زعمت عصابة المتسللين الناطقة بالروسية والتي عرقلت مجموعات بريطانية مثل بريتيش إيرويز وبي بي سي أنها اختطفت بيانات حساسة من المزيد من المؤسسات بما في ذلك شركات الاستثمار في الولايات المتحدة والشركات المصنعة الأوروبية والجامعات الأمريكية.
المجموعة التي تطلق على نفسها اسم Clop ، بعد الكلمة الروسية للبق ، أضافت المجموعة الصناعية الألمانية هايدلبرغ ؛ شركة بوتنام للاستثمارات ، ومقرها كانساس ، بإدارة 168 مليار دولار ؛ و Leggett & Platt ، الشركة المصنعة التي تبلغ تكلفتها 4 مليارات دولار في ميسوري ، إلى قائمة الشركات التي تدعي أنها اخترقت.
وصلت ثماني شركات أخرى هذا الأسبوع إلى قائمة Clop على الويب المظلم. يضيف هذا إلى الأخبار الأسبوع الماضي أن مجموعات بريطانية ، بما في ذلك شركة Boots المملوكة لشركة Walgreens ، أبلغت الموظفين بأن بياناتهم قد تعرضت للاختراق. استهدفت هذه المشكلة ، التي تم الكشف عنها لأول مرة في 31 مايو ، عملاء Zellis ، وهو مزود كشوف المرتبات في المملكة المتحدة والذي يستخدمه حوالي نصف الشركات المدرجة في مؤشر FTSE 100.
قال كياران مارتن ، رئيس CyberCX UK الذي ساعد في تأسيس المركز الوطني للأمن السيبراني: “هذه حادثة سيئة جدًا وكبيرة جدًا”. “كانت هذه الشركات بحسن نية تستخدم خدمة تثق بها.”
تضغط مجموعة القرصنة من أجل الاتصال بالشركات المدرجة في القائمة ، وفقًا لمنشور على موقع Clop المظلم على الإنترنت ، حيث تطالب العصابة بفدية قال خبراء الأمن السيبراني والمفاوضون إنها قد تصل إلى عدة ملايين من الدولارات. يهدد Clop بنشر معلومات حساسة ما لم توافق الشركات على دفع مبالغ “كبيرة”.
رفض شخص يرد من حساب البريد الإلكتروني الخاص بكلوب التعليق.
من المحتمل إضافة المزيد من أسماء الشركات خلال الأيام القليلة القادمة. قال باحثون أمنيون إن Clop استغرق أسبوعين للكشف عن قائمة كاملة بالأسماء في حملة قرصنة سابقة. قام قراصنة Clop بتمييز أنفسهم عن غيرهم ، حيث اعتمدوا أساليب متطورة تتجاوز رسائل البريد الإلكتروني التي تحتوي على برامج ضارة.
استغل الاختراق الأخير نقطة ضعف في جزء “آمن” من برنامج نقل الملفات الذي تستخدمه مئات الشركات ، مما يسلط الضوء على ضعف الشركات في مواجهة الهجمات السيبرانية المعقدة التي تستهدف العيوب في سلسلة التوريد الخاصة بالبرامج.
قالت هايدلبرغ ، التي تصنع آلات للطباعة الجماعية ، إنها كانت على علم بالهجوم على نظامها ، والذي “تم التصدي له بسرعة وفعالية وبناء على تحليلنا لم يؤد إلى أي خرق للبيانات”.
ولم يستجب بوتنام وليجيت لطلبات التعليق.
قال المحققون إن Clop برز كمشغل لبرامج الفدية يتمتع بالخبرة الفنية والصبر الاستراتيجي.
قال جيريمي كينيلي ، الذي يدرس الجرائم المالية في شركة Mandiant للأمن السيبراني المملوكة لشركة Google: “لديهم مستوى من الفطنة التشغيلية غير مألوف”. في الوقت نفسه ، قال إن تكتيكاتهم تُظهر أن Clop يفهم كيف وأين تخزن الشركات بياناتها القيمة ، قبل سرقتها.
لا يُعرف سوى القليل عن Clop بخلاف كيفية عملها. يقول كينيلي وباحثون آخرون إن بعض التعليمات البرمجية والبيانات الوصفية الخاصة بهم تستخدم اللغة الروسية ، وغالبًا ما يتوقفون عن العمل خلال العطلات الأرثوذكسية الروسية ويتجنبون مهاجمة الدول الناطقة بالروسية.
تمكن قراصنة Clop خلال الأشهر الأخيرة من الوصول إلى البيانات الشخصية من خلال اقتحام MOVEit ، وهو برنامج لنقل الملفات صنعه مهندسون في Progress Software.
ثم انتظروا وقتهم ، وأمضوا شهورًا في التحقيق في الدفاعات السيبرانية للشركات المستهدفة التي تدفع بروجرس لتأمين بياناتها قبل مهاجمة العديد من الشركات في وقت واحد. تظهر بعض الأدلة أن Clop أجرى اختبارات قبل أشهر.
قامت شركة Progress Software ، وهي شركة أمريكية بقيمة 2.7 مليار دولار ، بإبلاغ العملاء في 31 مايو أنها اكتشفت نفس الضعف ، وأصدرت إصلاحًا طارئًا. ورفضت التعليق أكثر ، قائلة إنها تتعاون مع السلطات الأمريكية.
قال ستيفن أدير ، الرئيس التنفيذي لشركة Veloxity للأمن السيبراني ومقرها الولايات المتحدة ، والتي كانت تقوم بأعمال الاستجابة الأولية للعديد من عملائها: “كان أول (خرق) اكتشفناه في 27 مايو. “ولكن قد يكون هناك آخرون ربما تعرضوا للاستغلال من أجل الله يعلم كم من الوقت.”
هذه هي الحملة الثالثة المعروفة لـ Clop لتعقب البيانات المؤمنة للمنظمات. وقد أسفر اثنان في الماضي عن ملايين الدولارات ، حسب تقديرات الباحثين ، ولا تزال أسماء وبيانات أولئك الذين رفضوا الدفع – من بومباردييه إلى جامعة ستانفورد – متاحة على موقع التسريب المظلم على شبكة الإنترنت.
من المفترض أن طريقة عمل Clop الراسخة ، الملقبة بـ “الاختراق والتسريب” ، ترى أنها تحذف بيانات أولئك الذين يدفعون ، مع اختلاف سعر المعاملة حسب الشركة. تعتبر الملكية الفكرية من أكثرها قيمة ، في حين أن البيانات الشخصية غالبًا ما تعتبر الأقل قيمة.
قال دون سميث ، نائب رئيس Secureworks Counter Threat Unit ، وهي شركة للأمن السيبراني: “إنها رقصة مثيرة للاهتمام”. “إذا قاموا فجأة بإدراج ضحية وإلقاء بياناتهم ، فقد وضعوا أنفسهم في الزاوية. إنهم لم يعودوا يحصلون على أي أموال من تلك الضحية “.
