🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
استخبارات الخصم
2
mins read

فشل التفاوض: تحليل بيانات تسرب 440 جيجابايت من Fortinet Sharepoint

في 12 سبتمبر 2024، وجدت XviGil من CloudSek أن ممثل التهديد «Fortibitch» يسرب 440 جيجابايت من البيانات من SharePoint الخاص بـ Fortinet بعد عملية ابتزاز فاشلة. في حين أن استخدام برامج الفدية غير واضح، ذكر الممثل المجموعة الأوكرانية DC8044، ولكن لم يتم تأكيد أي رابط مباشر. يُعتقد بثقة متوسطة أن الممثل موجود في أوكرانيا.

كلاودسك ترياد
September 17, 2024
Green Alert
Last Update posted on
August 21, 2025
المراقبة الاستباقية للويب المظلم لمؤسستك.

يمكنك مراقبة مؤسستك والدفاع عنها بشكل استباقي ضد التهديدات من الويب المظلم باستخدام CloudSek xviGil.

Schedule a Demo
Table of Contents
Author(s)
No items found.

الفئة: استخبارات الخصم | الصناعة: تكنولوجيا المعلومات والتكنولوجيا | التحفيز: المالية | المنطقة: الولايات المتحدة الأمريكية/أمريكا الشمالية | المصدر: A1

ملخص تنفيذي

في 12 سبتمبر 2024، اكتشفت منصة xviGil التابعة لشركة CloudSek عامل تهديد يُدعى «Fortibitch» يسرب 440 جيجابايت من البيانات التي يُزعم أنها سُرقت من مستودع SharePoint الخاص بـ Fortinet. حاول الممثل ابتزاز الشركة، ولكن بعد مفاوضات غير ناجحة، أصدر البيانات. من المستبعد جدًا أن يتم استخدام برنامج الفدية في الاختراق. أشارت «Fortibitch» إلى مجموعة القرصنة الأوكرانية DC8044، على الرغم من عدم وجود اتصال مباشر بينهما. استنادًا إلى المعلومات المتاحة، يُعتقد بثقة متوسطة أن ممثل التهديد يقع في أوكرانيا.

تم تحديث هذه المدونة الآن بعد تحليل البيانات المسربة للتأثير، يرجى الرجوع إلى قسم التحليل

التحليل والإسناد

معلومات من البريد

  • وفي 12 أيلول/سبتمبر 2024, كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشف عامل تهديد يحمل لقب «Fortibitch» الذي سرب 440 غيغابايت من البيانات التي يُزعم أنها تم حصادها من مستودع Sharepoint الخاص بـ Fortigate.

ممثل التهديد ينشر 440 غيغابايت من البيانات التي تم تسريبها من مستودع Sharepoint التابع لـ Fortinet في منتدى القرصنة

  • ذكر الممثل في المنشور أنه حاول التفاوض مع قيادة الشركة المتضررة، ولكن دون نجاح. كجزء من استراتيجية الابتزاز الخاصة بهم، قاموا الآن بتسريب البيانات التي تم تسريبها من Fortinet. يشير ممثل التهديد إلى عمليتي الاستحواذ من قبل Fortinet؛ Next DLP و Lacework، اللتان تعملان في قطاعي منع فقدان البيانات والأمن السحابي على التوالي.
  • ليس من الواضح ما إذا كانت خوادم Fortinet قد أصيبت بفيروس الفدية أم لا، نظرًا لأن ممثل التهديد الذي نشر البيانات لم يذكر استخدام برامج الفدية.
  • ذكر ممثل التهديد بضع مجموعات في الموضوع، وأكثرها إثارة للاهتمام هي DC8044، وهي مجموعة قرصنة محلية مقرها أوكرانيا. لقد تعاون ممثل التهديد «Fortitch» مع DC8044 في الماضي. DC8044 وسائل التواصل الاجتماعي: بعض النصوص
    • https://x.com/dc8044_cr3w
    • https://t.me/DC8044
  • لا توجد روابط مباشرة بين «Fortitch» و DC8044، لكن النغمة تشير إلى وجود تاريخ بين الاثنين. استنادًا إلى المعلومات المتاحة، يمكننا التأكد بثقة متوسطة من أن الفاعل المهدد يقع خارج أوكرانيا.
  • هناك قدر لا بأس به من الاحتمالات بأن البيانات التي تم الحصول عليها من Fortinet لم تكن حرجة بطبيعتها. إذا كان الأمر كذلك، لكان الفاعل المهدد قد حاول بيع البيانات للمشترين المهتمين. ومع ذلك، لم نلاحظ أي سلاسل مبيعات تتعلق بنفس الشيء. تحقيقنا مستمر.
  • تتضمن البيانات المسربة موارد الموظفين، والمستندات المالية، ووثائق الموارد البشرية من الهند، وعروض المنتجات، والمبيعات الأمريكية، والخدمات المهنية ووثائق التسويق، بالإضافة إلى معلومات العملاء. تشير حساسية البيانات ومحتوياتها إلى أن هذا قد تم تسريبه بالفعل من خادم SharePoint التابع لـ Fortinet.

فيما يلي نظرة عامة مفصلة حول نوع البيانات التي يمكن الوصول إليها:

  • تنبيهات EDR ومعلومات لوحة المعلومات: التنبيهات الداخلية المتعلقة بالبيئات المختلفة، المستضافة على لوحة معلومات يمكن الوصول إليها محليًا مرتبطة بـ EnSilo. في أيدي المهاجمين، توفر هذه المعلومات رؤية لاكتشاف التهديدات الداخلية للمؤسسة والاستجابة لها، مما قد يسمح لهم بفهم نقاط الضعف وتجاوز الدفاعات.
  • تفاصيل مجلس مكافحة الاحتيال: معلومات حول أعضاء وقواعد مبادرة الأمن السيبراني. يمكن استغلال ذلك لاستهداف الأفراد المشاركين في جهود مكافحة الاحتيال.
  • اتفاقيات عدم الإفشاء التي وقعها العميل: عقود واتفاقيات العميل السرية. يمكن للمهاجم استخدام هذه المعلومات القانونية والتجارية الحساسة للابتزاز أو الاحتيال أو الإضرار بالسمعة.
  • التقاط الحزم: يتم التقاط حزم الشبكة من البيئات الداخلية. يمكن أن يسمح ذلك للمهاجمين بتحليل حركة المرور وتحديد الثغرات الأمنية وإطلاق هجمات مستهدفة استنادًا إلى بيانات الشبكة.
  • مخططات الشبكة والتكوينات: مخططات هيكل الشبكة التفصيلية وتكوينات جدار الحماية والسجلات والنسخ الاحتياطية. توفر هذه البيانات نظرة ثاقبة على بنية الشبكة وإعدادات الأمان، مما يسهل على المهاجمين تحديد نقاط الدخول والتكوينات الخاطئة وتخطيط الحركة الجانبية.
  • RCA (تحليل السبب الجذري) وتقارير الحوادث: تقارير مفصلة لما بعد الحادث تحدد نقاط الضعف والحوادث الأمنية. يمكن للمهاجمين الاستفادة من هذه المعلومات لاستغلال نقاط الضعف المعروفة أو إعادة استهداف نقاط ضعف محددة لم يتم تخفيفها بالكامل.
  • مقالب البريد الإلكتروني الداخلية: الوصول إلى رسائل البريد الإلكتروني الداخلية. يمكن أن يوفر ذلك للمهاجمين اتصالات حساسة، مما يعطي نظرة ثاقبة للعمليات الداخلية، وفرص التصيد الاحتيالي المحتملة، ونقاط دخول إضافية لمزيد من التسوية

نشاط وتصنيف الجهات الفاعلة في مجال التهديد

Threat Actor Profiling
Active since SEP 2024
Reputation 0 [Joined the forum just to post this leak]
Current Status ACTIVE
History The user has been working as a black hat, focused on extortion after data exfiltration.
Rating Medium

المراجع

الملحق

البيانات التي تم تسريبها من مستودع Sharepoint الخاص بـ Fortinet
تم تسريب عينات من بيانات العملاء من SharePoint الخاص بـ Fortinet

Author

كلاودسك ترياد

قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

Predict Cyber threats against your organization

Schedule a Demo
Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

CloudSEK XVigil

Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.

Learn more about XVigil
CloudSEK SVigil

Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.

Learn more about SVigil
CloudSEK SVigil

Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.

Learn more about BeVigil Ent
CloudSEK BeVigil

Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.

Learn more about BeVigil
تسريبات البيانات

فشل التفاوض: تحليل بيانات تسرب 440 جيجابايت من Fortinet Sharepoint

في 12 سبتمبر 2024، وجدت XviGil من CloudSek أن ممثل التهديد «Fortibitch» يسرب 440 جيجابايت من البيانات من SharePoint الخاص بـ Fortinet بعد عملية ابتزاز فاشلة. في حين أن استخدام برامج الفدية غير واضح، ذكر الممثل المجموعة الأوكرانية DC8044، ولكن لم يتم تأكيد أي رابط مباشر. يُعتقد بثقة متوسطة أن الممثل موجود في أوكرانيا.
September 17, 2024
2
min
Table of Content
Example H2

الفئة: استخبارات الخصم | الصناعة: تكنولوجيا المعلومات والتكنولوجيا | التحفيز: المالية | المنطقة: الولايات المتحدة الأمريكية/أمريكا الشمالية | المصدر: A1

ملخص تنفيذي

في 12 سبتمبر 2024، اكتشفت منصة xviGil التابعة لشركة CloudSek عامل تهديد يُدعى «Fortibitch» يسرب 440 جيجابايت من البيانات التي يُزعم أنها سُرقت من مستودع SharePoint الخاص بـ Fortinet. حاول الممثل ابتزاز الشركة، ولكن بعد مفاوضات غير ناجحة، أصدر البيانات. من المستبعد جدًا أن يتم استخدام برنامج الفدية في الاختراق. أشارت «Fortibitch» إلى مجموعة القرصنة الأوكرانية DC8044، على الرغم من عدم وجود اتصال مباشر بينهما. استنادًا إلى المعلومات المتاحة، يُعتقد بثقة متوسطة أن ممثل التهديد يقع في أوكرانيا.

تم تحديث هذه المدونة الآن بعد تحليل البيانات المسربة للتأثير، يرجى الرجوع إلى قسم التحليل

التحليل والإسناد

معلومات من البريد

  • وفي 12 أيلول/سبتمبر 2024, كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشف عامل تهديد يحمل لقب «Fortibitch» الذي سرب 440 غيغابايت من البيانات التي يُزعم أنها تم حصادها من مستودع Sharepoint الخاص بـ Fortigate.

ممثل التهديد ينشر 440 غيغابايت من البيانات التي تم تسريبها من مستودع Sharepoint التابع لـ Fortinet في منتدى القرصنة

  • ذكر الممثل في المنشور أنه حاول التفاوض مع قيادة الشركة المتضررة، ولكن دون نجاح. كجزء من استراتيجية الابتزاز الخاصة بهم، قاموا الآن بتسريب البيانات التي تم تسريبها من Fortinet. يشير ممثل التهديد إلى عمليتي الاستحواذ من قبل Fortinet؛ Next DLP و Lacework، اللتان تعملان في قطاعي منع فقدان البيانات والأمن السحابي على التوالي.
  • ليس من الواضح ما إذا كانت خوادم Fortinet قد أصيبت بفيروس الفدية أم لا، نظرًا لأن ممثل التهديد الذي نشر البيانات لم يذكر استخدام برامج الفدية.
  • ذكر ممثل التهديد بضع مجموعات في الموضوع، وأكثرها إثارة للاهتمام هي DC8044، وهي مجموعة قرصنة محلية مقرها أوكرانيا. لقد تعاون ممثل التهديد «Fortitch» مع DC8044 في الماضي. DC8044 وسائل التواصل الاجتماعي: بعض النصوص
    • https://x.com/dc8044_cr3w
    • https://t.me/DC8044
  • لا توجد روابط مباشرة بين «Fortitch» و DC8044، لكن النغمة تشير إلى وجود تاريخ بين الاثنين. استنادًا إلى المعلومات المتاحة، يمكننا التأكد بثقة متوسطة من أن الفاعل المهدد يقع خارج أوكرانيا.
  • هناك قدر لا بأس به من الاحتمالات بأن البيانات التي تم الحصول عليها من Fortinet لم تكن حرجة بطبيعتها. إذا كان الأمر كذلك، لكان الفاعل المهدد قد حاول بيع البيانات للمشترين المهتمين. ومع ذلك، لم نلاحظ أي سلاسل مبيعات تتعلق بنفس الشيء. تحقيقنا مستمر.
  • تتضمن البيانات المسربة موارد الموظفين، والمستندات المالية، ووثائق الموارد البشرية من الهند، وعروض المنتجات، والمبيعات الأمريكية، والخدمات المهنية ووثائق التسويق، بالإضافة إلى معلومات العملاء. تشير حساسية البيانات ومحتوياتها إلى أن هذا قد تم تسريبه بالفعل من خادم SharePoint التابع لـ Fortinet.

فيما يلي نظرة عامة مفصلة حول نوع البيانات التي يمكن الوصول إليها:

  • تنبيهات EDR ومعلومات لوحة المعلومات: التنبيهات الداخلية المتعلقة بالبيئات المختلفة، المستضافة على لوحة معلومات يمكن الوصول إليها محليًا مرتبطة بـ EnSilo. في أيدي المهاجمين، توفر هذه المعلومات رؤية لاكتشاف التهديدات الداخلية للمؤسسة والاستجابة لها، مما قد يسمح لهم بفهم نقاط الضعف وتجاوز الدفاعات.
  • تفاصيل مجلس مكافحة الاحتيال: معلومات حول أعضاء وقواعد مبادرة الأمن السيبراني. يمكن استغلال ذلك لاستهداف الأفراد المشاركين في جهود مكافحة الاحتيال.
  • اتفاقيات عدم الإفشاء التي وقعها العميل: عقود واتفاقيات العميل السرية. يمكن للمهاجم استخدام هذه المعلومات القانونية والتجارية الحساسة للابتزاز أو الاحتيال أو الإضرار بالسمعة.
  • التقاط الحزم: يتم التقاط حزم الشبكة من البيئات الداخلية. يمكن أن يسمح ذلك للمهاجمين بتحليل حركة المرور وتحديد الثغرات الأمنية وإطلاق هجمات مستهدفة استنادًا إلى بيانات الشبكة.
  • مخططات الشبكة والتكوينات: مخططات هيكل الشبكة التفصيلية وتكوينات جدار الحماية والسجلات والنسخ الاحتياطية. توفر هذه البيانات نظرة ثاقبة على بنية الشبكة وإعدادات الأمان، مما يسهل على المهاجمين تحديد نقاط الدخول والتكوينات الخاطئة وتخطيط الحركة الجانبية.
  • RCA (تحليل السبب الجذري) وتقارير الحوادث: تقارير مفصلة لما بعد الحادث تحدد نقاط الضعف والحوادث الأمنية. يمكن للمهاجمين الاستفادة من هذه المعلومات لاستغلال نقاط الضعف المعروفة أو إعادة استهداف نقاط ضعف محددة لم يتم تخفيفها بالكامل.
  • مقالب البريد الإلكتروني الداخلية: الوصول إلى رسائل البريد الإلكتروني الداخلية. يمكن أن يوفر ذلك للمهاجمين اتصالات حساسة، مما يعطي نظرة ثاقبة للعمليات الداخلية، وفرص التصيد الاحتيالي المحتملة، ونقاط دخول إضافية لمزيد من التسوية

نشاط وتصنيف الجهات الفاعلة في مجال التهديد

Threat Actor Profiling
Active since SEP 2024
Reputation 0 [Joined the forum just to post this leak]
Current Status ACTIVE
History The user has been working as a black hat, focused on extortion after data exfiltration.
Rating Medium

المراجع

الملحق

البيانات التي تم تسريبها من مستودع Sharepoint الخاص بـ Fortinet
تم تسريب عينات من بيانات العملاء من SharePoint الخاص بـ Fortinet

كلاودسك ترياد
قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

Related Blogs

No items found.
December 23, 2024
12
min
تسريبات بيانات ساعي البريد: المخاطر الخفية الكامنة في مساحات العمل الخاصة بك
Read more
قصص نجاح CloudSek
April 15, 2025
4
min
تقوم واجهة برمجة التطبيقات غير المحمية بتسريب بيانات سرية لـ 33,000 سجل موظف - Bevigil يدق ناقوس الخطر
Read more
قصص نجاح CloudSek
May 5, 2025
6
min
قبل وصول الحزم: كيف قامت Svigil بحماية أكثر من 375 ألف متسوق من كارثة تسرب البيانات
Read more