تحذير من FBI وCISA لمستخدمي جيميل وأوتلوك: عن خطر برامج “ميدوسا”


by Posted on

في 12 مارس 2025، أصدر مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني والبنية التحتية (CISA) ومركز مشاركة وتحليل المعلومات متعدد الولايات (MS-ISAC) تحذيراً مشتركاً بشأن برامج الفدية المعروفة باسم “ميدوسا”. هذا التحذير موجه بشكل خاص لمستخدمي خدمات البريد الإلكتروني الشائعة مثل جيميل وأوتلوك. ما هو هذا التهديد؟ وكيف يمكن حماية نفسك منه؟

ما هي برامج الفدية “ميدوسا”؟

ميدوسا هي نوع من برامج الفدية كخدمة (RaaS) تم اكتشافها لأول مرة في يونيو 2021. منذ ذلك الحين، أثرت على أكثر من 300 ضحية من مختلف القطاعات الحيوية، بما في ذلك المجالات الطبية والتعليمية والقانونية والتأمين والتكنولوجيا والتصنيع.

تعمل ميدوسا بنموذج قائم على التابعين، حيث يتحكم المطورون الرئيسيون في عمليات مهمة مثل مفاوضات الفدية. المجموعة المسؤولة عن هذه البرامج الخبيثة، والتي تُعرف باسم Spearwing، تستخدم استراتيجية الابتزاز المزدوج:

  • تشفير بيانات الضحية
  • تهديد بنشر البيانات المسروقة علناً إذا لم يتم دفع الفدية

قد تتراوح مطالب الفدية من 100,000 دولار إلى 15 مليون دولار أمريكي!

كيف تستهدف “ميدوسا” المستخدمين؟

تستخدم مجموعة ميدوسا عدة تقنيات للاختراق:

  • حملات التصيد الاحتيالي: الطريقة الأساسية لسرقة بيانات الاعتماد، حيث ترسل رسائل خداعية تحتوي على روابط أو مرفقات ضارة
  • استغلال الثغرات البرمجية: استهداف البرامج التي لم يتم تحديثها
  • تقنيات التخفي: استخدام أدوات مشروعة داخل بيئة الضحية للتحرك داخل الشبكات

بمجرد الوصول، ينتشر البرنامج الخبيث عبر الشبكة، ويقوم بتشفير البيانات باستخدام تشفير AES-256، ويعطل برامج الحماية مثل Windows Defender. الملفات المشفرة تحمل امتداد .medusa.

كيف تحمي نفسك؟

قدمت وكالات الأمن السيبراني الأمريكية توصيات مهمة للحماية:

خطوات فورية يجب اتخاذها:

  • تفعيل المصادقة الثنائية (2FA) لجميع الخدمات، وخاصة البريد الإلكتروني والشبكات الخاصة الافتراضية (VPN)
  • استخدام كلمات مرور طويلة وفريدة لجميع الحسابات
  • تحديث أنظمة التشغيل والبرامج والبرامج الثابتة بانتظام

إجراءات إضافية للمؤسسات:

  • تقسيم الشبكات لإعاقة انتشار برامج الفدية
  • مراقبة الأنشطة غير المصرح بها ومحاولات الوصول المشبوهة
  • تصفية حركة الشبكة لمنع المصادر غير المعروفة من الوصول إلى الأنظمة الداخلية
  • تعطيل المنافذ غير المستخدمة
  • الاحتفاظ بنسخ احتياطية غير متصلة بالإنترنت واختبار إجراءات الاستعادة بانتظام

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *