سامي
سامي الغامدي
مستشار Fyntralink · متاح الآن
مدعوم بالذكاء الاصطناعي · Fyntralink
0536890919 info@fyntralink.com

محترفو أمن سيبراني أمريكيون يُدانون بتشغيل هجمات فدية BlackCat: دروس في التهديد الداخلي

عندما يصبح المدافع هو المهاجم: محترفو استجابة للحوادث ومفاوضو فدية يعترفون بتنفيذ هجمات BlackCat ضد مؤسسات أمريكية، في قضية تُعيد تعريف التهديد الداخلي.

F
FyntraLink Team

في قضية هزّت مجتمع الأمن السيبراني العالمي، أصدرت وزارة العدل الأمريكية أحكاماً بالسجن على اثنين من محترفي الأمن السيبراني — أحدهم مدير استجابة للحوادث في شركة Sygnia الشهيرة والآخر مفاوض فدية رقمية في شركة DigitalMint — بعد اعترافهما بتشغيل هجمات فدية ALPHV/BlackCat ضد مؤسسات أمريكية من بينها ثلاث منظمات صحية. القضية تكشف أن التهديد الداخلي لا يأتي فقط من الموظفين، بل قد يأتي من الجهات المكلّفة بحمايتك.

تفاصيل القضية: عندما يتحول الحارس إلى لص

Ryan Goldberg (40 عاماً) كان يشغل منصب مدير استجابة للحوادث في شركة Sygnia، إحدى أبرز شركات الأمن السيبراني المتخصصة في التحقيقات الجنائية الرقمية. في الوقت ذاته، كان Kevin Martin (36 عاماً) يعمل مفاوض فدية في شركة DigitalMint المتخصصة في دفع الفِدى بالعملات المشفرة. بين أبريل وديسمبر 2023، تحالف الاثنان مع شريك ثالث يُدعى Angelo Martino للعمل كشركاء تابعين (Affiliates) لمجموعة BlackCat/ALPHV، أخطر مجموعات الفدية الرقمية آنذاك.

الصفقة كانت واضحة: يحصل مشغّلو BlackCat على 20% من كل فدية يتم تحصيلها، بينما يحتفظ الثلاثة بنسبة 80% يتقاسمونها بالتساوي. في إحدى العمليات فقط، نجحوا في ابتزاز ضحية واحدة بمبلغ 1.2 مليون دولار من عملة Bitcoin، غسلوها عبر قنوات متعددة. واستهدفوا خمس مؤسسات أمريكية على الأقل، ثلاث منها في القطاع الصحي.

البُعد الأخطر: استغلال المعرفة الدفاعية في الهجوم

ما يجعل هذه القضية استثنائية ليس حجم الأضرار فحسب، بل طبيعة المتهمين. Goldberg كان يملك معرفة تفصيلية بآليات الكشف والاستجابة التي تستخدمها المؤسسات، مما مكّنه من تصميم هجمات تتجنب أنظمة EDR وSIEM التي كان يُفترض أنه يحميها. أما Martin، فكان يملك خبرة مباشرة في مفاوضات الفدية من جانب الضحية، مما أعطاه ميزة نفسية وتكتيكية في إدارة عمليات الابتزاز من الجانب الآخر.

عندما حاول Goldberg الفرار من الملاحقة القضائية، تعقّبه مكتب التحقيقات الفيدرالي FBI عبر عشر دول قبل القبض عليه. اعترف الاثنان بتهمة التآمر لعرقلة التجارة عبر الابتزاز، ويواجهان عقوبة تصل إلى 20 عاماً سجناً.

نموذج Ransomware-as-a-Service وتعقيد سلسلة التوريد

تكشف هذه القضية كيف أن نموذج Ransomware-as-a-Service (RaaS) أصبح يستقطب محترفين من داخل صناعة الأمن السيبراني نفسها. مجموعة ALPHV/BlackCat — التي أغلقت عملياتها في مارس 2024 بعد عملية Exit Scam بقيمة 22 مليون دولار — كانت توفر بنية تحتية جاهزة تشمل أداة التشفير ومنصة التفاوض وموقع تسريب البيانات. كل ما يحتاجه الشريك التابع هو الوصول الأولي إلى شبكة الضحية.

هذا النموذج يعني أن أي مزوّد خدمة أمنية — سواء كان مستشاراً مستقلاً أو شركة MSSP أو مزوّد SOC — يملك وصولاً مميزاً لشبكات عملائه يمثل خطراً محتملاً إذا لم تكن هناك ضوابط رقابية كافية. الثقة المطلقة في مزوّدي الخدمات الأمنية أصبحت ثغرة بحد ذاتها.

التأثير على المؤسسات المالية السعودية: متطلبات SAMA وNCA

تضع هذه القضية المؤسسات المالية السعودية أمام تساؤل جوهري: هل ضوابطكم الحالية كافية لاكتشاف سلوك خبيث من مزوّد خدمة أمنية يملك صلاحيات إدارية على أنظمتكم؟ إطار SAMA Cybersecurity Framework يُلزم في نطاق "Third Party Cybersecurity" بتطبيق ضوابط صارمة على مزوّدي الخدمات تشمل المراجعة الدورية وتقييد الصلاحيات ومراقبة الأنشطة المميزة. كذلك يشترط إطار NCA Essential Cybersecurity Controls في ضوابط إدارة الوصول المميز (Privileged Access Management) تسجيل ومراقبة كل نشاط يتم بصلاحيات مرتفعة.

لكن الواقع أن كثيراً من المؤسسات تمنح مزوّدي خدمات الـ SOC والاستجابة للحوادث صلاحيات Domain Admin أو وصولاً مباشراً إلى SIEM دون مراقبة مستقلة. هذا يعني أن مزوّد الخدمة قادر نظرياً على تعطيل التنبيهات أو حذف السجلات أو استخراج البيانات دون أن يلاحظ أحد — وهو بالضبط ما فعله Goldberg وMartin.

التوصيات والخطوات العملية

  1. تطبيق مبدأ الفصل بين المهام (Separation of Duties): لا تمنح مزوّد خدمة SOC أو IR القدرة على تعطيل أنظمة المراقبة. استخدم طرفاً ثالثاً مستقلاً لمراقبة سجلات الوصول المميز، أو فعّل إرسال السجلات إلى مخزن WORM لا يملك المزوّد صلاحية تعديله.
  2. مراجعة عقود مزوّدي الخدمات الأمنية: تأكد من وجود بنود تشمل Right to Audit، وفحوصات خلفية دورية للعاملين، وإلزام المزوّد بالإبلاغ الفوري عن أي تضارب مصالح أو تحقيقات قانونية تطال موظفيه.
  3. تفعيل Privileged Access Workstations (PAW): كل وصول مميز لمزوّدي الخدمات يجب أن يتم عبر محطات عمل خاضعة لسيطرتك مع تسجيل فيديو للجلسات وتحليل سلوكي UEBA.
  4. إجراء تمارين Red Team تستهدف سيناريو المزوّد الخبيث: صمّم سيناريو محاكاة يفترض أن مزوّد SOC أصبح خصماً. هل ستكشفه أنظمتك؟ كم من الوقت سيحتاج قبل الاكتشاف؟
  5. تطبيق Zero Trust على مزوّدي الخدمات: استخدم Just-in-Time Access بدلاً من الصلاحيات الدائمة، وطبّق MFA على كل جلسة وصول مميز، وراجع السجلات أسبوعياً بحثاً عن أنماط غير معتادة.

الخلاصة

قضية Goldberg وMartin ليست حادثة معزولة — إنها تحذير بأن نموذج الثقة المطلقة في مزوّدي الأمن السيبراني يجب أن ينتهي. المؤسسات المالية السعودية التي تعتمد على شركات MSSP خارجية لإدارة SOC أو الاستجابة للحوادث تحتاج إلى مراجعة فورية لصلاحيات الوصول المميز وآليات الرقابة المستقلة. التهديد الداخلي الأخطر قد لا يكون موظفك الساخط، بل قد يكون الخبير الذي استأجرته لحمايتك.

هل مؤسستك مستعدة لمواجهة التهديد الداخلي من مزوّدي الخدمات؟ تواصل مع فريق فنترالينك لتقييم مجاني لضوابط إدارة الوصول المميز ومراقبة الأطراف الثالثة وفق متطلبات SAMA CSCC وNCA ECC.

]]>

الوسوم

#الأمن السيبراني في السعودية #التهديد الداخلي #فدية رقمية #BlackCat #SAMA CSCC #NCA ECC #فنترالينك