المجموعة بسحب 6.5 تيرابايت من البيانات، والتي تضمنت تسجيلات دخول الموظفين الداخليين وكلمات المرور، والتفريغ الكامل للخوادم التي تضم تطبيقات خدمات الطوارئ، والوصول إلى خلاصات كاميرات الفيديو بالمدينة. ادعت Rhysida أنه تم بيع 55٪ من البيانات المسروقة، بينما تم تحميل 45٪ المتبقية إلى موقع التسرب الخاص بها مجانًا ولم تكن جزءًا من عملية البيع. يشكل الهجوم على مدينة كولومبوس مخاطر كبيرة، بما في ذلك التعرض المحتمل لمعلومات الموظفين الحساسة، وتعطيل خدمات الطوارئ، وتعريض أمن أنظمة مراقبة المدينة للخطر.
يسلط هذا القسم الضوء على خروقات البيانات الهامة الأخيرة التي تؤثر على الولايات المتحدة، مع التركيز على قواعد البيانات المخترقة للمؤسسات الرئيسية وبيع المعلومات الشخصية الحساسة. تؤكد هذه الحوادث المخاطر الجسيمة المرتبطة بالوصول غير المصرح به إلى البيانات الشخصية والمالية، والتي يمكن أن تؤدي إلى سرقة الهوية والاحتيال المالي والاضطرابات التشغيلية. بالإضافة إلى الانتهاكات المذكورة أدناه، تم الإبلاغ عن العديد من الحوادث الأخرى في المنتديات السرية، مما أثر على كل من المنظمات الكبيرة والصغيرة عبر مختلف القطاعات في الولايات المتحدة.
تسرب بيانات تايد الناتو:
في 7 يوليو 2024، نشر ممثل التهديد المعروف باسم «natohub» على منتدى سري، مدعيًا أنه حصل على تسرب كبير للبيانات من TIDE (مركز الفكر لاتخاذ قرارات المعلومات وتفوق التنفيذ)، وهي منظمة تابعة لحلف شمال الأطلسي. وبحسب ما ورد يتضمن التسرب 643 ملف CSV تحتوي على معلومات حساسة مثل بيانات المستخدم ومجموعات المستخدمين والخوادم المادية والافتراضية وسجلات الأحداث. يتعلق جزء كبير من البيانات بمستخدمين من الولايات المتحدة.
تم تسريب قاعدة بيانات إدارة الانتخابات في فرجينيا على منتدى تحت الأرض:
قام ممثل تهديد مشهور معروف باسم IntelBroker بتسريب قاعدة بيانات تابعة لإدارة الانتخابات في فرجينيا. تحتوي قاعدة البيانات على معلومات حساسة مثل أسماء الناخبين والعناوين والانتماءات الحزبية.
تم نشر قاعدة بيانات Healthcare.gov على منتدى تحت الأرض:
شوهدت إحدى الجهات الفاعلة في مجال التهديد المعروفة باسم HealthDontCare وهي تنشر قاعدة بيانات healthcare.gov. يدعي الممثل أنه استغل العديد من نقاط الضعف للوصول إلى البيانات ويقدم قاعدة البيانات مجانًا حيث لم يتم دفع رسوم الابتزاز لممثل التهديد. تتضمن قاعدة البيانات معلومات التعريف الشخصية (PII) للمستخدمين، مثل الأسماء والعناوين وأرقام الهواتف وعناوين البريد الإلكتروني.
بيانات مكتب التحقيقات الفيدرالي (FBI) المصنفة المنشورة على المنتدى:
نشر ممثل تهديد مشهور يُعرف باسم كومي على المنتدى السري، مدعيًا أنه اخترق مكتب التحقيقات الفيدرالي (FBI) وحصل على بيانات مستخدم حساسة.
بيانات مسربة من وكالة الأمن القومي:
في 8 يوليو 2024، نشر ممثل تهديد معروف باسم Gostingr في منتدى سري، مدعيًا أنه يمتلك 1.4 غيغابايت من البيانات الحساسة التابعة لوكالة الأمن القومي (NSA) بالولايات المتحدة. تتضمن البيانات الأسماء الكاملة وعناوين البريد الإلكتروني وأرقام المكاتب وأرقام الخلايا الشخصية والمعلومات المصنفة. تدعي Gostingr أنها حصلت على البيانات من خلال اختراق شركة Acuity Inc.، وهي شركة تعمل مباشرة مع حكومة الولايات المتحدة وحلفائها.
خرق بيانات وزارة الخارجية في فلوريدا:
نشر ممثل التهديد المعروف باسم Hikki-chan على المنتدى السري، عرضًا لبيع قاعدة بيانات ضخمة يُزعم أنها تنتمي إلى وزارة خارجية فلوريدا (FDOS). يُزعم أن قاعدة البيانات تحتوي على أكثر من 17 مليون عنوان بريد إلكتروني فريد ومعلومات التعريف الشخصية (PII) لما يقرب من 5 ملايين فرد. تتضمن البيانات الأسماء الكاملة والمعرفات والعناوين وأرقام الهواتف والمزيد. بالإضافة إلى ذلك، يُقال إن قاعدة البيانات تحتوي على معلومات عن 83,211 منظمة مرتبطة بـ FDOS، بما في ذلك الأسماء القانونية وأسماء DBA وأرقام الهواتف وعناوين العمل ورسائل البريد الإلكتروني الخاصة بالعمل والمدن وتفاصيل أخرى.
وثائق ADT الداخلية المسربة في منتدى تحت الأرض:
في 8 يوليو 2024، قام ممثل التهديد المعروف باسم Abu_Al_Sahrif بتسريب وثائق داخلية تابعة لشركة ADT، وهي شركة أمنية أمريكية، في منتدى سري. تتضمن البيانات المسربة أكثر من 2400 ملف متعلق بالدعم الفني لشركة ADT وعملائها. ادعى نفس الفاعل في مجال التهديد أنه يمتلك مجموعة من الوثائق الداخلية التابعة لشركة Leidos، وهي شركة تكنولوجيا معلومات مقرها الولايات المتحدة. تتراوح تواريخ كلا التسريبين من 2020 إلى 2023.
بيع بطاقات الائتمان من الولايات المتحدة الأمريكية:
نشر مستخدم يدعى Staffyyyy على منتدى الويب المظلم عن بيع بطاقات الائتمان لمواطني الولايات المتحدة الأمريكية التي تم الحصول عليها من خلال الاستنشاق. تتضمن البيانات تفاصيل حساسة للغاية مثل CardNumber و CardExp و CardCVV ومعلومات حامل البطاقة (الاسم الأول والأخير والعنوان والمدينة والمنطقة والرمز البريدي والبلد) وحامل البطاقة IP والبريد الإلكتروني ورقم الهاتف ورقم الضمان الاجتماعي (SSN) وكلمة المرور وتفاصيل الشركة. لقد لاحظنا قيام جهات تهديد أخرى ببيع بيانات مماثلة عبر المنتديات والأسواق السرية، وغالبًا ما تستخدم بطاقات الائتمان المسروقة للمعاملات الاحتيالية وسرقة الهوية وعمليات الشراء غير المصرح بها.
بيع وصول RDP إلى المنظمات التي تتخذ من الولايات المتحدة مقراً لها المنشورة في منتدى تحت الأرض:
وقد لوحظ أن العديد من الجهات الفاعلة في مجال التهديد في المنتديات السرية تبيع الوصول إلى RDP (بروتوكول سطح المكتب البعيد) إلى العديد من الشركات التي تتخذ من الولايات المتحدة مقراً لها عبر قطاعات متعددة. تدعي هذه الجهات الفاعلة أنها اخترقت حسابات الإدارة المحلية أو العديد من المضيفين داخل المؤسسات وعادة ما تقدم هذا الوصول مقابل الدفع.
أهم نواقل الهجوم الأولي (IAVs) التي تم استغلالها من قبل الجهات الفاعلة في مجال التهديد:
في الأشهر الأخيرة، لوحظ أن الجهات الفاعلة في مجال التهديد تستغل العديد من نقاط الضعف والتشكيلات الخاطئة للوصول غير المصرح به إلى الأنظمة. فيما يلي بعض نواقل الهجوم الأولي الأكثر شيوعًا:
يُشتبه في أن مجموعة Salt Typhoon، التي ربما تكون مجموعة APT مدعومة من الحكومة الصينية تختلف عن APT41، تشارك في حملات تجسس تستهدف مزودي خدمة الإنترنت الأمريكيين، باستخدام تكتيكات معقدة مماثلة للأنشطة الإلكترونية الأخرى التي ترعاها الدولة الصينية.
يتضمن الدافع وراء حملة Salt Typhoon الصينية التجسس للوصول إلى البيانات الحساسة على شبكات ISP، والتأهب المسبق للاضطرابات السيبرانية المحتملة أثناء النزاعات (خاصة فيما يتعلق بتايوان)، وجمع المعلومات الاستخبارية حول البنية التحتية الحيوية للولايات المتحدة ونقاط الضعف في الدفاع السيبراني لاستغلالها في المستقبل.
ينصب التركيز الأساسي على مزودي خدمة الإنترنت المقيمين في الولايات المتحدة الذين يستخدمون برنامج Versa Networks، مع تأثيرات ثانوية محتملة على الوكالات الحكومية والمقاولين العسكريين ومستخدمي البنية التحتية الحيوية لمزودي خدمات الإنترنت هؤلاء. تستغل المجموعة الثغرات الأمنية في يوم الصفر في برامج إدارة شبكة ISP، وتحافظ على الوصول المستمر باستخدام الأبواب الخلفية، وتتحرك أفقيًا عبر الأنظمة المخترقة إلى أهداف عالية القيمة.
استهدفت مجموعات هاكتيفيست مثل الرسمي، ومصر المجهولة، والجيش السيبراني الروسي، وAlixsec، وUserSec، وفريق Dark Storm، جنبًا إلى جنب مع حلفائهم، بنشاط الولايات المتحدة. وتدافع العديد من هذه الجماعات عن مواقف مؤيدة للفلسطينيين ومؤيدة لروسيا وأجرت مجموعة من العمليات السيبرانية، بما في ذلك هجمات DDoS وتشويه مواقع الويب وتسريب قواعد البيانات التي تدعي أنها تنتمي إلى أهدافها. تركز مجموعات القرصنة هذه بشكل أساسي على الكيانات والمنظمات الحكومية التي لها علاقات مع روسيا وإسرائيل ولكنها لا تقصر هجماتها على قطاعات محددة، بل تستهدف بدلاً من ذلك صناعات مختلفة في جميع المجالات.
التأثير الاقتصادي: يمكن أن تؤدي الاضطرابات الناجمة عن الحوادث الإلكترونية إلى خسائر اقتصادية كبيرة للمنظمات والصناعات المتضررة.
في النظام المالي الحالي شديد الترابط، يمكن لمورد واحد مخترق أن يعرض أمن البنية التحتية المصرفية بأكملها للخطر. كشفت منصة Svigil التابعة لـ CloudSek عن بيانات اعتماد مكشوفة تنتمي إلى مزود اتصالات رئيسي تابع لجهة خارجية، مما يعرض الملايين من الائتمان التشغيلي وبيانات العملاء الحساسة والبنية التحتية السحابية الحيوية للخطر. لم يحبط هذا الاكتشاف في الوقت الفعلي اختراقًا واسع النطاق فحسب، بل سلط الضوء أيضًا على الفجوات الصارخة في ضوابط الوصول إلى السحابة وتنفيذ MFA والنظافة الأمنية للبائعين. تعمق في دراسة الحالة هذه لفهم كيف حولت Svigil كارثة إلكترونية محتملة إلى قصة المرونة والاستجابة السريعة.
يسلط هذا التقرير الاستشاري الضوء على الهجمات الأخيرة على البنوك الهندية، مع التركيز على اثنين من العوامل الرئيسية للهجوم: التوترات الجيوسياسية وسرقة أوراق الاعتماد وعمليات الاستحواذ على حسابات وسائل التواصل الاجتماعي.
في إندونيسيا، يستخدم المحتالون روبوتات Telegram لانتحال هوية العلامات التجارية للمحفظة الرقمية، والترويج لمخططات مكافآت الإحالة المزيفة. تخدع عمليات الاحتيال هذه المستخدمين لمشاركة تفاصيل حساباتهم، مما يؤدي إلى خسائر مالية كبيرة. اكتشف التفاصيل الكاملة وإجراءات الحماية في تقرير مدونة CloudSek الشامل.
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.