تابستان داغ ۲۰۲۵ با رشد بی‌سابقه حملات سایبری همراه بود

تابستان ۲۰۲۵ فقط گرم نبود؛ بی‌وقفه و پرفشار بود

تابستان امسال، موجی از حملات سایبری بخش‌های حساس را هدف قرار داد:
باج‌افزارها زیرساخت‌های درمانی را زمین‌گیر کردند، شرکت‌های خرده‌فروشی با نشت داده مواجه شدند، شرکت‌های بیمه هدف حملات فیشینگ قرار گرفتند و بازیگران دولتی (nation-state actors) کمپین‌های مخرب به راه انداختند.

از PowerShell loaderهای مخفی تا بهره‌برداری از آسیب‌پذیری‌های روز-صفر در SharePoint، مهاجمان لحظه‌ای به مدافعان فرصت تنفس ندادند.

این گزارش، مهم‌ترین حوادث سایبری تابستان را بررسی می‌کند و مشخص می‌سازد تیم‌های امنیتی چه اقداماتی باید قبل از موج بعدی تهدیدات انجام دهند.

افشای تابستانی؛ افزایش ریسک باج‌افزار برای حوزه سلامت

مراکز درمانی توان تحمل زمان ازکارافتادگی را ندارند — و مهاجمان این موضوع را به‌خوبی می‌دانند.

در تابستان ۲۰۲۵، گروه‌های باج‌افزاری به‌طور هدفمند بخش سلامت را نشانه گرفتند؛ آن‌ها هم از ارزش بالای داده‌های پزشکی آگاه بودند و هم از فوریت خدمات درمانی سوءاستفاده کردند.

Interlock؛ تهدید فزاینده علیه سلامت آمریکا

در تاریخ ۲۲ ژوئیه ۲۰۲۵، CISA، FBI و HHS با صدور یک هشدار مشترک، گروه Interlock را به‌عنوان یک تهدید جدی برای بخش Healthcare and Public Health (HPH) معرفی کردند.

این گروه تنها در سال ۲۰۲۵ به بیش از ۱۴ حمله مرتبط بوده است که حدود یک‌سوم آن‌ها مستقیماً ارائه‌دهندگان خدمات درمانی را هدف قرار داده‌اند.

آنچه Interlock را متمایز می‌کند، استفاده از ابزاری به نام FileFix است — یک PowerShell launcher که اسکریپت‌های مخرب را پشت مسیرهای جعلی فایل پنهان می‌کند. این ابزار کاربران را فریب می‌دهد تا از طریق File Explorer بارهای مخرب را اجرا کنند، بدون آن‌که توسط سامانه‌های امنیتی شناسایی شوند.

باج‌افزار Rhysida مرکز درمانی دیگری در آمریکا را هدف گرفت

در تاریخ ۸ ژوئیه ۲۰۲۵، گروه باج‌افزاری Rhysida مدعی شد داده‌های حساسی را از Florida Hand Center به‌ بیرون درز داده است. این اطلاعات شامل تصاویر پزشکی، گواهینامه‌های رانندگی و فرم‌های بیمه بوده‌اند.

این کلینیک که به بیماران در Punta Gorda، Port Charlotte و Fort Myers خدمات ارائه می‌دهد، تنها ۷ روز فرصت داشت تا پیش از افشای کامل اطلاعات، واکنش نشان دهد.

Qilin با استفاده مجدد از روش‌های Scattered Spider، موجی از نفوذ به حوزه سلامت را رقم زد

در ژوئن ۲۰۲۵، گروه باج‌افزاری Qilin به فعال‌ترین گروه تهدید تبدیل شد و مسئولیت حمله به ۸۱ قربانی را بر عهده داشت؛ از این میان، ۵۲ مورد در بخش سلامت گزارش شده‌اند.

این گروه از آسیب‌پذیری‌های وصله‌نشده Fortinet با شناسه‌های CVE-2024-21762 و CVE-2024-55591 سوءاستفاده کرده و با بهره‌گیری از آن‌ها به شبکه‌ها دسترسی یافته، باج‌افزار را مستقر کرده و داده‌های حساسی همچون Electronic Health Records (EHR) و اطلاعات بیمه را استخراج کرده است.

برای افزایش فشار بر قربانیان، Qilin فراتر از رمزگذاری پیش رفت و از روش‌های اخاذی با مضمون حقوقی استفاده کرد — از جمله قابلیت «تماس با وکیل» (Call Lawyer) و ابزارهای خودکار مذاکره — با هدف تسریع در پرداخت باج.

موج جدیدی از حملات سایبری برندهای بزرگ خرده‌فروشی را هدف گرفت

بخش خرده‌فروشی نیز در تابستان ۲۰۲۵ از موج گسترده‌ی حملات سایبری در امان نماند.

نشت داده در Louis Vuitton؛ سومین حمله به برندهای LVMH در یک فصل

در تاریخ ۲ ژوئیه ۲۰۲۵، شعبه‌ی بریتانیا Louis Vuitton دچار نقض داده شد که منجر به افشای اطلاعات تماس مشتریان و سوابق خرید آنان گردید. این سومین حمله به برندهای گروه LVMH طی سه ماه اخیر، پس از Dior و LV Korea محسوب می‌شود.

چند روز بعد، در ۱۰ ژوئیه، پلیس بریتانیا چهار مظنون را در ارتباط با حملات سایبری به برندهای شناخته‌شده M&S، Co-op و Harrods بازداشت کرد.

گروه مهاجم ظاهراً با تهدیدگر بومی Scattered Spider در ارتباط است؛ تهدیدگری که به دلیل مهارت در social engineering و همکاری با اپراتورهای باج‌افزاری مانند DragonForce شناخته می‌شود — نشانه‌ای از افزایش تهدیدات سایبری از سوی گروه‌های داخلی علیه برندهای بزرگ خرده‌فروشی.

حمله DragonForce به زنجیره‌ی خرده‌فروشی آمریکایی Belk

در بازه‌ی زمانی ۷ تا ۱۱ مه ۲۰۲۵، خرده‌فروشی مستقر در کارولینای شمالی با نام Belk هدف حمله‌ی سایبری قرار گرفت.

گروه DragonForce مسئولیت حمله را بر عهده گرفت و اعلام کرد ۱۵۶ گیگابایت از داده‌های مشتریان و کارکنان، شامل نام‌ها، شماره‌های SSN، ایمیل‌ها، سوابق سفارش و فایل‌های منابع انسانی را استخراج کرده و پس از ناکامی در مذاکرات باج، در سایت نشت داده‌های خود منتشر کرده است.

DragonForce که نخستین‌بار در اواخر ۲۰۲۳ ظاهر شد، به‌عنوان یک کارتل ransomware-as-a-service فعالیت می‌کند و تا مارس ۲۰۲۵ حدود ۱۳۶ قربانی را فهرست کرده که بسیاری از آن‌ها از حوزه‌ی خرده‌فروشی در ایالات متحده و بریتانیا بوده‌اند.

تغییر جهت Scattered Spider از خرده‌فروشی به بیمه

Scattered Spider (UNC3944)، یک گروه انگلیسی‌زبان داخلی، با استفاده از مهندسی اجتماعی مبتنی بر هویت، voice phishing، MFA fatigue، جعل پشتیبانی و دامنه‌های مشابه (typosquatting) توانست بین آوریل تا مه ۲۰۲۵ به خرده‌فروشان بزرگی همچون M&S، Co-op و Harrods نفوذ کند.

در اواسط ژوئن، محققان امنیتی اعلام کردند که تمرکز این گروه از بخش خرده‌فروشی به شرکت‌های بیمه در ایالات متحده تغییر یافته است.

شرکت Aflac در تاریخ ۱۲ ژوئن دسترسی غیرمجاز را شناسایی و مهار کرد. در این حمله، احتمال افشای داده‌های شخصی مشتریان و کارکنان، از جمله شماره‌های SSN و اطلاعات خسارت‌های درمانی، وجود داشت.

شرکت‌های بیمه‌ی Erie و Philadelphia نیز در بازه‌ی مشابه دچار اختلالات سایبری شدند که منجر به ازکارافتادگی موقت شد.

هرچند در این نفوذها هیچ باج‌افزاری اجرا نشد، اما الگوهای حمله کاملاً با تاکتیک‌های شناخته‌شده‌ی Scattered Spider تطابق داشت.

فعالیت‌های سایبری با انگیزه‌های سیاسی و حمایت دولت‌ها

همه‌ی تهدیدات تابستان مالی نبودند؛ برخی از آن‌ها با اهداف سیاسی و در بستر ژئوپلیتیک انجام شدند.

۱۴ تا ۱۷ ژوئن ۲۰۲۵: گروه Predatory Sparrow (وابسته به اسرائیل) به بانک سپه ایران حمله کرد و سرویس‌های بانکی را مختل ساخت. سپس با نفوذ به Nobitex، حدود ۹۰ میلیون دلار ارز دیجیتال را با انتقال به burn walletها نابود کرد.

۳۰ ژوئن ۲۰۲۵: وزارت امنیت داخلی آمریکا و CISA هشدار مشترکی درباره‌ی حملات تلافی‌جویانه‌ی سایبری قریب‌الوقوع از سوی ایران علیه زیرساخت‌های حیاتی در ایالات متحده و اروپا صادر کردند.

این وقایع، یادآور آشکار این حقیقت‌اند که جنگ سایبری اکنون بخشی از جبهه‌ی درگیری‌های ژئوپلیتیکی شده‌است؛ درگیری‌هایی که فراتر از مرزها و صنایع گسترش می‌یابند.

آسیب‌پذیری‌های کلیدی در کانون توجه عمومی

در تابستان ۲۰۲۵، چندین آسیب‌پذیری Microsoft SharePoint در قالب کمپین جاسوسی سایبری ToolShell مورد بهره‌برداری قرار گرفتند.

CVE-2025-53770 یک آسیب‌پذیری RCE بحرانی است که به مهاجمین غیرمجاز اجازه می‌دهد کد دلخواه را در سرورهای SharePoint آسیب‌پذیر اجرا کنند. مهاجمان با استفاده از این نقص، web shell مستقر کرده، اعتبارنامه‌ها را سرقت کرده و در شبکه قربانی حرکت جانبی انجام دادند. CISA این آسیب‌پذیری را در تاریخ ۲۰ ژوئیه به فهرست KEV افزود.

دو آسیب‌پذیری دیگر با شناسه‌های CVE-2025-49704 و CVE-2025-49706 نیز در تاریخ ۲۲ ژوئیه به KEV اضافه شدند. این نقص‌ها به مهاجمین امکان دور زدن احراز هویت و اجرای کد را می‌دهند، حتی اگر اصلاحات قبلی اعمال شده باشند.

کمپین ToolShell سازمان‌هایی در آمریکا، اروپا و خاورمیانه، شامل نهادهای دولتی، شرکت‌های انرژی و ارائه‌دهندگان خدمات مخابراتی را هدف قرار داده است.

پژوهشگران امنیتی معتقدند مهاجمان با مهندسی معکوس اصلاحات امنیتی منتشرشده در Patch Tuesday جولای، توانستند روش بهره‌برداری جدیدی برای CVE-2025-53770 توسعه دهند.

درس‌هایی از تابستان آتشین در امنیت سایبری

از بیمارستان‌ها تا برندهای خرده‌فروشی، از شرکت‌های بیمه تا دولت‌ها — تابستان ۲۰۲۵ نشان داد که حتی قوی‌ترین زیرساخت‌ها نیز در برابر تهدیدات نوین آسیب‌پذیر هستند.

توصیه‌های کلیدی برای تیم‌های امنیتی:

• وصله‌ها را جدی بگیرید. از لیست CISA KEV و CVEهای بحرانی شروع کنید، اما تنها به امتیاز آسیب‌پذیری اکتفا نکنید؛ بررسی کنید آیا هر نقص واقعاً در محیط شما قابل بهره‌برداری است یا خیر.
• هویت را به‌عنوان محیط جدید امنیتی تقویت کنید. مهندسی اجتماعی مؤثرتر از بدافزار بود. حملات MFA fatigue را متوقف کنید، راستی‌آزمایی پشتیبانی را تقویت کرده و دسترسی سطح بالا را محدود سازید.
• کارمندان نقطه‌ی ورود بودند، نه آسیب‌پذیری‌ها. سناریوهای فیشینگ را به‌روز کنید، تمرین‌های شبیه‌سازی انجام دهید و پرسنل پرریسک را آموزش دهید.
• فقط به نقطه‌ی ورود توجه نکنید. مهاجمانی مانند Interlock و Qilin فراتر از استقرار باج‌افزار عمل کردند؛ آن‌ها حرکت جانبی انجام دادند، داده‌ها را مرحله‌بندی کرده و از شناسایی گریختند.
• زیرساخت‌های قدیمی را نادیده نگیرید. کمپین ToolShell از سرورهای قدیمی SharePoint بدون وصله بهره‌برداری کرد. آنچه را که نمی‌توانید ارتقا دهید، ایزوله کنید؛ آنچه را که نمی‌توان وصله کرد، مانیتور کنید؛ و آنچه را که نادیده گرفته‌اید، جایگزین کنید.