الثلاثاء، 28 يونيو 2022 - 07:55 م

كشف تقرير حديث عن تفاصيل نتائج أبحاثها المتعلقة بالهجمة الإلكترونية ARMattack، التي تعتبر واحدة من أقصر الهجمات الإلكترونية وأكثرها نجاحاً لمجموعة القرصنة الإلكترونية كونتي الناطقة باللغة الروسية. 

ووفقا للتقرير الصادر عن مؤسسة «جروب-آي بي» العالمية المتخصصة في مجال الأمن الإلكتروني، والتي تتخذ من سنغافورة مقراً لها، فخلال أكثر من شهر بقليل، تسببت مجموعة القرصنة باختراق أكثر من 40 شركة حول العالم، وقد استغرق الهجوم الأسرع ثلاثة أيام فقط وفقاً للتقرير. 

هذا وفي غضون عامين، هاجمت المجموعة أكثر من 850 ضحية، بما في ذلك شركات وهيئات حكومية وحتى دول بأكملها. وتعمق التقرير في التاريخ والمعالم الرئيسية لواحدة من أكثر هجمات برامج الفدية عدوانية وتنظيماً في العالم. 

وتعتبر مجموعة كونتي من أنجح مجموعات القرصنة الإلكترونية التي تستخدم برمجيات الفدية لاستهداف الضحايا، وكانت العصابة قد برزت لأول مرة في فبراير 2020، عندما ظهرت ملفات خبيثة تحمل اللاحقة (.сonti) على رادار فريق البحث والاستقصاء لدى مجموعة «جروب آي-بي»، ومع ذلك، فإن الإصدارات التجريبية الأولية لبرمجيات الفدية التي تستخدمها المجموعة تعود إلى شهر نوفمبر من عام 2019.

ومنذ عام 2020، سيطرت مجموعة "كونتي" مع كل من مجموعة "ميز" (Maze) ومجموعة "إيغروغر" (Egregor) على مشهد الهجمات الخبيثة من حيث عدد الشركات التي تم اختراق وتشفير بياناتها، وفي العام 2020، نشرت مجموعة "كونتي" بيانات تخص 173 ضحية على موقع التسريب البيانات الخاص بها. ومع حلول نهاية عام 2021، تصدرت مجموعة كونتي مشهد الهجمات الخبيثة كواحدة من أكبر المجموعات وأكثرها عدوانية، لا سيما بعد نشرها لبيانات تخص 530 شركة على موقع تسريب البيانات الخاص بها.

وخلال أربعة أشهر فقط من عام 2022، نشرت المجموعة معلومات لـ 156 شركة، ليصبح المجموع 859 ضحية في غضون عامين، بما في ذلك 46 شركة خلال أبريل 2022. ويُعتقد أن العدد الفعلي للضحايا أعلى بكثير من هذه الأرقام. 

وعادةً ما تتسم هجمات مجموعة كونتي والجهات الخبيثة التابعة لها بالكثرة والسرعة. 

وقام خبراء «جروب-آي بي» بتحليل إحدى هجمات السريعة والأكثر إنتاجية للمجموعة، والتي حملت الاسم الرمزي (ARMattack). استمرت الهجمة ما يقرب من الشهر (في الفترة بين 17 نوفمبر لغاية 20 ديسمبر 2021)، إلا أنها تميزت بالفعالية والكفاءة العالية، حيث قام المهاجمون باستهداف أكثر من 40 شركة في مختلف أنحاء العالم. 

هذا وقد تم تنفيذ معظم الهجمات في الولايات المتحدة (37%)، إلا أن الحملة انتشرت أيضاً عبر مختلف أوروبا: ألمانيا (3%)، وسويسرا (2%)، وهولندا، وإسبانيا، وفرنسا، وجمهورية التشيك، والسويد، والدنمارك (1% لكل منهما)، كما هاجمت المجموعة شركات في كل من دولة الإمارات العربية المتحدة (2%) والهند (1%).

وكانت الصناعات الخمس الأولى التي استهدفتها مجموعة "كونتي" في معظم الأحيان هي التصنيع (14%)، والعقارات (11.1%)، والخدمات اللوجستية (8.2%)، والخدمات المهنية (7.1%)، والتجارة (5.5%). وبعد الوصول إلى البنية التحتية للشركة، يقوم المهاجمون بسحب مستندات معينة (غالباً بهدف تحديد الشركة التي يتعاملون معها) والبحث عن الملفات التي تحتوي على كلمات مرور (نص عادي ومشفّر). وبعد الحصول على جميع الامتيازات اللازمة والوصول إلى جميع الأجهزة التي يرغبون بالوصول إليها، يقوم القراصنة بنشر برامج الفدية على جميع الأجهزة وتشغيلها.