هذه العصابة CLOP تعتبر حاليا واحدة من أكثر مجموعات برمجيات الفدية انتشارا اليوم، والتي تعمل بنظام برمجيات الفدية كخدمة RaaS، وبالنسبة لـمجموعة TA505 هي مجموعة إجرامية إلكترونية روسية نشطة منذ عام 2014 على الأقل، وتشتهر هذه المجموعة بتغييرها المستمر للبرمجيات الخبيثة، مما يسهم في توزيع البرمجيات الخبيثة الإجرامية، وحملات برامج الفدية التي تشمل أيضا Clop.
فقط نلفت عناية القارئ الكريم، أن الفايروس له مسميان وهما CLOP وCL0P حيث الفرق بينهما أن الأول رقم صفر والآخر حرف O بالإنجليزية، وذلك بحسب الجهة المسمية لها.
ماهو برنامج نقل الملفات المدار MFT
يعد نقل الملفات المدار MFT منصة تقنية تستخدم ضوابط إدارية، وتدعم بروتوكولات الأمان مثل HTTPS وSFTP وFTPS، وقدرات أتمتة، لمساعدة الشركات على مشاركة أنواع مختلفة من البيانات داخل مكاتبها بأمان، بما في ذلك البيانات الحساسة أو المحمية بلوائح الامتثال، بالإضافة إلى البيانات الضخمة.
يتميز برنامج نقل الملفات المدار بالأمان والموثوقية وقابلية التوسع. فهو يتصل بسرعة بأنظمتك الداخلية وأنظمة العمل، وينقل البيانات بسرعة، ويحافظ على اتساق جميع البيانات.
إحصائيات غير مسبوقة
فيروس الفدية هذا كان مسؤولا عن أخطر هجمات السرقة الإلكترونية على نظام CLEO، فقد أصاب 154 ضحية بين 17 و23 شباط/فبراير 2025، ولكن الضربة الأكبر هي كانت في إصابة 362 ضحية بين 24 شباط/فبراير و2 آذار/مارس 2025، بمعنى أن هناك زيادة بنسبة 135% خلال أسبوع واحد، وهذا يعني أن الفايروس قد نفذ 214 هجوما في أسبوع وهو إنجاز غير مسبوق لم يحققه أي فيروس آخر، بما في ذلك فيروس Lockbit 3.0!
ثغرات في نظام نقل الملفات المدار
بدأت عصابة برمجيات الفدية CL0P بعمل حقن لغة الاستعلام الهيكلية SQL لثغرة لم تعرف سابقا CVE-2023-34362 لبرنامج نقل الملفات المدار MFT من شركة Progress Software، والمعروف باسم MOVEit Transfer بدءا من مايو/أيار 2023. وأبلغت عصابة برمجيات الفدية Clop موقع BleepingComputer المختص بشؤون أم المعلومات والحاسوب بأنها وراء هجمات سرقة بيانات MOVEit Transfer، حيث تم استغلال ثغرة أمنية تعرف باليوم الصفرية Zero-day لاختراق خوادم تخص مئات الشركات وسرقة بياناتها، وقد عمل هذا الفايروس أيضا على استغلال ثغرة أمنية CVE-2023-0669 على برنامج آخر وهو Go Anywhere MFT في نفس العام أيضا.
لم تتعلم الشركة من زميلتها، فقد قام نفس الفايروس بالكشف لنفس النظام CLEO في العام الماضي ثغرتان أمنيتان خطيرتان وهما CVE-2024-50623 وCVE-2024-55956، حيث مكنتا الفايروس من إحداث خروقات، وبالرغم من ذلك الحدث الأليم، لم تتعلم أيضا من مشكلتها، فقد أبلغ موقع FalconFeeds عن ثغرة جديدة حصلت للشركة شهر آذار/ماري الماضي، ولكنه لم يحدد اسم الثغرة.
عمل الفايروس ونتائجه المفجعة
آلية عمل استراتيجية الفايروس تتم على النحو التالي: الهجوم، السرقة، الابتزاز، ثم التكرار، وكانت النسبة الأكبر لهجماته من خلال الثغرة الجديدة الذي قام بها هذا الفايروس بحسب FalconFeeds، من نصيب الولايات المتحدة الأمريكية، حيث بلغت نسبة الهجمات عليها 71% من تلك الهجمات التي تمت على نظام CLEO، واما بالنسبة للجهات التي حصلت فيها كانت في مجالات التصنيع، والخدمات اللوجستية، وتجارة التجزئة، عدا عن جهات أخرى كالمستشفيات، والبنوك، وشركات عالمية أخرى حصلت معها، ومن خلال ما تم ورده فإنه لا أحد في أمان من أن لا يصله هذا الفايروس!!
درهم وقاية خير من قنطار علاج؟!
كثيرون يتسائلون عن الإجراءات في هكذا ظروف مع هذه الفايروسات، حيث يوصي خبراء أمن المعلومات بضرورة إصلاح أية ثغرات في الأنظمة المعمول به، من خلال التحديثات اللازمة عبر الإنترنت، أو بمعالجة البرمجيات من قبل مبرمجين في المنشأة، أو من قبل شركة مسؤولة عن هذه الأنظمة.
أيضا ضرورة مراقبة سجلات نقل الملفات بحثا عن أية إختراقات قد تحدث، وتطبيق مبدأ ما يعرف بـ”الثقة الصفرية Zero Trust ” والمصادقة متعددة العوامل MFA.
ضرورة متابعة نشاط الويب المظلم في حال ظهور بياناتك عليه، للعمل على بناء استراتيجية للتعامل مع هكذا وضع.
الخلاصة
باختصار بياناتك هي الهدف، وإن اعتمدت أن بياناتك ليست مهمة فأنت بالتأكيد واهم، وبالتالي أوقف هجمات فايروسات الفدية من خلال الإجراءات الواجب تطبيقها قبل أن تسقط في شباكها، وإلا فإن منشأتك ستصبح ليس فقط بياناتها تحت الاستغلال المسيء، بل أيضا سمعتك ستذهب في الحضيض، فتتهاوى أسهمك في السوق المالي وأمام منافسيك ويستغلون بالتالي وضعك، لأن مصيبتك أصبحت بفائدة عندهم، وبالتالي ستتآكل حصتك في السوق بحسب المثل القائل: “مصائب قوم عند قوم فوائد” !!
يبقى السؤال هنا هل هناك فايروس سيتجاوز ما قام به فايروس CLOP ونحن نشاهد بياناتنا تسرق سواء من قبله أو من قبل غيره؟!
المصادر: FalconFeeds.io ،attack.mitre.org ،cisa.gov ،imperva.com.
