شركة الاتصالات وخدمات الشبكات التي تتخذ من لندن مقرها كولت تحاول إعادة العديد من الخدمات التي تواجه العملاء عبر الإنترنت بعد تعرضها لهجوم إلكتروني تطالب به Warlock فدية عصابة.
يبدو أن الحادث ، الذي وصلت إلى قضية فنية في البداية ، قد بدأت يوم الثلاثاء 12 أغسطس في حوالي الساعة 11 صباحًا بتوقيت جرينتش ، عندما بدأ العملاء في الإبلاغ عن انقطاعهم إلى خدمتهم.
بعد ظهر يوم الخميس 14 أغسطس ، ذكرت كولت أنه في الواقع يستجيب لحادث الإنترنت في Colt Technology Services ، الذي أثر في المقام الأول على خدمات الدعم عبر الإنترنت Colt ومنصات API الصوتية.
“لقد اكتشفنا الحادث السيبراني على نظام داخلي. هذا النظام منفصل عن البنية التحتية لعملائنا. لقد اتخذنا تدابير وقائية فورية لضمان أمان عملائنا وزملاؤنا وأعمالنا ، وقمنا بإخطار السلطات ذات الصلة بشكل استباقي ،” وقالت المنظمة.
“إن إحدى تدابير الحماية لدينا تنطوي على أخذ بعض الأنظمة في وضع عدم الاتصال بشكل استباقي ، والتي أدت إلى تعطيل بعض خدمات الدعم التي نقدمها لعملائنا. يركز فريقنا الفني على استعادة الأنظمة المتأثرة ويعمل عن كثب مع خبراء الإنترنت من الطرف الثالث.”
في تحديث تم نشره يوم الجمعة 15 أغسطس ، قال كولت إن فرقها تواصل العمل على مدار الساعة لاستعادة الوصول إلى الأنظمة المتأثرة.
وقالت الشركة: “إننا نقدر أنه من المحبط عدم القدرة على استخدام بعض الأنظمة حاليًا ، بما في ذلك Colt Online ومنصة API الصوتي ، ونحن ممتنون لتفهمك”.
ينصح كولت العملاء بالاتصال عبر البريد الإلكتروني أو الهاتف إذا احتاجوا إليه ، ولكن يجب أن يكون المستخدمون على دراية بأن هناك بعض التأخير في الاستجابة.
مزاعم عصابة الفدية التي ضربت
لكل موقع أخبار الإنترنت كمبيوتر bleeping، تم المطالبة بسرعة الهجوم الإلكتروني على كولت من قبل مجموعة Warlock Ransomware ، التي نشرت تفاصيل عن اقتحامها على موقع تسرب الويب المظلم.
ادعى المتسلل الذي عرف نفسه بمقبض “CNKJASDFGD” ، أنه سرق أكثر من مليون مستندات فردية تحمل بيانات بما في ذلك العملاء والموظف والبيانات المالية ومعلومات عن هندسة الشبكة في كولت وتطوير البرمجيات.
من المفترض أن تبيع العصابة هذه المعلومات مقابل 200000 دولار (حوالي 147،500 جنيه إسترليني) ، والتي قد تكون مؤشرا على أن محاولتها لابتزاز كولت قد تم رفضها. هذا غير مؤكد.
الكتابة على منصة التواصل الاجتماعي Mastodon، اقترح باحث التهديد السيبراني كيفن بومونت أنه من المحتمل أن يتم خرق كولت عبر عيب تجاوز ميزة الأمان في خادم Microsoft SharePoint. الضعف المعني – CVE-2025-53770 -يتجاوز الإصلاح لخلل تنفيذ الرمز البعيد (RCE) الذي تم تسجيله مسبقًا ، وكان بحد ذاته موضوع إصلاح الطوارئ في يوليو.
يعمل CVE-2025-53770 من خلال تمكين المهاجم من سرقة مفاتيح التشفير من خوادم SharePoint غير المذهلة التي يتم استخدامها بعد ذلك لإنشاء طلبات ضارة لتحقيق RCE.
جنبا إلى جنب مع الضعف الثاني ، CVE-2025-53771، يشكل أساس سلسلة استغلال يشار إليها باسم Toolsell
حددت Microsoft وغيرها بشكل سريع استغلال وزارة الأدوات من قبل ممثلي التهديدات الصينية المدعومة من الدولة ، ولكن كما حذر من أن طاقم Warlock كان يستنشق أيضًا.
تريد لامبورغيني؟
أعلن Warlock ، وهو ممثل من رانسومواري مُعد حديثًا ، عن العالم في يونيو مع إعلان عن منتدى للجرائم السيبرانية الروسية بعنوان “إذا كنت تريد لامبورغيني ، يرجى الاتصال بي” ، وفقا للباحثين في هالسيون.
وقال هالسيون إن العصابة تدير نموذج أعمال مغلق على الطراز التابع ويبدو أنه لا يوجد لديه اتصال معروف بأي علامات تجارية سابقة.
ومع ذلك ، من خلال استغلالها لـ SharePoint ، قد يكون لها رابط لممثل تهديد مقره الصين يعرف باسم Storm-2603 كما يتضح من خلال استخدامها لسلسلة أدوات.
حتى الآن ، تم ربطه بحوالي 11 هجومًا إلكترونيًا ، وقد حصل على 19 في قطاعات تشمل الحكومة والتمويل والتصنيع والتكنولوجيا.
اتصلت Computer Weekly Colt للحصول على تعليق إضافي.
