تقوم جهة تهديد متطورة، تتعقبها مجموعة تحليل التهديدات (TAG) التابعة لجوجل تحت اسم Storm-1175، باستغلال الثغرات الموجودة في تطبيقات الويب العامة بنشاط لنشر برامج الفدية ضد منظمات في قطاعي الرعاية الصحية والخدمات عبر الولايات المتحدة والمملكة المتحدة وأستراليا. تمثل هذه الحملة تصعيدًا كبيرًا في استهداف البنية التحتية الحرجة، حيث تستغل عيوبًا شائعة في خوادم الويب كنقطة دخول أساسية. بمجرد الحصول على الوصول الأولي، يتحرك المهاجمون بشكل جانبي عبر الشبكات، ويسرقون البيانات الحساسة، وينتهي بهم المطاف بنشر برامج فدية تشفر الملفات لشل العمليات وابتزاز المدفوعات. يمثل هذا التهديد المزدوج المتمثل في سرقة البيانات والتشفير ضغطًا أقصى على المنظمات الضحية، خاصة في الصناعات الحساسة للوقت مثل الرعاية الصحية حيث تكون استمرارية العمليات أمرًا بالغ الأهمية.
يركز ناقل الاختراق الأولي للمهاجمين على خوادم الويب غير المصححة أو ذات التهيئة الخاطئة، وغالبًا ما يستهدف ثغرات محددة في منصات مثل Confluence وGitLab وLaravel. تستخدم Storm-1175 شفرات استغلال متاحة للعامة، وأتمتة عملية المسح والاستغلال لنشر شبكة واسعة. بعد الاختراق الناجح، تستخدم المجموعة مزيجًا من تقنيات "العيش على الأرض" والنصوص البرمجية المخصصة لإثبات الاستمرارية، وتعطيل أدوات الأمان، وإجراء الاستطلاع. الحمولة النهائية هي عادةً نوع من برامج الفدية المعروفة، مثل LockBit أو Babuk، والتي يتم نشرها لتشفير الملفات عبر الشبكة. تظهر تكتيكات المجموعة فهمًا واضحًا لتجنب دفاعات الشبكة، مما يجعل الكشف والتخفيف أمرًا صعبًا على الكيانات المستهدفة.
إن التركيز على الرعاية الصحية والخدمات المهنية مثير للقلق بشكل خاص. تدير مؤسسات الرعاية الصحية كميات هائلة من معلومات الصحة الشخصية الحساسة (PHI) وغالبًا ما تكون تحت ضغط هائل لاستعادة الأنظمة بسرعة لضمان سلامة المرضى، مما يجعلها أهدافًا مربحة لمشغلي برامج الفدية. وبالمثل، تحتفظ شركات الخدمات المهنية ببيانات العملاء السرية والملكية الفكرية والسجلات المالية. يمكن أن يؤدي الهجوم الذي يعطل عملياتها إلى أضرار تعاقدية وسمعية شديدة. يشير الانتشار الجغرافي عبر الولايات المتحدة والمملكة المتحدة وأستراليا إلى حملة استراتيجية تستهدف الدول الناطقة باللغة الإنجليزية ذات الاقتصادات الرقمية القوية، حيث يُنظر إلى إمكانية دفع فديات عالية على أنها أكبر.
يجب على المنظمات إعطاء الأولوية لأصولها المواجهة للإنترنت كخط دفاع أول حاسم. تشمل الإجراءات الفورية تطبيق التصحيحات الأمنية لجميع تطبيقات وخوادم الويب دون تأخير، وتنفيذ جدران حماية تطبيقات الويب (WAF) القوية، وفرض تجزئة صارمة للشبكة للحد من الحركة الجانبية. تظل النسخ الاحتياطية الشاملة غير المتصلة بالإنترنت للبيانات الحرجة أداة الاسترداد الأكثر فعالية ضد برامج الفدية. علاوة على ذلك، يجب على فرق الأمان مراقبة حركة مرور الشبكة غير الطبيعية، خاصة الاتصالات الصادرة غير المتوقعة التي قد تشير إلى سرقة البيانات، وإجراء تدريبات منتظمة للتوعية الأمنية لمنع الهجمات القائمة على بيانات الاعتماد التي غالبًا ما تتبع الوصول الأولي. يعد التعاون مع مراكز تحليل ومشاركة المعلومات في القطاع (ISACs) أمرًا حيويًا أيضًا للبقاء على اطلاع بأحدث مؤشرات التهديد والتكتيكات التي تستخدمها مجموعات مثل Storm-1175.
