حددت شركة مايكروسوفت تصعيداً خطيراً في تكتيكات مجموعة الجرائم الإلكترونية ذات الدافع المالي، التي تُتعقب تحت الاسم "ستورم-1175". تقوم المجموعة الآن بتنفيذ حملات عالية السرعة تستغل كل من ثغرات "إن-داي" (المعلنة سابقاً) وثغرات "زيرو-داي" (المجهولة سابقاً) لنشر برنامج الفدية "ميدوسا". يمثل هذا التحول إلى استراتيجية قائمة على السرعة تطوراً خطراً، يمكن الفاعل التهديد من اختراق الأنظمة بسرعة قبل أن تتمكن الدفاعات من التحديث أو تطبيق التصحيحات الأمنية. يشير الإيقاع التشغيلي السريع إلى مجموعة منظمة للغاية تركز على تعظيم المكاسب المالية من خلال هجمات سريعة ومُعطلة.
يتمحور الجانب التقني لهذه الحملات حول استغلال العيوب البرمجية في مرحلتين حاسمتين. حيث يتم تسليح ثغرات "إن-داي" – وهي الثغرات المعروفة للجمهور والموجود لها تصحيح أمني – ضد المؤسسات التي تأخرت في تطبيق التحديثات. والأكثر إثارة للقلق، أن المجموعة تستغل أيضاً بنشاط ثغرات "زيرو-داي"، وهي عيوب غير معروفة سابقاً ولا يتوفر لها إصلاح. يسمح هذا النهج المزدوج لمجموعة ستورم-1175 بنشر شبكة هجوم واسعة، تستهدف كلاً من الأنظمة التي تتأخر في التصحيح والبيئات المحدثة بالكامل والتي تكون معرضة لهجمات جديدة. الهدف النهائي هو نشر برنامج الفدية "ميدوسا"، وهو برنامج ضار قوي لتشفير الملفات يحبس الضحايا خارج بياناتهم ويطالب بالدفع مقابل فك التشفير.
طبيعة العمليات "عالية السرعة" تمثل مصدر قلق رئيسي لمحترفي الأمن السيبراني. فهي تشير إلى أن مجموعة ستورم-1175 قد رشقت سلسلة هجومها، بدءاً من الاستغلال الأولي للثغرة وصولاً إلى نشر برنامج الفدية النهائي، لتعمل ضمن إطار زمني مضغوط للغاية. تقلل هذه السرعة من النافذة الزمنية المتاحة للمدافعين للكشف عن النشاط غير الطبيعي، وعزل الأنظمة المصابة، وتنفيذ استجابة فعالة. الدافع المالي للمجموعة هو ما يقود هذه الكفاءة، حيث أن الهجمات الأسرع يمكن أن تؤدي إلى إصابات ناجحة أكثر، وبالتالي مدفعات فدية أكثر، قبل أن يؤدي الكشف الواسع النطاق إلى إجراءات دفاعية منسقة.
للدفاع ضد مثل هذه التهديدات الرشيقة والعدوانية، يجب على المؤسسات إعطاء الأولوية لوضع أمني استباقي ومتعدد الطبقات. يتضمن ذلك تنفيذ عمليات صارمة لإدارة التصحيحات الأمنية لتقليل السطح الهجومي الذي تقدمه ثغرات "إن-داي". بنفس الأهمية، نشر حلول متقدمة للكشف عن التهديدات تستخدم تحليلات السلوك والكشف عن الشذوذ لتحديد النشاط المشبوه الذي يشير إلى استغلال ثغرات "زيرو-داي". تظل النسخ الاحتياطية المنتظمة والمعزولة للبيانات الحرجة هي الدفاع الأكثر فعالية ضد تأثير برنامج الفدية نفسه، مما يضمن إمكانية استمرارية التشغيل دون الاستسلام لمطالب الابتزاز. أنشطة مجموعة ستورم-1175 تذكرنا بكل وضوح بأن السرعة في جرائم الإنترنت الحديثة أصبحت سلاحاً، وأن المرونة تتطلب السرعة والدقة الشاملة في الدفاع.
