🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

التسلل إلى عالم القراصنة: كيف اخترقت فرق الأمن السيبراني مجموعة الفدية بلاك لوك

2–3 minutes

في تطور مثير في عالم الأمن السيبراني، تمكن فريق من صائدي التهديدات من اختراق البنية التحتية الإلكترونية المرتبطة بمجموعة الفدية المعروفة باسم بلاك لوك. هذا الاختراق أتاح لهم الكشف عن معلومات حيوية حول طريقة عمل هذه المجموعة.

تفاصيل الاختراق وسياقه

أعلنت شركة ريسيكيوريتي أنها اكتشفت ثغرة أمنية في موقع تسريب البيانات (DLS) الذي تديره مجموعة الجريمة الإلكترونية. هذه الثغرة سمحت باستخراج ملفات التكوين، وبيانات الاعتماد، بالإضافة إلى سجل الأوامر التي تم تنفيذها على الخادم.

تتعلق الثغرة بتكوين خاطئ في موقع تسريب البيانات لمجموعة بلاك لوك، مما أدى إلى الكشف عن عناوين IP على الشبكة العامة المرتبطة بالبنية التحتية الخاصة بهم خلف خدمات تور (TOR) المخفية.

أهمية اكتشاف هذه الثغرة

وصف التاريخ المكتسب للأوامر بأنه واحد من أكبر إخفاقات الأمان التشغيلي (OPSEC) لمجموعة بلاك لوك. الجدير بالذكر أن بلاك لوك هي نسخة مطورة من مجموعة فدية أخرى معروفة باسم إلدرادو. ومنذ ذلك الحين أصبحت واحدة من أكثر الجماعات نشاطًا في مجال الابتزاز في عام 2025، حيث تستهدف بشدة قطاعات التكنولوجيا، والتصنيع، والبناء، والمالية، والتجزئة.

حتى الشهر الماضي، أدرجت المجموعة 46 ضحية على موقعها. تقع المنظمات المتأثرة في بلدان متعددة مثل الأرجنتين، وأروبا، والبرازيل، وكندا، والكونغو، وكرواتيا، وبيرو، وفرنسا، وإيطاليا، وهولندا، وإسبانيا، والإمارات العربية المتحدة، والمملكة المتحدة، والولايات المتحدة.

آليات الهجوم وأهدافه

أطلقت المجموعة شبكة تابعة تحت الأرض في منتصف يناير 2025، كما لوحظ أنها تقوم بتجنيد أفراد لتوجيه الضحايا إلى صفحات ضارة تنشر برمجيات خبيثة قادرة على إنشاء وصول أولي إلى الأنظمة المخترقة.

الثغرة التي حددتها ريسيكيوريتي هي خلل في تضمين الملفات المحلية (LFI)، مما يخدع الخادم لكشف معلومات حساسة عن طريق تنفيذ هجوم اجتياز المسارات.

نتائج التحقيق وأثرها

  • استخدام برنامج (Rclone) لنقل البيانات إلى خدمة التخزين السحابي (MEGA)، وفي بعض الحالات، تم تثبيت عميل (MEGA) مباشرة على أنظمة الضحايا.
  • إنشاء المهاجمين لثمانية حسابات على (MEGA) باستخدام عناوين بريد إلكتروني مؤقتة عبر (YOPmail) لتخزين بيانات الضحايا.
  • كشف الهندسة العكسية للبرمجيات الخبيثة عن تشابه في الشيفرة المصدرية وملاحظات الفدية مع سلالة أخرى من الفدية تدعى (DragonForce).

التداعيات المستقبلية والأسئلة المثارة

في تطور مثير، تم تشويه موقع تسريب البيانات الخاص بـ بلاك لوك بواسطة (DragonForce)، مع تسريب ملفات التكوين والمحادثات الداخلية على صفحته الرئيسية. هذا يثير التساؤلات: هل بدأت بلاك لوك التعاون مع (DragonForce) أم أن المجموعة انتقلت بصمت إلى الإدارة الجديدة؟

يبقى السؤال الأهم: كيف ستتأثر مستقبل صناعة الأمن السيبراني بمثل هذه الحوادث؟ وهل سنشهد المزيد من التحالفات أو الانشقاقات بين مجموعات الفدية في المستقبل؟

تابعونا على X ولينكد إن للحصول على المزيد من المحتوى الحصري الذي ننشره.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة