Warlock ، عصابة الجريمة الإلكترونية الناشئة التي تدعي ذلك عقد بيانات مزود خدمات الشبكة والاتصالات في المملكة المتحدة إلى Ransomيبدو أنه قد ضرب العديد من الضحايا الآخرين في الأسابيع القليلة الماضية ، وقد ظهر.
هذا وفقًا للبيانات المقدمة من خلال المصدر المفتوح Ransomlook.io خدمة المعلومات ، التي تتتبع حاليًا 475 عصابة Ransomware عبر مئات من منتديات الويب والأسواق والقنوات الأخرى. وقد ادعى Warlock ما مجموعه 22 ضحية جديدة منذ 16 أغسطس ، وفقًا للبيانات.
إلى جانب كولت ، تشمل هذه الشركات الأخرى ، بما في ذلك مشغل الهواتف المحمولة Orange ، والتي أكدت اليوم (20 أغسطس) هجومًا إلكترونيًا تؤثر على الشركة التابعة البلجيكية وأبلغ الشهر الماضي عن حادثة أمنية كبيرة في وطنها ، فرنسا.
في بيان ، قالت أورانج إنها اكتشفت هجومًا إلكترونيًا على أنظمة تكنولوجيا المعلومات الخاصة به مما أدى إلى الوصول الجنائي إلى البيانات على 850،000 عميل. لم يزعم عدم وجود بيانات اعتماد أو عناوين البريد الإلكتروني أو التفاصيل المصرفية أو المالية ، ولكن كانت المعلومات بما في ذلك الأسماء وأرقام بطاقات الهاتف وبطاقات SIM وبيانات خطة التعريفة الجمركية ورموز مفتاح فتح الشخصية (PUK).
يعد حل وسط رموز PUK مصدر قلق عاجل بشكل خاص ، حيث تم تصميم هذه الأرقام المكونة من ثمانية أرقام كإجراء أمان لحماية بطاقات SIM من الاستخدام غير المصرح به إذا قفل المستخدم بطريق الخطأ.
وقال متحدث باسم “أورانج بلجيكا”: “بمجرد اكتشاف الحادث ، منعت فرقنا الوصول إلى النظام المتأثر وشد تدابيرنا الأمنية. كما نبهت أورانج بلجيكا السلطات المختصة وقدمت شكوى رسمية إلى السلطات القضائية”.
كولت تقليص
كولت ، في الوقت نفسه ، لا يزال يحسب تأثير هجوم وارلوك مع استمرار تحقيقه. أكدت المؤسسة اليوم أنها حددت أن بعض بيانات العميل قد سُرقت ، وأن تحديد الطبيعة الدقيقة لهذه البيانات هو أولويتها الحالية.
حاليًا غير متوفرة هي بوابة عملاء Colt Online ، وواجهات برمجة تطبيقات استضافة الأرقام (APIs) ، وبوابة Colt on Network-As-As-Service ، وأي قدرة على الطلب أو تقديم خدمات جديدة ، والعديد من العمليات الآلية والأنظمة الآلية التي تركز على العملاء غير المعلنة.
وقال متحدث باسم كولت: “نود أن نطمئنك إلى أن هذا الحادث السيبراني يقتصر على أنظمة دعم الأعمال لدينا ، والتي يتم فصلها بدقة عن البنية التحتية لعملائنا ، مما يضمن عدم مشاركة أنظمة المصادقة بين البيئتين”. “نحن نعمل على مدار الساعة لاستعادة أنظمتنا. من السابق لأوانه إعطاء جدول زمني دقيق في الوقت الحالي ، لكننا سنقدم تحديثات منتظمة لإطلاعك”.
وفقا لقطات الشاشة حصل Warlock على محلل الأمن المستقل Kevin Beaumont ، وسوف يتسرب Warlock من بيانات كولت خلال الأسبوع المقبل إذا فشلت محاولتها بيع مجموعة البيانات.
SharePoint Vulns وراء صعود Warlock
وفقًا لخبراء أمان Microsoft ، استغل Warlock نقاط الضعف في خادم SharePoint – خادم SharePoint – المعروف مجتمعة باسم Toolsellالتي تم اكتشافها في يوليو و مصححة بسرعة في ذلك الوقت وسط تحذيرات من استخدام سلسلة الاستغلال الناتجة بواسطة جواسيس الدولة الصينية.
وفقًا للبيانات التي تم الحصول عليها من قبل منفذ الأخبار الأمنية السيبرانية مستقبل مسجل بموجب قانون حرية المعلومات في المملكة المتحدة (FOIA) ، كان مكتب مفوض المعلومات (ICO) على دراية بثلاث حالات من انتهاكات البيانات الشخصية الناشئة عن استغلال منصة الأدوات اعتبارًا من 28 يوليو. ومع ذلك ، فإن استخدام Toolsell لا يشير بالضرورة إلى مشاركة Warlock.
في أثناء، كشف الباحثون الجزئيون في الاتجاه كيف تجسد حملة Warlock السرعة التي يمكن من خلالها ممثلي التهديدات سلاح نقاط الضعف في المؤسسات للأنشطة ذات التأثير العالي.
“من خلال استغلال نقاط الضعف في SharePoint ، تمكن المهاجمون من تجاوز المصادقة ، وتحقيق تنفيذ الكود البعيد [RCE]وقال فريق الاتجاه الصغير:
وصف Trend Micro سلسلة هجمات معقدة وفعالة من خلالها تستخدم Warlock من خلالها طلبات نشر HTTP المستهدفة لتحميل WebShells إلى خوادم شريعة عرضية ، ثم تصعيد هجماتها من خلال إساءة استخدام سياسة المجموعة ، وسرقة الاعتماد ، والحركة الجانبية مع كل من أدوات Windows الشرعية ، والبيانات المخصصة ، في نهاية المطاف ، يتم توزيعها على البيانات. exfiltrated باستخدام rclone.
وقال تريند إنه يبدو أن البرامج الضارة الخزفية الخاصة بها مشتق مخصص لباني Lockbit 3.0 الذي تم تسريبه ، مشيرًا إلى كيف تطورت Warlock في فترة زمنية قصيرة بشكل ملحوظ إلى تهديد عالمي سريع النمو مع تبنيها المتحمس لمادة الأدوات التي تحدد المرحلة للحملات المستقبلية الأكثر سلامة.
وأضاف الفريق: “يسلط هذا الهجوم من طرف إلى طرف الضوء على مخاطر تأخر الترقيع وأهمية الدفاع الطبقات”.
