شهر حسب الشهر ، وعدد فدية ارتفعت الهجمات بنسبة 50 ٪ من يناير 2025 إلى فبراير ، وأقل قليلاً من 40 ٪ منها يعزى إلى طاقم CLOP/CL0P ، وفقًا لأحدث شهرية لمجموعة NCC Group تقرير نبض التهديد.
خلال الأسابيع الأربعة من 1 إلى 28 فبراير ، لاحظت NCC 886 هجمات فدية ، ارتفاعًا من 590 في يناير و 403 هذا الوقت من العام الماضي. وقالت إن شريحة كلوب من الكعكة كانت عالية “بشكل غير عادي” كنتيجة مباشرة لتسمية الكتلة والغضب من الضحايا التي تعرضت للخطر عبر زوج من مآثر الصفر في اليوم الصفر في حزمة برامج نقل ملفات Cleo.
كما يعلم المراقبين الإجراميين السيبرانيين ، تشتهر عصابة Clop بالبحث عن خدمات نقل الملفات واستغلالها ، بعد أن قامت بتنظيم الاختراق الشامل للمستخدمين MOVEIT لبرنامج Progress الخدمة مرة أخرى في عام 2023 – الذي كان له تأثير مماثل في ذلك الوقت.
ومع ذلك ، قال NCC ، من المعروف أيضًا أن CLOP تبالغ في مطالباتها بجذب المزيد من الاهتمام ، لذلك على الرغم من أنه لا يوجد شك في أنه ممثل تهديد عدواني للغاية ، فقد تم التلاعب بالأرقام.
ومع ذلك ، فاقت العصابة بشكل كبير أقرب منافسيها ، حيث تدير Ransomhub 87 هجومًا ، Akira 77 ولعب 43.
وقال مات هول رئيس الاستخبارات في NCC: “بلغت أرقام ضحايا Ransomware مستويات قياسية في فبراير ، وارتفعت بنسبة 50 ٪ مقارنةً بنسبة يناير 2025 ، حيث قادت CL0P هذه التهمة”. “على عكس عمليات الفدية التقليدية ، لم يكن نشاط CL0P حول تشفير أنظمة – كان يتعلق بسرقة البيانات على نطاق واسع.
“من خلال استغلال نقاط الضعف غير المستقرة في برامج نقل الملفات المستخدمة على نطاق واسع ، مثلما رأينا مع MoveIt و Goanywhere ، تمكنوا من التخلص من المعلومات الحساسة وسيبدأون الآن في الضغط على الضحايا للدفع. هذا التحول نحو سرقة البيانات والابتزاز أصبح الإستراتيجية المتواصلة لمجموعات السدود ، مما يسمح لهم باستهداف المزيد من المنظمات وزيادة الرافعة الخاصة بهم على الضحايا”.
تم تنظيم هجمات Clop’s Cleo من خلال نقاط الضعف والتعرضات الشائعة (CVES) التي تم تتبعها كـ CVE-2024-50623 و CVE-2024-55956.
يتيح أولى هذه التحميل من الملفات الضارة إلى خادم مما يمكن تنفيذه للحصول على تنفيذ رمز عن بعد (RCE). تنشأ هذه المشكلة من خلال التعامل غير المناسب لتحميل الملفات في دليل Autorun الذي يمكن استغلاله عن طريق إرسال طلب مصنوع لاسترداد الملفات أو لتحميل البيانات الضارة.
تتيح الثانية RCE من خلال Autorun ، مما يسمح للمستخدمين غير المصححين باستيراد وتنفيذ أوامر Bash أو PowerShell التعسفية على المضيف باستخدام الإعدادات الافتراضية لدليل Autorun. يمكّن الخلل أيضًا المهاجم من نشر خلفيات Java Modular لسرقة البيانات والتحرك بشكل جانبي.
تتوفر التصحيحات لكليهما ، ولكن وفقًا لـ NCC ، تظل العديد من المؤسسات التي تستخدم Cleo ضعيفة مع التحديثات المتأخرة أو التخفيفات غير الكافية.
وسط الفوضى السياسية ، يركز الممثلون على التهديد على الولايات المتحدة
كان من الجدير بالذكر في بيانات NCC هذا الشهر مدى تأثير هجمات الفدية على الأهداف في الولايات المتحدة – حيث تمثل أمريكا الشمالية 65 ٪ من الحوادث المرصودة مقارنة مع 18 ٪ في أوروبا و 7 ٪ في آسيا.
في نوفمبر الماضي ، NCC تقرير نبض التهديد تم الإبلاغ عن إحصائيات مماثلة ونسبت أحجام الهجوم العالي إلى المشهد الجيوسياسي الفوضوي.
يبدو أن هذا الاتجاه يتجمع فقط منذ أن عاد الرئيس ترامب إلى البيت الأبيض في يناير 2025 ، مما يؤدي في وقت واحد إلى زيادة الضغط على إيران للحد من طموحاتها النووية والتسبب في انهيار كبير في العلاقات بين الولايات المتحدة وأوكرانيا ، إلى جانب ذوبانها في المواقف في النظام الروسي.
وقالت NCC إنها شهدت “فرصًا” كبيرة للجهات الفاعلة في كل من إيران وروسيا للاستفادة من السياسة الأمريكية المتغيرة بسرعة-في قضية إيران ، اقترح أن طهران قد يوسع قدراتها الإلكترونية المدعومة من الدولة والبحث عن روابط وثيقة مع الصين ؛ أثناء تواجدك في أوروبا ، قد يخفف النظام الإيكولوجي الإجرامي الإلكتروني الناطقين بالروسية من ضحاياهم من الولايات المتحدة إذا استمر الذوبان.
ولكن في الوقت الحالي ، تستمر عصابات الفدية الناطقة بالروسية في إطراء أهداف الولايات المتحدة ، وعلى المدى القصير ، قالت NCC إنها شهدت مخاوف كبيرة بشأن وجود التخفيضات الحكومية الدرامية تنفذها وزارة الكفاءة الحكومية (دوج). شهدت هذه الجهود التي يطلق عليها القلة التكنولوجية ، التي قام بها ترامب جزئياً كهجوم على الإنفاق المهدر من قبل واشنطن العاصمة ، بقيادة القلة التقنية إيلون موسك ، النار على الآلاف من العاملين في الحكومة.
وقالت NCC إن الجهات الفاعلة التهديد التي تحظى بالدوافع المالي والجغرافية كانت تتطلع على الأرجح للاستفادة من الالتباس والتعطيل الذي أدى على الأرجح إلى انحراف كبير عن المعايير والعمليات السيبرانية الطبيعية في الحكومة الفيدرالية. يزيد الإجهاد وعدم اليقين من المخاطر من الهجمات التخريبية ويؤدي إلى تهديدات من الداخل.
بشكل مثير للقلق ، أعطى موظف دوج يبلغ من العمر 19 عامًا وصول رفيع المستوى إلى أنظمة تكنولوجيا المعلومات الحكومية الحساسة وجد أيضًا أنه عضو سابق في شبكة إجرامية إلكترونية تُعرف باسم COM.
لاحظت NCC أن لجنة مجلس النواب الأمريكية للرقابة والإصلاح الحكومي كانت لديها دعا إلى وقف أنشطة دوج وحذر من “تجاهل متهور لممارسات الأمن السيبراني الحرجة”.
