شركة الأمن السيبراني تخترق تسريبات عصابة الفدية الإلكترونية

أجرت شركة الأمن السيبراني Resecurity عملية جريئة ضد الجريمة الإلكترونية من خلال اختراق برنامج الفدية BlackLock، وتسلل إلى أنظمته لجمع المعلومات الرئيسية، التي قامت بمشاركتها بعد ذلك مع الوكالات الوطنية لمساعدة الضحايا.

أفادت ITPro سابقا بأن فيروس الفدية BlackLock شهد زيادة بنسبة 1,425% خلال عام 2024 لأنه استخدم برامج الفدية المخصصة وطرق الابتزاز المزدوج. يظهر فيروس الفدية BlackLock دلائل على أنه سيسيطر على هجمات الفدية خلال عام 2025 وفقاً لتوقعات الخبراء.

اكتشفت Resecurity خلل في تكوين موقع تسريب البيانات الخاص بـ BlackLock الذي يعتمد على TOR خلال فترة العطلات في عام 2024. كشف الثغرة الأمنية لـ BlackLock عنوان الـ IP الدقيق لخوادم الشبكة المفتوحة التي استضافت بنية التحتية الخاصة بهم.

من خلال ثغرة تضمين الملف المحلي (LFI)، حصلت Resecurity على الوصول إلى بيانات الخادم التي تضمنت ملفات التكوين وبيانات الاعتماد. أوضحت الشركة أن Resecurity قضت العديد من الساعات في إجراء هجمات الكشف عن الهاش ضد حسابات الأطراف المهددة.

تصف هجمات فك تشفير الهاش عملية محاولة الاستعادة أو فك التشفير لكلمات المرور المشفرة أو البيانات. تحول عملية التجزئة كلمات المرور النصية العادية إلى سلسلة محددة الطول من الأحرف من خلال خوارزميات التشفير.

الغرض من الهاشات يجعلها مستحيلة العكس بحيث يكون من الصعب على المهاجمين اكتشاف الكلمة المرور الأصلية من شكلها المشفر. استخدم فريق Resecurity طرق فك تشفير الهاش للوصول إلى حسابات BlackLock، مما مكنهم من السيطرة على بنيتهم التحتية.

تم استرداد معلومات تاريخ أوامر مشغلي BlackLock من خلال جهود جمع البيانات التي قادتها Resecurity. كشف الحادث الأمني عن بيانات الاعتماد المنسوخة التي أظهرت نقطة ضعف أمنية تشغيلية حرجة.

استخدم مشغل BlackLock “$$$” كلمة المرور نفسها في جميع حساباتهم المدارة وبالتالي كشف المزيد من المعلومات حول عمليات الفريق. من خلال بحثها، اكتشفت Resecurity أن BlackLock يعتمد على خدمة Mega لمشاركة الملفات لتنفيذ نشاطاتها في سرقة البيانات.

كانت المجموعة الإجرامية تدير ثمان حسابات بريد إلكتروني للوصول إلى منصة Mega حيث كانوا يستخدمون كل من تطبيق العميل وأداة rclone لنقل البيانات المسروقة من أجهزة الضحايا إلى DLS الخاصة بهم من خلال Mega.

كانت المنظمة الإجرامية تستخدم أحياناً برنامج عميل Mega لسرقة البيانات من أجهزة الضحايا لأنه كان يوفر طريقة أقل كشفًا للنفاذ.

كان الهدف مزود خدمات قانونية فرنسي تم تصنيفه كرئيسي. من خلال الوصول لشبكتهم، اكتسبت Resecurity معرفة عمليات تسريب البيانات المرتقبة من BlackLock، مما سمح لهم بإعلام CERT-FR و ANSSI قبل أن تصبح البيانات عامة بيومين، كما لاحظته The Register.

من خلال مشاركتها في المعلومات مع المركز الكندي لأمن السايبر، قدمت Resecurity تحذيرًا لضحية كندية بخصوص تسريب بياناتها والذي حدث قبل 13 يوما، كما ذكرت The Register.

من خلال التحذيرات المبكرة من Resecurity حول الهجمات، حصل الضحايا على وقت كافٍ لتطوير التدابير الدفاعية المناسبة. أكدت الشركة على ضرورة اتخاذ التدابير النشطة لتعطيل العمليات الإجرامية السيبرانية على مستوى العالم.

تكشف المعلومات المتاحة أن BlackLock تعمل من منتديات روسية وصينية وتتبع قواعد لتجنب استهداف دول BRICS و CIS وتستخدم عناوين IP من هذه الدول لحساباتها في Mega.

من خلال أفعالها، توضح Resecurity كيف تنجح العمليات الأمنية السيبرانية الهجومية في محاربة هجمات الفدية لحماية الضحايا المحتملين من الأذى.