مجموعتان إجراميتان جديدتان تحاكيان استراتيجية «سكاترز سبايدر» لسرقة البيانات والابتزاز

مجموعتان جديدتان تحاكيان استراتيجية «سكاترز سبايدر» لسرقة البيانات والابتزاز

كشفت شركة كراودسترايك عن ظهور مجموعتين جديدتين من المجرمين الإلكترونيين، تتبعان تنظيم «ذا كوم»، تستهدفان مؤسسات في قطاعات حيوية عبر هجمات سريعة لسرقة البيانات والابتزاز المالي. وتتبع الشركة هاتين المجموعتين تحت اسمي «كورديل سبايدر» و«سناركي سبايدر»، اللتين بدأتا نشاطهما منذ أكتوبر 2025 على الأقل.

وأوضح آدم مايرز، نائب رئيس قسم عمليات مكافحة Adversaries في كراودسترايك، أن المجموعتين تتكونان من متحدثين باللغة الإنجليزية بشكل أساسي، وتستهدفان مؤسسات أمريكية في قطاعات التعليم والطيران والتجزئة والضيافة والسيارات والخدمات المالية والقانون والتكنولوجيا.

الارتباط بتنظيم «ذا كوم»

أشار مايرز إلى أن هاتين المجموعتين ترتبطان ارتباطًا وثيقًا بمجموعة «سكاترز سبايدر»، كما أنهما متصلتان بمجموعات فرعية أخرى من «ذا كوم»، مثل SLSH وShinyHunters. وأضاف أن هذه المجموعات تمثل «موجة جديدة من مجرمي الإنترنت» الذين يستهدفون أنظمة الهوية، مما يجعل من الصعب تحديد عدد الضحايا بدقة بسبب انتشار البيانات المسروقة عبر بيئات SaaS المتصلة.

أساليب الهجوم: تصيد صوتية وهندسة اجتماعية

أفادت كراودسترايك أن المجموعتين تستخدم أساليب تصيد صوتية عبر المكالمات النصية والبريد الإلكتروني، مستهدفةً موظفي الضحايا عبر صفحات تصيد مزيفة تشبه بوابات تسجيل الدخول الموحدة (SSO) أو مقدمي الهوية الرئيسيين. وتعمل هذه الصفحات على سرقة بيانات الاعتماد أو مفاتيح الجلسات أو الرموز المميزة، مما يمنح المهاجمين وصولًا واسعًا إلى أنظمة الضحايا.

وأوضحت كراودسترايك أن المهاجمين يستغلون هذه الثغرات لإزالة أجهزة المصادقة الثنائية وإلغاء رسائل التحذير، مما يزيد من صعوبة اكتشاف الأنشطة المشبوهة. كما أشارت إلى أن عمليات سرقة البيانات والابتزاز تشترك في أوجه تشابه لافتة، إلا أن أساليب كل مجموعة تختلف في تفاصيلها، مثل ساعات العمل وأنظمة التشغيل المفضلة ومواقع تسريب البيانات والأدوات المستخدمة.

شبكات البروكسي السكنية: أداة لإخفاء الهوية

كشفت كراودسترايك أن المجموعتين تستخدمان شبكات بروكسي سكنية، مثل Mullvad وOxylabs وNetNut، لتجنب الكشف بناءً على عناوين IP. وتعمل هذه الشبكات على دمج حركة المرور المشبوهة مع حركة المرور الشرعية، مما يزيد من صعوبة تتبعها. وعلى الرغم من أن هذه الشبكات قد تستخدم لأغراض مشروعة، إلا أن الباحثين يحذرون من استخدامها في أنشطة إجرامية.

أرقام الابتزاز والدفع مقابل الصمت

لم تحدد كراودسترايك نطاق مطالبات الابتزاز، إلا أن باحثين سابقين من Palo Alto Networks' Unit 42 أشاروا إلى أن مجموعة «كورديل سبايدر» (المعروفة أيضًا باسم CL-CRI-1116 وUNC6671) تطلب通常 سبعة أرقام بالدولار كحد أدنى. كما أفادت كراودسترايك أن بعض الضحايا الذين لم يدفعوا مطالبات الابتزاز تعرضوا لهجمات DDoS، في حين استخدمت مجموعة «سناركي سبايدر» تكتيكات متطرفة مثل «سواتينغ» (إرسال قوات إنفاذ القانون إلى منازل الموظفين).

تحذيرات سابقة من هجمات مماثلة

جاءت تحذيرات كراودسترايك بعد أيام من نشر باحثي Palo Alto Networks' Unit 42 ومركز Retail Hospitality Information Sharing and Analysis Center تقارير عن هجمات مجموعة «كورديل سبايدر» المستهدفة لقطاع التجزئة والضيافة وغيرها من القطاعات.

نصائح للحماية

نصحت كراودسترايك المؤسسات باتخاذ إجراءات وقائية، مثل:

• تحديث أنظمة المصادقة الثنائية: التأكد من عدم إمكانية إزالة أجهزة المصادقة الثنائية أو تغييرها دون موافقة.
• مراقبة حركة المرور المشبوهة: استخدام أدوات تحليل الشبكة للكشف عن أنشطة البروكسي السكنية غير العادية.
• تدريب الموظفين: توعية الموظفين حول أساليب التصيد الحديثة وكيفية التعرف عليها.
• الاستجابة السريعة: إعداد خطط استجابة للحوادث تشمل إجراءات احتواء سريعة للحد من الأضرار.

وأكدت كراودسترايك أن هذه الهجمات تمثل تهديدًا متزايدًا، خاصة مع تزايد اعتماد المؤسسات على البيئات السحابية وأنظمة الهوية المتصلة.