في 20 يناير 2026، نشر مجموعة ايفرست رانسوموير ادعاءً ضخمًا بتسريب بيانات بحجم 861 جيجا بايت على بوابتهم في الويب المظلم. يدّعون أنهم يمتلكون كنز من المعلومات الاستخبارية العميلة والشركاتية عن ماكدونالدز الهند. نشرت المجموعة أيضًا دليلًا على خرق الأدلة على شكل لقطات شاشة على:

• مسارات التدقيق الداخلي والامتثال إلى جانب التقارير المالية المتعلقة بانهيارات الشهر.

• قاعدة بيانات الاتصال تحتوي على معلومات تعريف شخصية (PII) لمستثمرين وشركاء دوليين مزعومين.

• تفاصيل دقيقة على مستوى المتاجر، تشمل تفاصيل الاتصال بمديري العشرات من الفروع الهندية.

بينما لا نستطيع التحقق من صحة البيانات، بالاعتماد على التكتيكات والتقنيات والإجراءات (TTPs) السابقة التي استخدمتها المجموعة، فمن المحتمل أن يكون هناك نوع من البيانات التي تم استخراجها.

في هذا المنشور، نقوم بالغوص العميق في الحادثة والأهم من ذلك، نضغط مرتين لفهم أهمية التكتيكات والدوافع الخاصة بمجموعة ايفرست.

قبل أن نواصل، إذا لم تقرأ منشور مدونتنا السابق حول العواقب الحرجة لقانون الاتحاد الأوروبي للأمن السيبراني 2026 لمشغلي البنية التحتية OT والشركات، نوصي بذلك. يمكنك الوصول إلى هذا المنشور المفصل هنا.

الادعاء: 861 جيجا بايت من الاستخبارات المسروقة

ايفرست فاعل تهديد روسي متطور لديه خبرة تقارب الخمس سنوات في استخراج البيانات والابتزاز. يُعرف عن المجموعة إنفاقها كميات هائلة من المال لشراء بيانات اعتماد من الوسطاء الوصول الأولي (IABs) بالإضافة إلى شراء الأدوات المتاحة علنًا. لدعم هذا الجهد، تدير المجموعة أيضًا مشروع توظيف نشط للمطلعين يستهدف الموظفين الرئيسيين ضمن المؤسسات المستهدفة. بينما بدأت المجموعة تركيزها على الكيانات الأمريكية والكندية، فقد توسعت لتشمل مناطق أخرى في أوائل عام 2022.

على عكس الفاعلين الآخرين، تكون مجموعة ايفرست أكثر نشاطًا عندما يتعلق الأمر بالوصول إلى المطلعين المحتملين. تُعرف المجموعة بتوظيف المطلعين عبر LinkedIn و‘X’. من الممكن أن تكون المجموعة لديها فريق يحدد ويراقب أنشطة وسائل التواصل الاجتماعي للهادفين المطلعين. في السابق، كانت المجموعة تقوم بنشر إعلانات عامة تطلب من المطلعين القدوم للأمام وبيع بيانات الاعتماد الخاصة بالشركات في صناعات وقطاعات معينة.

فهم التكتيكات والتقنيات والإجراءات

من المعروف أن ايفرست يتوجه نحو الضحايا الذين يتعاملون مع كميات هائلة من البيانات الحساسة. وهذا يوفر لها الفرصة للاستفادة من أي تعب داخل النظام، سواء كان ذلك على مستوى النظام أو على مستوى المحلل الأمني. بمجرد استلام بيانات الاعتماد، تستخدم المجموعة الحسابات المخترقة إلى جانب بروتوكول RDP للتحرك داخل الشبكات المخترقة. وبعد ذلك، يتم استخراج بيانات اعتماد إضافية باستخدام أدوات وعمليات متخصصة. يستخدم الفاعل أيضًا أدوات الكشف عن الشبكة لاكتشاف وتحديد مواقع الاستضافة الجديدة أثناء إزالة الأدوات والملفات الاستطلاعية لمسح آثار الاختراق.

يتم نسخ كل الخزائن القيمة للبيانات مع الاحتفاظ بالنسخ محليًا. تستخدم المجموعة WinRAR لأرشفة البيانات واستخراجها.   

كيف وقع خرق ماكدونالدز الهند على الأرجح

بناءً على تكتيكات وتقنيات وإجراءات مجموعة ايفرست المذكورة أعلاه وطبيعة الملفات المسربة، يمكننا إعادة بناء مسار هجوم محتمل.

كان من المحتمل أن يكون هناك نقطة دخول لحساب اعتماد مخترق ينتمي إلى مدير رفيع أو طرف ثالث أو شخص لديه الكثير من الوصول داخل الكيان. من الممكن أن يكون للمسؤول عن البيانات المجمعة دور في ذلك. يشير وجود بيانات من المتاجر إلى وجود مصدر مخترق كان يتعامل مع بيانات دقيقة. قد تكون البيانات المتعلقة بالمستثمرين قد تعرضت للخطر أثناء خرق ثانوي نفذه الفاعل بعد التحرك الجانبي عبر الشبكات المخترقة واستخدام بيانات الاعتماد لـRDP للوصول إلى البيانات.

قد يُفترض استخدام أدوات مثل ProcDump لاستخلاص عملية LSASS. سمح هذا للمهاجم بالتحرك من محطة عمل منخفضة المستوى في المتاجر إلى خادم مالي عالي المستوى أو حتى إلى خادم ERP.

يمكن أن يكون التحرك الجانبي مدعومًا باستخدام إشارات من Cobalt Strike للتحكم في الأوامر (C2) والتحرك الجانبي باستخدام حسابات شرعية مخترقة عبر RDP. يتضمن استيراد الأدوات للحركة الجانبية أو تنفيذ المزيد من الاختراقات داخل الشبكة مخاطر كبيرة بما في ذلك كشفها وقد يعيق الأمان الحسابات المخترقة حتى. لذلك، يستخدم فاعلون مثل ايفرست الأدوات الموجودة بالفعل في بيئة الهدف للتوسع في دائرة الخرق دون ال كشف.

ما الذي يمكن أن نستنتجه أيضًا؟

إن الحجم الكبير للبيانات المسروقة (قرابة تيرابايت) يوحي بأن المهاجمين كانوا لديهم وقت تواجد طويل.

يمكن أن يتراوح ذلك من أسابيع أو حتى عدة أشهر لرسم خريطة الشبكة واستخراج البيانات دون إحداث تنبيهات تعتمد على الحجم. حافظت ايفرست على بروفايل منخفض خلال هذه الفترة وربما نفذت أنشطتها ضمن نوافذ زمنية تجذب اهتمامًا أقل من فريق الأمن أو مالكي الحسابات المخترقة. 

تم تجميع البيانات المسروقة في أرشيف WinRAR ثم تم استخراجها باستخدام أدوات تُستخدم في الدعم الفني الشرعي وغالبًا ما تتخطى رادارات نظام كشف التهديدات المستندة إلى نقطة النهاية (EDR) بسبب الاستثناءات التشغيلية الممنوحة.

نقاط الضعف الأمنية المحتملة

يسلط نجاح هذا الاختراق الضوء على ثلاث إخفاقات هيكلية محتملة:

غياب محتمل لمصادقة متعددة العوامل القادرة على مقاومة التصيد الاحتيالي على بوابات مرئية للخارج (RDP/VPN). إذا تم تجديد بيانات الاعتماد في نوافذ زمنية قصيرة، فإن خطر الاختراق بسبب داخل مختل أو حتى اختراق غير مقصود يقلل.

تسطيح الشبكة

تشير القدرة على التحرك من بيانات “المستوى المتجر” إلى “قاعدة بيانات المستثمر/الشريك” إلى عدم وجود التقسيم الجزئي الكافي بين الفروع الإقليمية والمقر الرئيسي. هذا النوع من الحركة واستخلاص البيانات يشير إلى وقت طويل للحركة الجانبية، وغياب حواجز الأمان وغياب محتمل للإجراءات لكشف واحتواء الأنشطة الشبكية الشاذة.

فجوات المراقبة

الفشل في كشف مراحل غير طبيعية للبيانات (861 جيجابايت يتم ضغطها ونقلها) يشير إلى عدم وجود منع فقدان البيانات (DLP) أو تحليلات سلوكية.

مسائل التدقيق والرقابة

ربما لم تأخذ عمليات التدقيق والتقييم في الاعتبار السيناريوهات المحتملة الناشئة عن حساب مخترق.

قيمة هذا الاختراق لمجموعة ايفرست

هذا أكثر من مجرد لعبة فدية بسيطة. لأن ايفرست تعمل أيضًا كوسيط وصول أولي، فإن هذا الاختراق ينشئ "خطر مزدوج" للضحية:

• الابتزاز المباشر: الدفع لوقف تسريب البيانات.

• إعادة بيع الوصول: حتى إذا تم دفع الفدية، قد تكون ايفرست قد باعت بالفعل "دليل كيفية" الاقتحام لجهات فاعلة مدعومة من الدولة أو جنائية أخرى.

• لا يزال بإمكان مجموعة فيروسات ايفرست بيع البيانات.  

الدروس الرئيسية للمؤسسات العالمية

تُذكّر هذه الحادثة بشكل صارخ بأن الوصول هو العملة الجديدة لتجارة الثقة. تتطور مجموعات الفدية لتصبح "مستشارين إداريين للجريمة السيبرانية"، والمعلومات الداخلية هي منتجها الأكثر قيمة. فقدان البيانات مرة واحدة يمكن أن يؤدي إلى العديد من التعقيدات، لذا من الأفضل وضع حواجز للوصول وحركة البيانات لتجعل من الصعب على الفاعلين التحرك والعثور على البيانات الهامة.

هناك دروس لمشغلي تكنولوجيا التشغيل أيضًا. الشبكات المسطحة دون مراقبة كافية وتقييمات المخاطر المناسبة المستندة إلى معيار IEC 62443 يمكن أن تؤدي إلى الكثير من تحديات الأمان والامتثال فيما بعد.  

هذا الاختراق هو دفعة لمجموعة ايفرست رانسوموير وتأكيد لأساليب ونماذج اقتحامها. قد يصبح الفاعل الخطير بسهولة أكثر جرأة ويوسع قاعدة أهدافه كما رأينا في الماضي. توسعت إيفرست إلى ما وراء استهداف الولايات المتحدة بعد اقتحام قائمة من الضحايا المهمين للغاية.

يجب أن تتجاوز المؤسسات الدفاع عن المحيط البسيط. لا يمكن اعتبار التنفيذ للوصول الموثوق به صفر الصفري (ZTA) حيث تتطلب كل حركة جانبية إعادة المصادقة (إعادة اكتساب الثقة) اختياريًا بعد الآن.  

هل تحتاج إلى مساعدة في متطلبات الامتثال التنظيمي الخاصة بك؟ تحدث إلى خبرائنا.

المزيد عن خدمات الامتثال NIS2 الخاصة بنا.

تعرف قليلا عن خدمات رد الفعل لحوادث المعاملة الخاصة بشركة Shieldworkz

جرب منصتنا لأمان تكنولوجيا التشغيل هنا.