MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

Ransomware gangs are exploiting unpatched SimpleHelp flaws to hit utility billing customers



عصابات الفدية تستغل ثغرات SimpleHelp وتنشر Fog وLockBit في موجة هجمات عالمية


شهد الأسبوع الثاني من يونيو 2025 استمرار الهجمات السيبرانية المركزة على مزودي الخدمات والبنية التحتية من خلال أدوات وتحالفات جديدة. إليكم ملخصًا لأبرز ما حدث:

تهديد الأسبوع: هجمات ابتزاز مزدوج تستهدف SimpleHelp

أعلنت وكالة CISA أن مجموعات فدية استغلت ثغرات غير مرقعة في برنامج التحكم عن بُعد SimpleHelp للوصول إلى مزودي خدمة الفوترة والانتقال لعملائهم. أبرز الثغرات هي CVE-2024-57727 وتسمح بتنفيذ أوامر عن بُعد.

الهجمات اعتمدت على استهداف النسخ 5.5.7 وما قبل، وأوصت الوكالة بعزل الخوادم، إبلاغ العملاء، إجراء عمليات تفتيش داخلية، والامتناع عن دفع الفدية لتفادي تمويل المزيد من الأنشطة الإجرامية.

هجوم Fog: فدية مع أدوات مراقبة شرعية

كشفت Symantec عن هجوم Fog Ransomware استهدف مؤسسة مالية في آسيا باستخدام أدوات مفتوحة المصدر مثل GC2 وStowaway، بالإضافة إلى برنامج شرعي لمراقبة الموظفين يُدعى Syteca.

الهجوم تميز بنقل البيانات إلى خوادم خارجية، تشغيل الفدية لاحقًا بعد أسبوعين من النشاط، واستخدام طرق متقدمة للتخفي والبقاء في الشبكة، مما يثير الشكوك بأن الهدف قد يكون تجسسًا وليس مالياً فقط.

تسريب LockBit يكشف عن تركيز على الصين

أظهر تسريب لوحة التحكم لمجموعة LockBit أنها ربحت 2.3 مليون دولار خلال 6 أشهر، واستهدفت بشكل كبير دولًا مثل الصين، تايوان، البرازيل وتركيا. هذا مخالف لمجموعات أخرى مثل Conti التي تتجنب الصين.

LockBit أعلنت مكافأة لمن يبلغ عن "xoxo from Prague"، الشخص الذي سرب البيانات، كما بدأت تطوير LockBit 5.0 بعد انتقال شركاء من RansomHub إليها.

أبرز الثغرات المستغلة

  • CVE-2024-57727 – ثغرة تنفيذ أوامر في SimpleHelp
  • CVE-2024-21762 وCVE-2024-55591 – استغلالات في Fortinet من قبل مجموعة Qilin
  • CVE-2024-57727 – استُخدمت أيضًا في هجمات DragonForce على MSPs

نصيحة الأسبوع

إذا كنت تدير أدوات RMM أو VPN، فاحرص على عزلها عن الإنترنت وتحديثها فورًا. لا تكتفِ بالمراقبة التقليدية — افحص السجلات السحابية وابحث عن أنشطة تنكرية مثل تغيير إعدادات الأمان أو تحميل أدوات جديدة.

خلاصة المقال

هجمات الفدية لم تعد مجرد تشفير وطلب فدية، بل أصبحت أدوات لاختراق الشبكات والبقاء فيها لأهداف متعددة، من التجسس وحتى التخريب البطيء. تعزيز الحماية، التحديث المستمر، والاستجابة السريعة أصبحت ضرورة أمنية لا يمكن تأجيلها.