تعتبر برامج الفدية من أخطر التهديدات الإلكترونية التي تواجه الأفراد والشركات على حد سواء. في هذا المقال، نستعرض عيبًا فريدًا في برنامج الفدية VolkLocker وكيف يمكن أن يؤثر على الضحايا.
ظهر نوع جديد من برامج الفدية المفضلة لدى مجموعة هاكتيvist مؤيدة لروسيا، مع عيب قاتل — حيث يحتفظ بآثار تسمح للضحايا بفك تشفير ملفاتهم.
VolkLocker هو خدمة برامج الفدية كخدمة (RaaS) التي تقدمها مجموعة CyberVolk، التي تم توثيقها لأول مرة في أواخر عام 2024، وتستخدم أدوات برامج فدية متعددة لتنفيذ هجماتها بما يتماشى مع مصالح الحكومة الروسية، وفقًا لتدوينة نشرتها SentinelOne الأسبوع الماضي.
على الرغم من أن CyberVolk ظلت خاملة إلى حد كبير خلال عام 2025 “بسبب إجراءات تنفيذ Telegram”، إلا أنها عادت في أغسطس مع VolkLocker، المعروف أيضًا باسم CyberVolk 2.x، كما كتب جيم والتر، الباحث الرئيسي في التهديدات في SentinelOne.
تظهر النسخة الجديدة من خدمة RaaS الخاصة بالمجموعة أن العملية “تكافح مع تحديات التوسع”، كما أشار. من ناحية، تتضمن الخدمة الجديدة أتمتة متطورة عبر Telegram للتواصل من طرف إلى طرف (C2)؛ ومع ذلك، في نفس الوقت، تقدم أيضًا عيبًا رئيسيًا “يحتفظ بآثار اختبار تمكّن الضحايا من استعادة أنفسهم”، كما كتب والتر.
“تخزين مفاتيح التشفير الرئيسية بنص عادي هو خطأ تصميمي كبير يقوض فعالية برامج الفدية، مما يسمح للضحايا باستعادة الملفات دون الاستجابة لمطالبة الفدية من المهاجم”، كما أوضح.
خلفية ووظائف جديدة
كشفت SentinelOne لأول مرة عن أنشطة CyberVolk المعروف أيضًا باسم GLORIAMIST في نوفمبر الماضي. بين يونيو وأكتوبر من العام الماضي، تحملت المجموعة، التي نشأت في الهند ولكن تعمل لصالح المصالح الروسية، المسؤولية عن عدة هجمات برامج فدية. هدفها هو استخدام القضايا الجيوسياسية كمنصة وذريعة للهجمات على الكيانات العامة والحكومية، وفقًا لـ SentinelOne.
VolkLocker هو تطور برامج الفدية المخصصة للمجموعة، التي كانت تحمل علامة خاصة بها سابقًا ومشتقة من شفرة برامج الفدية الخاصة بـ AzzaSec، وهي مجموعة هاكتيvist مؤيدة لروسيا ومعادية لإسرائيل وأوكرانيا، ظهرت في فبراير 2024.
ميزة جديدة رئيسية في VolkLocker مقارنة بالإصدارات السابقة من برامج فدية CyberVolk هي الأتمتة المدمجة عبر Telegram التي تسهل جميع الاتصالات، والشراء، والدعم عبر تطبيق الدردشة. هذا نموذج يراه المهاجمون كـ “ميزة تميز السوق”، كما كتب والتر. لوحة التحكم الجديدة لـ VolkLocker عبر Telegram قابلة للتخصيص، مما يسمح للمهاجمين بإضافة ميزات جديدة مثل تسجيل المفاتيح.
بالإضافة إلى عرض RaaS الجديد، توسع CyberVolk إلى ما هو أبعد من برامج الفدية مع منتجات خبيثة أخرى للعملاء ونموذج تسعير محدث. تتراوح تكلفة ترخيص RaaS لنظام تشغيل واحد بين 800 إلى 1100 دولار، بينما تتراوح تكلفة RaaS على كل من Linux وWindows بين 1600 و2200 دولار. وتباع منتجات أخرى، بما في ذلك RAT مستقل أو مسجل مفاتيح، بسعر 500 دولار لكل منها.
خطأ فك تشفير VolkLocker
ومع ذلك، وسط تطورها وتوسعها إلى أراض جديدة، ارتكبت CyberVolk خطأ مبتدئًا رئيسيًا مع عرض RaaS الجديد، وفقًا لـ SentinelOne. يمنح الخطأ الضحايا ميزة كبيرة إذا تم استهدافهم من قبل المجموعة، كما قال والتر.
بدلاً من توليد مفاتيح التشفير بشكل ديناميكي، تقوم برامج الفدية بتشفير المفاتيح الرئيسية كسلاسل سداسية ضمن الثنائيات. في هذا النموذج التشفيري، يتم استخدام نفس المفتاح الرئيسي لتشفير جميع الملفات على نظام الضحية، كما قال. الخطأ الذي ارتكبته CyberVolk هو كتابة هذا المفتاح الرئيسي في ملف نص عادي في مجلد %TEMP% الخاص ببرامج الفدية، مما “يخلق مسار فك تشفير بسيط للضحايا الذين يكتشفونه”، كما كتب والتر في التدوينة.
“يوجد هذا العيب التصميمي في وظيفة backupMasterKey()، التي تنفذ أثناء التهيئة”، كما كتب. “نظرًا لأن برامج الفدية لا تحذف أبدًا هذا الملف الاحتياطي، يمكن للضحايا محاولة استعادة الملفات عن طريق استخراج القيم اللازمة من الملف.”
من المحتمل أن يكون ملف المفتاح الاحتياطي هو أثر اختبار تم شحنه عن غير قصد في الإصدارات الإنتاجية، وقد لا يكون مشغلو CyberVolk على علم بأن الشركاء ينشرون برامج الفدية مع هذا العيب، أضاف والتر.
إحباط عودة CyberVolk
حتى مع هذا العيب، فإن عودة CyberVolk بعد حظر حسابات Telegram المتكررة وإزالة القنوات طوال عام 2025 تظهر أن عملها نيابة عن روسيا سيستمر، كما قال والتر.
علاوة على ذلك، أصبحت أتمتة Telegram اتجاهاً أوسع مع المهاجمين المدفوعين سياسيًا لأنها تقلل “الحواجز أمام نشر برامج الفدية بينما تعمل على منصات توفر بنية تحتية مريحة للخدمات الإجرامية”، كما كتب.
لمساعدة المدافعين على تسليح أنفسهم ضد CyberVolk، أدرجت SentinelOne قائمة بمؤشرات الاختراق (IoCs) لـ VolkLocker. وتشمل المؤشرات لنشرها على أنظمة Windows وLinux، بالإضافة إلى عنوان Bitcoin الذي يستخدمه المهاجمون لمدفوعات الفدية ورمز البوت الخاص بـ Telegram.
مع استمرار تطور التهديدات الإلكترونية، من الضروري أن يبقى الأفراد والشركات على اطلاع دائم بأحدث المعلومات حول الأمن السيبراني. تابعونا لمزيد من المقالات حول كيفية حماية نفسك من هذه التهديدات.
