يستغل الهاكرز الإنترنت ثغرة أمنية حرجة في برنامج Veeam Backup & Replication لنشر سلالة جديدة من فيروسات الفدية تحمل اسم “Frag”.

بحسب “cybersecuritynews”، تسمحالثغرة بتنفيذ تعليمات برمجية عن بعد دون توثيق، مما جعلها تحصل على درجة خطورة 9.8 من أصل 10 وفقًا لمقياس CVSS.

وكشفت أبحاث Sophos X-Ops أن الهجمات تأتي ضمن نشاط تهديد أطلق عليه STAC 5881، حيث يقوم القراصنة باستخدام أجهزة VPN مخترقة للوصول الأولي إلى الشبكات، ثم استغلال الثغرة في Veeam لإنشاء حسابات وهمية.

تؤثر الثغرة على نسخة 12.1.2.172 والإصدارات الأقدم من Veeam Backup & Replication، حيث أصدرت Veeam تحديثات أمان في سبتمبر 2024 لسد هذه الثغرة.

وكانت مجموعة STAC 5881 قد استخدمت سابقًا أنواعًا أخرى من فيروسات الفدية، مثل Akira وFog، ولكن Sophos كشفت مؤخراً عن استخدام نوع جديد غير موثق سابقاً يدعى Frag.

وأوضح الباحث الرئيسي لدى Sophos، شون جالاجر، أن القراصنة استخدموا تكتيكات مشابهة، من بينها إنشاء حسابين جديدين باسم 'point' و'point2'.

يعمل فيروس Frag من خلال سطر الأوامر ويتطلب من المهاجمين تحديد نسبة تشفير للملفات المستهدفة، ويقوم بتمديد '.frag' للملفات المشفرة.

وأدرجت Sophos آليات كشف لفيروس Frag في برامجها لحماية نقاط النهاية.

وقد لاحظ الباحثون تقاربًا في الأساليب بين مشغلي Frag وأولئك الذين يقفون خلف Akira وFog، مما يشير إلى احتمال وجود صلة أو دخول لاعب جديد يستفيد من الأساليب المجربة.

أصبحت الهجمات على حلول النسخ الاحتياطي شائعة نظرًا لقدرتها على إلحاق ضرر بالغ، إذ يمنع المهاجمون الضحايا من استعادة بياناتهم بسهولة دون دفع الفدية.

ولهذا، ينصح خبراء الأمن السيبراني الشركات التي تستخدم Veeam بتحديث أنظمتها على الفور، وتطبيق أفضل الممارسات لحماية خوادم النسخ الاحتياطي، مثل عزلها عن الإنترنت وتفعيل المصادقة متعددة العوامل للمنافذ الإدارية، ومراقبة الأنشطة غير المعتادة.

مع تطور هجمات الفدية وتوجهها نحو البنية التحتية الحيوية، يصبح من الضروري تعزيز الإجراءات الأمنية وسد الثغرات بسرعة لمواجهة تهديدات مثل Frag.