كشف باحثون من شركة Trend Micro عن ظهور سلالة جديدة من برامج الفدية تُعرف باسم Anubis، وتتميز بقدرتها على تشفير الملفات أو مسحها بشكل نهائي لا رجعة فيه، مما يجعلها تهديدًا مزدوجًا نادرًا في مشهد البرمجيات الخبيثة.
“تتضمن Anubis وضعية تسمى ‘Wipe Mode’ تمسح الملفات بالكامل وتمنع إمكانية استرجاعها حتى بعد دفع الفدية.”
— مارستل بوليكاربيو، سارة بيرل كاميلينغ، صوفيا روبليس – Trend Micro
من Sphinx إلى Anubis
تشير التحليلات إلى أن هذه البرمجية بدأت نشاطها في ديسمبر 2024 تحت اسم Sphinx، قبل أن يُعاد تسميتها إلى Anubis في نسختها النهائية. استهدفت الحملة مؤسسات في قطاعات الرعاية الصحية والضيافة والإنشاءات في دول مثل أستراليا، كندا، بيرو، والولايات المتحدة.
يُشار إلى أن هذا البرنامج لا يرتبط بأي صلة بالتروجان البنكي الذي يعمل على Android أو أداة التحكم الخلفي المبنية بلغة Python والمعروفة بنفس الاسم، والتي تُنسب إلى مجموعة FIN7 أو GrayAlpha.
نموذج التشغيل: خدمة الفدية كخدمة (RaaS)
تعمل Anubis كنموذج Ransomware-as-a-Service، ما يسمح للمخترقين من الأطراف الثالثة بالانضمام عبر برنامج شراكة مرن. تشمل تفاصيل البرنامج:
-
80/20: يحصل الشريك على 80% من عائد الفدية.
-
الابتزاز القائم على البيانات: تقسيم 60/40.
-
بيع الوصول للأنظمة المخترقة: تقسيم 50/50.
شاهد ايضا :-
- منشأة Premier Innovation Hub: منصة لصناعة الروبوتات والتقنيات في بنسلفانيا
- نظام iPadOS 26: هل يصبح الآيباد بديلاً فعليًا للماك؟
- معالجات Nova Lake-S من إنتل: قفزة معمارية قوية نحو 52 نواة
سلسلة الهجوم: من التصيّد إلى الحذف النهائي
تبدأ هجمات Anubis عادةً عبر رسائل بريد إلكتروني خبيثة (Phishing)، يليها تصعيد للصلاحيات، جمع معلومات النظام، ومسح نسخ الظل (Shadow Copies) قبل تشفير الملفات أو تدميرها باستخدام:
يقوم هذا الأمر بمسح محتوى الملفات نهائيًا، ويجعل حجمها 0 كيلوبايت مع بقاء الأسماء كما هي، ما يُصعب من ملاحظة الحذف المباشر ويُحبط محاولات الاسترجاع التقليدية.
تأثيرات نفسية مضاعفة على الضحايا
هذا النهج المزدوج—التشفير + المسح النهائي—يساهم في تصعيد الضغط على الضحايا لدفع الفدية بسرعة، وهو تكتيك معروف في حملات الفدية المتقدمة.
“القدرة على التشفير والتدمير الكامل للبيانات ترفع سقف التهديد وتضع الضحايا في موقف شديد الحرج.”
أنشطة FIN7: حملات موازية بنطاقات مزيفة
في الوقت ذاته، أفادت شركة Recorded Future أن مجموعة FIN7 تشغل حاليًا بنية تحتية تهدف إلى انتحال برامج شرعية ونشر أداة التحكم عن بعد NetSupport RAT، عبر وسائل توزيع متعددة:
-
مواقع تحديث متصفح مزيفة.
-
صفحات تحميل مزورة لأداة 7-Zip.
-
حملات عبر أنظمة تحويل الروابط مثل TAG-124 و404 TDS.
تستخدم بعض الحملات أدوات مخصصة مثل:
-
MaskBat: مشابهة لـ FakeBat ولكن مع سلاسل مشفرة مرتبطة بـ GrayAlpha.
-
PowerNet: محمّل PowerShell يفك ضغط البرامج الخبيثة وينفذها مباشرة.
ورغم أن بعض النطاقات تم تعطيلها، فإن مواقع التنزيل المزيفة لـ 7-Zip لا تزال نشطة حتى أبريل 2025.
