يحذر SysAid العملاء من التصحيح بعد اكتشاف عصابة برامج الفدية وهي تستغل ثغرة يوم الصفر الجديدة

حذرت شركة تصنيع البرمجيات SysAid العملاء من أن المتسللين المرتبطين بعصابة برامج الفدية سيئة السمعة يستغلون ثغرة أمنية تم اكتشافها حديثًا في برنامج أتمتة خدمات تكنولوجيا المعلومات المستخدم على نطاق واسع.

أكد ساشا شابيروف، كبير مسؤولي التكنولوجيا في SysAid، في تدوينة يوم الأربعاء أن المهاجمين يستغلون ثغرة يوم الصفر التي تؤثر على برامجهم المحلية. تعتبر الثغرة الأمنية بمثابة “يوم صفر” عندما لا يكون لدى البائع – في هذه الحالة SysAid – أي وقت لإصلاح الخطأ قبل أن يستغله المهاجمون.

وقالت SysAid إنها علمت بالثغرة الأمنية في 2 نوفمبر بعد أن أخطرت Microsoft الشركة بالمشكلة. يوصف هذا الخطأ بأنه عيب في اجتياز المسار يسمح للمهاجمين بتشغيل تعليمات برمجية ضارة على النظام المتأثر.

في بيان تم تقديمه لموقع TechCrunch، قال المتحدث باسم SysAid، إيال زومبيك، إن الشركة “تحركت بسرعة لتعيين دعم خبراء لمساعدتنا في التحقيق في المشكلة ومعالجتها” و”بدأت على الفور في التواصل مع عملائنا داخل الشركة حول هذه المسألة”.

يمكن أن تكون البرامج التي تتطلب عادةً وصولاً واسع النطاق إلى شبكة الشركة وأنظمتها لتعمل بشكل صحيح، مثل برامج أتمتة ومراقبة تكنولوجيا المعلومات، هدفًا للمتسللين الذين يسعون إلى الاستيلاء على هذا الوصول بشكل ضار.

قال فريق Microsoft Threat Intelligence في سلسلة من المنشورات على X (Twitter سابقًا) إن باحثيه ربطوا استغلال ثغرة SysAid بمجموعة قرصنة يتتبعونها باسم “Lace Tempest”، والمعروفة بشكل أكثر شيوعًا باسم مجموعة Clop Ransomware. كانت عصابة برامج الفدية سيئة السمعة المرتبطة بروسيا مرتبطة سابقًا بعمليات الاختراق الجماعية التي استغلت ثغرة يوم الصفر في MOVEit Transfer، وهي خدمة نقل ملفات تستخدمها آلاف الشركات في جميع أنحاء العالم، والتي أثرت حتى الآن على أكثر من 2500 منظمة وأكثر من 67 مليون شخص. الأفراد، وفقًا لشركة الأمن السيبراني Emsisoft.

وقالت مايكروسوفت إنه في حالة ثغرة SysAid، فإن المهاجمين “أصدروا أوامر عبر برنامج SysAid لتقديم أداة تحميل البرامج الضارة لبرنامج Gracewire الضار”. وأضافت مايكروسوفت أن انخفاض البرامج الضارة “يتبعه عادةً نشاط يديره الإنسان، بما في ذلك الحركة الجانبية وسرقة البيانات ونشر برامج الفدية”.

وقالت مايكروسوفت إن العصابة “من المرجح أن تستخدم وصولها لتسلل البيانات ونشر برنامج الفدية Clop”، مشيرة إلى الاستغلال المماثل لآلاف أنظمة MOVEit من قبل عصابة برامج الفدية في يونيو.

وحثت SysAid عملائها على البحث عن أي علامات استغلال وتحديث برنامج SysAid الخاص بهم إلى الإصدار 23.3.36، والذي أطلقته الشركة في 8 نوفمبر لمعالجة الثغرة الأمنية.

ليس من المعروف حتى الآن متى بدأت هجمات SysAid، على الرغم من أن جو ديسيمون يقود تقنية Elastic Security نشرت على X أنهم لاحظوا استغلال الثغرة الأمنية في وقت مبكر من 30 أكتوبر.

وتقول الشركة على موقعها الإلكتروني إن لديها أكثر من 5000 عميل في 140 دولة. هؤلاء العملاء، الذين يشملون مختلف الصناعات مثل التعليم والحكومة والرعاية الصحية. لم تذكر SysAid عدد العملاء المتأثرين أو ما إذا كانت قد شاهدت أي دليل على سرقة البيانات من بيئات عملائها.

لن يجيب المتحدث باسم SysAid على أسئلة TechCrunch.