المسار السريع لمدوسا: كيف حوّل شريك فدية بلا رحمة ثغرات اليوم الصفري إلى أزمة عالمية

العنوان الفرعي: مايكروسوفت تكشف موجة جرائم سيبرانية خاطفة مع استغلال Storm-1175 لثغرات جديدة، ما يشلّ صناعات حيوية عبر القارات.

بدأ الأمر بهمسة في الدارك ويب: مجموعة غامضة تتحرك أسرع مما يستطيع ضحاياها أن يرمشوا، تُحوِّل الثغرات إلى أسلحة قبل أن يعرف معظم المدافعين بوجودها أصلًا. والآن، رفعت مايكروسوفت الستار عن Storm-1175، وهو شريك إجرامي سيبراني مقره الصين مرتبط ببرمجية الفدية سيئة السمعة «مدوسا»، إذ يعيد استغلاله المحموم لثغرات اليوم الصفري كتابة قواعد الابتزاز الرقمي.

حقائق سريعة

Storm-1175 مجموعة جرائم سيبرانية مقرها الصين مرتبطة بهجمات برمجية الفدية Medusa.
تستغل المجموعة ثغرات n-day وثغرات اليوم الصفري، وأحيانًا خلال ساعات من اكتشافها.
تشمل الأهداف الأخيرة قطاعات الرعاية الصحية والتعليم والتمويل والخدمات المهنية في أستراليا والمملكة المتحدة والولايات المتحدة.
سلسلت Storm-1175 عدة استغلالات لضمان الاستمرارية وسرقة بيانات الاعتماد وتعطيل الأمن قبل نشر برمجية الفدية.
تم استغلال أكثر من 16 ثغرة عبر 10 منتجات برمجية رئيسية في أحدث حملاتهم.

تتابع فرق أمن مايكروسوفت Storm-1175 وهي تشق طريقها عبر الدفاعات الرقمية، وغالبًا ما تضرب خلال يوم واحد من الإعلان العلني عن ثغرة - أو حتى قبل توفر التصحيح. هذه المجموعة عالية الإيقاع لا تنتظر أخبار الأمس: ففي عدة حالات، وُجد أن Storm-1175 تستغل العيوب قبل أسبوع كامل من قدرة المورّدين على الاستجابة، كما حدث مع ثغرتي GoAnywhere MFT ‏(CVE-2025-10035) وSmarterMail ‏(CVE-2026-23760).

ما يميز Storm-1175 هو رشاقتها على نطاق صناعي. فما إن تُرصد ثغرة، حتى تسلسل عدة استغلالات، وتنشئ حسابات مستخدمين جديدة، وتنشر أدوات إدارة عن بُعد، وتسرق بيانات الاعتماد بصورة منهجية. وقبل أن تتمكن المؤسسات من الرد، تُعطَّل برمجيات الحماية وتُطلق برمجية الفدية Medusa - أحيانًا خلال 24 ساعة من الوصول الأولي.

وكان الأثر مدمّرًا. تفيد مايكروسوفت بأن قطاعات الرعاية الصحية والتعليم والتمويل والخدمات المهنية في أستراليا والمملكة المتحدة والولايات المتحدة قد تضررت جميعها من هجوم Storm-1175 الكاسح. وفي مارس 2025، أصدرت السلطات الأمريكية تحذيرًا مشتركًا بعد أن أثّرت هجمات Medusa على أكثر من 300 منظمة ضمن البنية التحتية الحيوية. وتتعاظم براعة Storm-1175 التقنية أكثر بفعل صلات مشتبه بها مع سماسرة الاستغلال واستعدادها للابتكار، باستخدام عيوب جديدة ونقاط ضعف معروفة سابقًا بطرق جديدة.

ومن بين الأهداف المستغلة بعض أكثر أدوات المؤسسات استخدامًا: Microsoft Exchange وPapercut وIvanti Connect Secure وConnectWise ScreenConnect وJetBrains TeamCity وغيرها. وفي مؤشر مقلق على روح العصر، ارتبطت Storm-1175 أيضًا بحملات فدية كبرى مثل Black Basta وAkira، مستفيدةً من تجاوز مصادقة VMware ESXi لتوسيع نطاقها.

قصة Storm-1175 هي طلقة تحذير للمؤسسات في كل مكان: لعبة برمجيات الفدية تتطور، إذ بات الشركاء يتسابقون لتجاوز المدافعين وتحويل الفوضى إلى أرباح بسرعة قياسية. ومع احتدام سباق التسلح بين مجرمي الإنترنت وفرق الأمن، تبقى الحقيقة الوحيدة أن الاختراق التالي قد يكون جارياً بالفعل - قبل وصول التصحيح بوقت طويل.

WIKICROOK

Zero: ثغرة اليوم الصفري هي خلل أمني خفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح، ما يجعلها عالية القيمة وشديدة الخطورة بالنسبة للمهاجمين.
Ransomware: برمجية الفدية هي برنامج خبيث يشفّر البيانات أو يقفلها، ويطالب الضحايا بالدفع لاستعادة الوصول إلى ملفاتهم أو أنظمتهم.
N: ثغرة n-day هي خلل أمني معروف يظل غير مُصحَّح في بعض البرمجيات، ما يجعله هدفًا للهجمات السيبرانية.
Credential theft: تحدث سرقة بيانات الاعتماد عندما يسرق القراصنة أسماء المستخدمين وكلمات المرور، غالبًا عبر التصيّد أو خروقات البيانات، للوصول غير القانوني إلى الحسابات عبر الإنترنت.
Exploit broker: سمسار الاستغلال يشتري أو يبيع أو يتاجر بثغرات البرمجيات، وغالبًا ما يعمل وسيطًا بين القراصنة وعملاء مثل الحكومات أو الجماعات الإجرامية.