مجموعة قراصنة Chaos RaaS

دخلت عملية برمجيات الفدية كخدمة (RaaS) حديثة الظهور، تُسمى Chaos، إلى ساحة التهديدات، مُثيرةً قلق مجتمع الأمن السيبراني. رُصدت Chaos لأول مرة في فبراير 2025، ويبدو أنها مرتبطة ارتباطًا وثيقًا بأعضاء سابقين في عصابة BlackSuit، وهي مجموعة فُككت بنيتها التحتية على شبكة الإنترنت المظلمة مؤخرًا من قِبل جهات إنفاذ القانون خلال عملية Checkmate. على الرغم من اسمها، لا ترتبط Chaos ببرامج الفدية السابقة مثل Yashma أو Lucky_Gh0$t، مما يُضيف طبقة مُتعمدة من الالتباس إلى تهديد مُعقد بالفعل.

تكتيكات الفوضى: من البريد العشوائي إلى الهندسة الاجتماعية

تبدأ سلسلة الهجمات التي يستخدمها مُخربو الفوضى بإغراق رسائل البريد العشوائي بسهولة، ثم تتطور سريعًا إلى التصيد الصوتي. يستخدم مُخربو التهديدات هذه الأساليب لخداع الأهداف لتثبيت برامج سطح المكتب البعيد، وأبرزها Microsoft Quick Assist، للحصول على وصول أولي.

بمجرد دخولهم، ينشرون ترسانة من أدوات المراقبة والإدارة عن بُعد (RMM)، مثل AnyDesk وScreenConnect وOptiTune وSyncro RMM وSplashtop، لضمان تحكم دائم بالشبكات المُخترقة. تشمل إجراءات ما بعد الاختراق جمع بيانات الاعتماد، وحذف سجل أحداث PowerShell، وإزالة أدوات الأمان لإضعاف قدرات الكشف والاستجابة.

صيد الطرائد الكبيرة والابتزاز المزدوج

اعتمدت مجموعة Chaos استراتيجيةً لصيد الطرائد الكبيرة، مستهدفةً الكيانات عالية القيمة بأساليب ابتزاز مزدوجة. هذا لا يعني تشفير الملفات فحسب، بل التهديد أيضًا بتسريب البيانات المسروقة ما لم تُدفع فدية. تستخدم المجموعة برنامج GoodSync، وهو برنامج مزامنة ملفات موثوق، لاستخراج البيانات الحساسة قبل إطلاق حمولة برنامج الفدية.

تتضمن المرحلة الأخيرة نشر برنامج فدية ثنائي متعدد الخيوط قادر على تشفير الموارد المحلية والشبكية بسرعة. ولإعاقة جهود الاسترداد وتجنب الكشف، يستخدم برنامج الفدية أساليب متقدمة لمكافحة التحليل، بما في ذلك الدفاعات ضد الأجهزة الافتراضية، وأدوات تصحيح الأخطاء، وصناديق الحماية الآلية، وبيئات تحليل التهديدات الأخرى.

التوافق بين المنصات المختلفة والفدية الباهظة

يتميز برنامج الفدية Chaos بتعدد استخداماته، مع توافق مؤكد مع أنظمة Windows وLinux وESXi وNAS. يطلب المهاجمون فدية باهظة، عادةً حوالي 300,000 دولار أمريكي، مقابل أداة فك تشفير و"نظرة عامة مفصلة على الاختراق" تتضمن سلسلة الهجمات وتوصيات أمنية.

معظم الضحايا المعروفين موجودون في الولايات المتحدة، مما يجعلها منطقة هدف أساسية لهذا التهديد المتطور.

أصداء الماضي: الفوضى والاتصال بالبدلة السوداء

رغم أن "الفوضى" اسم جديد، إلا أن تقنياتها وبنيتها التحتية تكشف عن انتماء واضح. وقد لاحظ المحللون تداخلات قوية مع عمليات "البدلة السوداء"، بما في ذلك أوجه تشابه في:

• أوامر التشفير
• هيكل ونبرة مذكرات الفدية
• استخدام أدوات RMM متطابقة

هذا مهم لأن بلاك سويت نفسها كانت إعادة تسمية لشركة رويال، المنحدرة من عصابة كونتي سيئة السمعة لبرامج الفدية. تُظهر الهويات المتغيرة كيف تُعيد هذه الجهات الفاعلة في مجال التهديد تسميتها وتنظيمها للبقاء في صدارة جهات إنفاذ القانون والحفاظ على زخم عملياتها.

عملية كش ملك: انتصار تكتيكي لأجهزة إنفاذ القانون

يتزامن ظهور "كايوس" مع انتصارٍ كبيرٍ لأجهزة إنفاذ القانون في تفكيك البنية التحتية للويب المظلم لـ"بلاك سويت". ويجد زوار مواقعهم المُصادرة الآن صفحةً رئيسيةً من تحقيقات الأمن الداخلي الأمريكية، تُعلن مصادرة المواقع في إطار جهدٍ دوليٍّ مُنسّق. إلا أن السلطات لم تُصدر بيانًا رسميًا بشأن العملية بعد.

الأفكار النهائية: الفوضى تجلب التعقيد والخداع

تُمثل الفوضى مزيجًا خطيرًا من أساليب الاحتيال المعقدة والعلامات التجارية المُضللة. استخدامها لأدوات مشروعة وهجمات مُستهدفة واستراتيجيات مُضادة للكشف يجعلها تهديدًا كبيرًا. يجب على المؤسسات أن تظل مُتيقظةً وأن تُعزز دفاعاتها ليس فقط ضد البرمجيات الخبيثة نفسها، بل أيضًا ضد أساليب الهندسة الاجتماعية التي تُمكّنها من النجاح في البداية.