برمجيات الفدية سيكاري: لا تدفع الفدية!

Khaled AlZahrani2026-02-09

3 دقائق

Vibe-Coded 'Sicarii' Ransomware Can't Be Decrypted

تعتبر برمجيات الفدية سيكاري واحدة من التهديدات الجديدة في عالم الأمن السيبراني، حيث تبرز المخاطر المرتبطة بدفع الفدية.

يجب على الضحايا الذين تعرضوا لبرمجيات الفدية الناشئة “سيكاري” ألا يختاروا الدفع: فعملية فك التشفير لا تعمل، على الأرجح نتيجة لعدم مهارة المجرم الإلكتروني الذي استخدم تقنية الترميز الصوتي لإنشائها.

لاحظ الباحثون في مركز أبحاث برمجيات الفدية في هالسيون وجود خلل تقني حيث حتى لو دفع الضحية، فإن عملية فك التشفير تفشل بطريقة تجعل حتى الجاني غير قادر على إصلاح المشكلة. بالطبع، لا يُنصح بدفع الفدية بشكل عام، حيث إن ذلك يمول المزيد من الجرائم الإلكترونية ولا يضمن بالضرورة أن تكون بياناتك آمنة، ولا أن المهاجمين لن يستغلوا ضحاياهم مرة أخرى.

ومع ذلك، فإن الأمر يصبح أكثر إهانة أنه حتى إذا قررت منظمة ما دفع فدية، ستظل بياناتها المشفرة محصورة.

قالت هالسيون في 23 يناير إن “سيكاري” ظهرت كخدمة برمجيات فدية (RaaS) الشهر الماضي، حيث قام المشغلون بالترويج لها في المنتديات السرية للجرائم الإلكترونية. بشأن عملية فك التشفير المعطلة لـ”سيكاري”، قال الباحثون إن “أثناء التنفيذ، يقوم البرمجيات الخبيثة بتوليد زوج مفاتيح RSA جديدة محليًا، ويستخدم المواد الجديدة المولدة للمفاتيح للتشفير، ثم يتخلص من المفتاح الخاص.”

استمر التحذير الأمني، “يعني هذا التوليد للمفاتيح في كل تنفيذ أن التشفير ليس مرتبطًا بمفتاح رئيسي يمكن استرداده، مما يترك الضحايا بدون مسار فك تشفير قابل للتطبيق ويجعل أدوات فك التشفير التي يقدمها المهاجم غير فعالة للأنظمة المتأثرة.”

سلوك برمجيات سيكاري الغريب يشير إلى استخدام أدوات الذكاء الاصطناعي

قالت أبحاث نقطة التفتيش (CPR)، التي غطت المجموعة في وقت سابق من يناير، إن “سيكاري” “تروج لنفسها بشكل صريح كإسرائيلية/يهودية، باستخدام اللغة العبرية، والرموز التاريخية، والإشارات الأيديولوجية اليمينية المتطرفة التي لا تُرى عادة في عمليات برمجيات الفدية المدفوعة ماليًا.”

على الرغم من ذلك، قالت CPR إن النشاط عبر الإنترنت للبرمجيات الخبيثة يتم بشكل رئيسي باللغة الروسية، ويبدو أن المحتوى المعتمد على العبرية مُترجم آليًا، أو غير ناطق أصلي، بناءً على الأخطاء. “تثير هذه المؤشرات تساؤلات حول مصداقية هوية المجموعة المزعومة وتقترح إمكانية سلوك تمثيلي أو علمي زائف بدلاً من التوافق الوطني أو الأيديولوجي الحقيقي،” قال الباحثون.

وفقًا لـ CPR، اعتبارًا من 14 يناير، قال مشغل يتظاهر بأنه قائد الاتصالات للبرمجيات الفدية إن “سيكاري” قد قامت باختراق ما بين ثلاثة إلى ستة ضحايا، جميعهم دفعوا الفدية، وأن المجموعة تستهدف بشكل أساسي الشركات الصغيرة. نظرًا للاعتمادية غير الموثوقة لسلوك المجرمين الإلكترونيين، فإنه من المستحيل تحديد مدى دقة أي من هذه الادعاءات. بالإضافة إلى ذلك، تشير عناصر متعددة من سلوك “سيكاري” (مثل طلب “APKs برمجيات الفدية” في محادثات المجموعات العامة) إلى وجود ممثل غير متمرس.

تتوافق هذه المعلومات مع التحذير الأمني الأكثر حداثة الذي يغطي عمليات فك التشفير المعطلة: “تقيّم هالسيون بثقة متوسطة أن المطورين قد يكونون قد استخدموا أدوات مدعومة بالذكاء الاصطناعي، مما قد يكون ساهم في هذا الخطأ في التنفيذ.”

تقول سينثيا كايسر، نائبة الرئيس العليا لمركز أبحاث برمجيات الفدية، لـ Dark Reading إن هالسيون تعتقد أنه قد تم استخدام أدوات مدعومة بالذكاء الاصطناعي، لأن كود البرمجيات الخبيثة كان مكتوبًا بشكل سيئ، حيث تشير طبيعة خلل إدارة المفاتيح إلى ذلك. عندما سُئلت عن مدى تكرار رؤية فريقها لفشل فك التشفير على هذا المستوى، تقول إنه نادر جدًا، على الرغم من أن أدوات فك التشفير غير الموثوقة وغير المثالية “ليست غير شائعة.”

“لقد رأينا العديد من الحالات التي تطلبت فك التشفير تدخلًا يدويًا مكثفًا أو تبادلًا مطولًا مع المهاجم، أحيانًا يستمر لأسابيع،” تقول. “في الممارسة العملية، تفضل معظم المجموعات إعادة استخدام كود برمجيات الفدية المثبت أو المسرب بدلاً من بناء شيء جديد تمامًا من الصفر، مما يقلل من خطر حدوث فشل كارثي مثل هذا.”

تقول تامي هاربر، باحثة أولى في مجال استخبارات التهديد في فليير، إن هذا النوع من فك التشفير المعطل ليس شائعًا بين عمليات برمجيات الفدية الناضجة ولكنه ليس غير مألوف – خاصة بين الفرق الأحدث أو الإنشاءات المستعجلة.

“تاريخيًا، عندما يحدث هذا، يكون ذلك عادة بسبب إدارة مفاتيح سيئة، أو تنفيذ تشفير معيب، أو أخطاء أثناء إعادة الهيكلة،” تقول لـ Dark Reading. “ما يميز الوضع الحالي هو السرعة التي يمكن أن يقفز بها الممثلون غير المتمرسين إلى برمجيات الفدية باستخدام كود منسوخ أو أدوات مدعومة بالذكاء الاصطناعي، مما يزيد من احتمالية وجود أخطاء تشفير دقيقة ولكن كارثية تتسرب.”

يجب على ضحايا سيكاري ممارسة الحذر قبل الدفع

النقطة الأساسية لأي منظمة تعرضت للاختراق بواسطة “سيكاري” هي أن تكون حذرة قبل التفكير في دفع أي فدية. عبرت هالسيون عن ذلك، قائلة إن المنظمات المتأثرة يجب أن تفترض أن دفع الفدية لن يستعيد البيانات المشفرة، “ما لم يكن هناك تأكيد مستقل بأن هذا العيب قد تم تصحيحه.”

حتى إذا قام مؤلف البرمجيات الخبيثة بتصحيح المشكلة، فإنه غير معروف ما إذا كان أولئك الذين تم اختراقهم بالفعل يمكنهم الاستفادة، أو إذا كانوا خارج الحظ.

وإذا دفعت منظمة ما الفدية وحصلت على أداة فك تشفير معطلة، نصحت هالسيون بالانتقال فورًا من التفاوض إلى “استعادة العمليات من خلال مسارات استرداد بديلة.” وهذا يعني الحفاظ على النسخ الاحتياطية، وعزل الأنظمة المتأثرة، والحفاظ على الأدلة الجنائية، وتحديد النطاق، والانخراط في خدمات استجابة حوادث برمجيات الفدية ذات الخبرة إذا لزم الأمر.

تذكر دائمًا أن اتخاذ القرار الصحيح في مواجهة برمجيات الفدية يمكن أن يحمي بياناتك ومواردك. كن حذرًا ولا تدفع الفدية!

الوسوم