أصدرت السلطات الفيدرالية الأمريكية تحذيراً مشتركاً من مخاطر الأمن السيبراني بشأن عصابة فيروس الفدية – ميدوسا، التي استهدفت أكثر من 300 مؤسسة من مؤسسات البنية التحتية الحيوية.وذكر التحذير المشترك بشأن الأمن السيبراني أنه بدءاً من شباط-2025، تسبب فيروس الفدية “ميدوسا” بالضرر لأكثر من 300 ضحية من مختلف قطاعات البنية التحتية الحيوية.
أصدر مكتب التحقيقات الفيدرالي (FBI)، ووكالة الأمن السيبراني وأمن البنية التحتية (CISA)، ومركز تبادل وتحليل المعلومات (MS-ISAC) التحذير بشكل مشترك.وسرد التحذير تكتيكات “ميدوسا” وتقنياتها وإجراءاتها (TTPs) ومؤشرات الاختراق (IOCs)، وأوصى بإجراءات تخفيفية لمساعدة المؤسسات على منع هجمات برنامج الفدية التي تشنها المجموعة.
كيف يعمل فيروس الفدية – ميدوسا ؟
تستخدم حملة فيروس الفدية – ميدوسا ، برامج خبيثة لتعطيل، بل وحتى حذف، منتجات الكشف عن نقاط النهاية والاستجابة(EDR) على شبكات المؤسسات المستهدفة. وفقاً لبحث جديد أجرته مختبرات Elastic Security Labs، فإنه يتم استخدام برنامج التشغيل الخبيث، المسمى ABYSSWORKER، مع خدمة HeartCrypt لتوزيع برامج الفدية Medusa. ويبدو أن برنامج التشغيل المذكور كان جزءاً من حملة احتيال أخرى على دعم تكنولوجيا المعلومات باستخدام Microsoft Teams.
في هجمات Medusa ransomware، تبين أن برنامج التشغيل الخبيث يُقلّد برنامج تشغيل CrowdStrike Falcon ، ويستخدم شهادات رقمية من شركات أخرى ليُظهر نفسه كبرنامج شرعي. بدا أن جميع العينات مُوقّعة باستخدام شهادات يُحتمل أنها مسروقة وملغاة من شركات صينية. هذه الشهادات معروفة على نطاق واسع ومُشتركة عبر عينات وحملات برامج ضارة مختلفة، ولكنها ليست خاصة بهذا البرنامج تحديدداً.
على الرغم من إلغائها، لا تزال شهادات توقيع الشيفرة تلك، فعّالة ضد البرامج الخبيثة. ولأن برامج التشغيل تتمتع بإمكانية الوصول إلى نواة النظام، فإن أنظمة التشغيل مثل Windows ستظل تسمح بتحميل بعض برامج التشغيل ذات الشهادات الملغاة، لأن حظرها قد يؤثر سلباً على الأداء ويؤدي إلى تعطل النظام.
وبالتالي فإن تثبيت وتشغيل بعض برامج التشغيل التي تحتوي على شهادات قديمة” في سلسلة شهاداتها ينتج عن طريقة تحقق Windows من صحة توقيعات برامج التشغيل. كما أن هناك تقنيات تسمح للجهات الفاعلة في مجال التهديدات بتغيير تواريخ توقيع الشهادات، مما يجعل الشهادات منتهية الصلاحية أو الملغاة تبدو صالحة، وقد يكون ذلك عاملاً في هذه الأنواع من الهجمات.
ونتيجة لذلك، أصبحت برامج التشغيل أدوات اختراق شائعة بشكل متزايد في السنوات الأخيرة. فهي توفر للمهاجمين وصولاً إلى نواة النظام، بحيث يمكنها تنفيذ إجراءات مثل إنهاء عمليات EDR ومنتجات الأمان الأخرى. يمكن للجهات الفاعلة في مجال التهديدات تطوير برامج تشغيل ضارة خاصة بها أو المشاركة في الهجمات التي تستغل فيها خللًا في برنامج تشغيل شرعي ليستخدم بعدها في أنشطة ضارة.
مخاطر فيروس الفدية – ميدوسا
تم اكتشاف فيروس الفدية – ميدوسا، لأول مرة عام 2021، وهي برمجيات فدية كخدمة (RaaS) تستخدم أساليب شائعة مثل التصيد الاحتيالي واستغلال الثغرات الأمنية. بدأت في البداية كبرمجيات فدية تقليدية، لكنها اعتمدت لاحقاً نموذج التسويق بالعمولة، حيث ينشر المسوقون بالعمولة برمجيات ميدوسا الخبيثة ويحصلون على عمولات تتراوح بين 70% و80% بعد دفع الضحايا للفدية. تتراوح مبالغ الفدية التي تطلبها ميدوسا بين 100,000 و15 مليون دولار، ولكنها تتجاوز أحياناً 40 مليون دولار،
في غضون عامين، اكتسبت هذه العصابة الإلكترونية سمعة سيئة باستهدافها العديد من المؤسسات حول العالم. وبحلول كانون الأول-2024، كان فيروس الفدية – ميدوسا ، قد أثر على أكثر من 300 مؤسسة للبنية التحتية الحيوية. في كانون الثاني- 2025، احتلت مجموعة برامج الفدية المرتبة التاسعة وفقًا لمجموعة NCC، ومثلت 9% من جميع هجمات برامج الفدية التي أبلغ عنها في عام 2024.
تشمل مؤسسات البنية التحتية الحيوية المستهدفة بهجمات برامج الفدية Medusa القطاعات الطبية والتعليمية والقانونية وشركات التأمين والتكنولوجيا والتصنيع. ولا تزال البنية التحتية الحيوية هدفاً رئيساً للجهات الفاعلة في مجال التهديد نظراً لتأثيرها البالغ على الحياة اليومية وهو ما يضغط على الحكومات والمؤسسات لدفع الفدية لتجنب حدوث اضطرابات واسعة النطاق. من أبرز ضحايا برامج الفدية التي أعلنت العصابة مسؤوليتها عنها: مدينة في كولورادو، ومركز صحي في نبراسكا، ومطبعة سي بي آي بوكس البريطانية،
تكتيك معقد واستغلال الثغرات الأمنية
يستخدم فيروس الفدية – ميدوسا، أساليب ابتزاز مزدوجة من خلال تشفير الأجهزة والتهديد بتسريب معلومات حساسة عبر الانترنت لإجبار الضحايا على دفع الفدية. في إحدى الحالات، طالب المجرمون السيبرانيون بدفعة إضافية قدرها نصف الفدية لتوفير “فك تشفير حقيقي”، مدّعيةً أن مفاوض الفدية قد هرب بالمبلغ المدفوع، مما يُشير إلى ابتزاز ثلاثي. من الواضح أن مُشغّلي برامج الفدية، مثل ميدوسا، يركزون على كسب النفوذ لابتزاز المؤسسات، مما يجعل كيانات البنية التحتية الحيوية أهدافاً رئيسة نظراً لحرصهم الشديد على الحفاظ على استمرارية الخدمات.
وتجند “عصابة ميدوسا” وسطاء الوصول الأولي (IAB) من منتديات القرصنة السرية للحصول على الوصول الأولي، وتدفع لهم ما بين 100 ومليون دولار أمريكي للعمل حصرياً لصالحهم. كما تستخدم حملات التصيد الاحتيالي كطريقة رئيسية للحصول على بيانات اعتماد المستخدم للوصول إلى مؤسسات البنية التحتية الحيوية واختراقها.
وبالمثل، تستغل الجماعة ثغرات برمجية غير مُرقعة، مثل ثغرة CVE-2024-1709 وثغرة CVE-2023-48788 لاختراق مؤسسات البنية التحتية الحيوية. بعد الوصول، تستخدم ميدوسا أدوات برمجية متنوعة مثل AnyDesk وAtera وConnectWise وSimpleHelp ، بالإضافة إلى خدمات Windows مثل بروتوكول سطح المكتب البعيد (RDP) وPsExec.
يستخدم مشغلو عصابة برامج الفدية أيضًا برنامج Rclone لاستخراج البيانات إلى مخدمات القيادة والتحكم (C2) التي يتحكم بها الجهات الضارة التي تقف خلف فيروس الفدية – ميدوسا، ويستخدمون أيضاً برامج Sysinternals PsExec لنشر برنامج التشفير gaze.exe. أثناء عملية التشفير، يُعطِّل برنامج Medusa برنامج Windows Defender وبرامج مكافحة الفيروسات الأخرى، ويُنهي جميع خدمات النسخ الاحتياطي والاتصالات ومواقع الويب ومشاركة الملفات، ويحذف النسخ الاحتياطية لجعل عملية الاسترداد دون دفع فدية شبه مستحيلة.
أحيانًا، يُوقف Medusa الأجهزة الافتراضية ويُشفِّرها، ثم يحذف أدواتها المُثبَّتة. تُشفِّر عصابة برامج الفدية الملفات باستخدام خوارزمية تشفير AES-256، وتُرفق امتداد الملف .medusa. صُمِّمت عملية تشفير Medusa لإحداث أقصى قدر من التعطيل التشغيلي. يُمكن لبرنامج الفدية إنهاء أكثر من 200 نظام ويندوز . وأخيراً، تُرسل عصابة برامج الفدية طلب فدية يطلب التواصل خلال 48 ساعة عبر الدردشة المباشرة عبر متصفح Tor، أو Tox، أو منصة مراسلة فورية مشفرة (end to end).
و إذا لم يستجب الضحية، تتواصل معه العصابة عبر الهاتف أو البريد الإلكتروني. وفي الوقت نفسه، تنشر العصابة طلبات فدية على موقع تسريب بيانات .onion مع عناوين عملات مشفرة ومؤقت تنازلي يُظهر الوقت المتبقي قبل نشر البيانات المسروقة على الانترنت. على التوازي مع ما سبق، تُعلن Medusa عن البيانات المسروقة للبيع، وتُتيح للضحية فرصة تمديد الموعد النهائي ليوم واحد مقابل دفع 10,000 دولار.
تخفيف مخاطر فيروس الفدية – ميدوسا
نصح مكتب التحقيقات الفيدرالي (FBI)، ووكالة الأمن السيبراني والبنية التحتية (CISA)، ومركز أمن المعلومات (MS-ISAC) مؤسسات البنية التحتية الحيوية بتطبيق إجراءات تخفيفية مُوصى بها لمنع هجمات Medusa الخبيثة وأهمها تصحيح ثغرات أنظمة التشغيل والبرامج والبرامج الثابتة في غضون فترة زمنية معقولة لمنع استغلالها. بالإضافة إلى ذلك، ينبغي على مؤسسات البنية التحتية الحيوية تطبيق تجزئة الشبكة للحد من انتقال الفيروس في حال اختراق جهة تهديد جهازاً متصلًا بالشبكة. كما ينبغي حظر الاتصالات من عناوين IP غير معروفة ومناطق غير معروفة من خلال تطبيق تصفية الشبكة.
كما تشمل التدابير الأخرى تمكين المصادقة متعددة العوامل (MFA)، وتطبيق كلمات مرور تتوافق مع معايير الأمن، وتطبيق خطة استرداد، وتدقيق الحسابات، والاحتفاظ بنسخ احتياطية معزولة عن الانترنت، وتشفير البيانات، ومراجعة وحدات تحكم النطاق وسجلات الحوادث الأمنية بحثاً عن حسابات غير معروفة، إضافة لمراقبة محاولات الوصول.
كلمة أخيرة
تهدد برمجية الفدية ميدوسا ، مئات المؤسسات حول العالم. و يواجه المدافعون السيبرانيون تحدياتٍ كبيرة في هذا الخصوص. في الوقت الراهن، فإن أهم توصيات التخفيف تشمل نشر تصحيحات البرامج، وتجزئة الشبكة، ومنع الوصول إلى الخدمات من مصادر مجهولة أو غير موثوقة، تساعد هذه التوصيات على تحسين المرونة التشغيلية للمؤسسات. و تثبت لنا هذه الحوادث الأمنية أن اتخاذ موقف أمني استباقي لم يعد خياراً، بل ضرورة. فمن خلال الاستفادة من الذكاء الاصطناعي يمكن لفرق الأمن تعزيز جهود الكشف عن التهديدات، وتحديد الحالات الشاذة قبل تفاقمها، وتسريع جهود الاستجابة.
