كشفت تقارير أمنية حديثة عن نشاط متصاعد لمجموعة قرصنة إلكترونية تُعرف باسم “Blockade Spider”، وهي مجموعة إجرامية مدفوعة بدوافع مالية، تنفذ هجمات فدية متطورة منذ أبريل 2024. وتعتمد هذه المجموعة على تقنيات “العبور بين الأنظمة” (Cross-Domain Techniques) لاختراق الشبكات، حيث تستغل الأنظمة غير المُدارة كنقطة دخول أولى، ثم تنتقل بشكل جانبي إلى البنى التحتية الافتراضية لتشفير الملفات عن بُعد باستخدام برنامج الفدية المعروف باسم “Embargo”.
كيف تنفذ المجموعة هجماتها؟
وفقًا لتقرير صادر عن شركة الأمن السيبراني “CrowdStrike”، تبدأ الهجمات عادةً باختراق أنظمة غير خاضعة للإدارة، تليها عملية تفريغ بيانات الاعتماد (Credentials Dumping) التي تتيح للمهاجمين التنقل داخل الشبكة. بعد ذلك، يتم استهداف البنية التحتية الافتراضية، حيث تُشفّر الملفات باستخدام برنامج Embargo، ما يؤدي إلى شلل تام في الأنظمة المستهدفة. وتُعد هذه الاستراتيجية فعالة بشكل خاص في تجاوز أنظمة الكشف التقليدية، مما يمنح المهاجمين وقتًا أطول لتنفيذ عملياتهم دون اكتشاف.
استهداف السحابة والتحايل على المصادقة متعددة العوامل
من بين أبرز الحوادث التي وثقتها “CrowdStrike”، قيام المجموعة بإضافة حسابات مخترقة إلى مجموعة Active Directory تُعرف باسم “No MFA”، ما يسمح لهم بتجاوز آليات المصادقة متعددة العوامل (MFA) بسهولة. هذا التكتيك يُظهر قدرة المجموعة على التلاعب بالبنية الأمنية الداخلية للمؤسسات، ويعكس مستوى عالٍ من الاحترافية في تنفيذ الهجمات. كما أظهرت المجموعة قدرة على استهداف البيئات السحابية، ما يوسع من نطاق تهديداتها ليشمل البنى التحتية الحديثة التي تعتمد عليها الشركات بشكل متزايد.
Embargo: أداة التشفير المفضلة لعنكبوت الحصار
يعتمد “Blockade Spider” على برنامج الفدية Embargo كأداة رئيسية لتحقيق أرباحه، حيث يتم استخدامه لتشفير البيانات الحساسة وابتزاز الضحايا مقابل فدية مالية. ويُعتقد أن المجموعة تجمع أيضًا بيانات حساسة خلال الهجمات، ما يضاعف من حجم التهديد ويزيد من احتمالية تسريب المعلومات في حال عدم دفع الفدية. ويُعد هذا النوع من الهجمات مثالًا صارخًا على تطور أساليب الجريمة الإلكترونية، وضرورة تعزيز الدفاعات الأمنية، خاصة في البيئات الافتراضية والسحابية.
