تواصل مجموعة برامج الفدية “كلوب” تشكيل تهديد كبير للمؤسسات العالمية، حيث استغلت مؤخرًا ثغرة أمنية خطيرة غير معلنة في حزمة “أوراكل إي-بزنس سويت”. منذ ظهورها في عام 2019، أصبحت “كلوب” واحدة من أكثر عصابات برامج الفدية انتشارًا، حيث أثرت على أكثر من 1,025 منظمة وابتزت أكثر من 500 مليون دولار. نشأت “كلوب” كنسخة متفرعة من برامج الفدية “كريبتو ميكس”، وتتفادى استهداف دول رابطة الدول المستقلة، ويُشتبه في أن لها جذورًا في روسيا. يشير اسم المجموعة “كلوب” إلى الامتداد المميز للملفات (.cl0p) المستخدم في هجماتهم، والذي يُترجم إلى “بق الفراش” باللغة الروسية.
ما يميز “كلوب” هو قدرتها على استغلال الثغرات الأمنية المتقدمة غير المعلنة، مما يبرز تطورها التقني. كشفت التحليلات الحديثة عن ثغرة أمنية خطيرة غير معلنة في حزمة “أوراكل إي-بزنس سويت”، تم اكتشافها لأول مرة في يونيو 2025، مع إصدار “أوراكل” لمؤشرات على الاختراق في أكتوبر 2025. تتيح الثغرة، التي تحمل الرمز CVE-2025-61882، للمهاجمين اختراق أنظمة تخطيط موارد المؤسسات.
كشفت التحقيقات عن عنوانين IP رئيسيين شاركتهما “أوراكل”، مما أدى إلى تحديد 96 عنوان IP إضافيًا. سجلت ألمانيا أعلى عدد من هذه العناوين، تلتها البرازيل وبنما، بينما جاءت روسيا في الأسفل، مما يشير إلى استراتيجية “كلوب” لتنويع بنيتها التحتية.
جاء الاختراق عندما ربط الباحثون البنية التحتية الحالية للاستغلال باستغلال ثغرة MOVit في عام 2023. تم استخدام 41 من عناوين IP المحددة خلال حملة MOVit، مما يظهر نمط البنية التحتية المستمر لـ “كلوب”. ربطت التحليلات الإضافية الهجمات الحالية بالحملات السابقة من خلال مطابقة بصمات شهادات SSL وإعادة استخدام الشبكات الفرعية.
تسلط هذه النتائج الضوء على اعتماد “كلوب” على بنية تحتية مستمرة واستراتيجيتها لتجنب تدابير الحجب الإقليمية مع الحفاظ على استمرارية العمليات.
