عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد برامج الفدية برنامج الفدية VECT 2.0

برنامج الفدية VECT 2.0

بواسطة Mezo في برامج الفدية
ترجمة الى:

تُقدّم عملية VECT 2.0 الإجرامية الإلكترونية نفسها على أنها برنامج فدية، إلا أن التحليل التقني يُظهر سلوكًا أقرب إلى برنامج مسح البيانات. ويؤدي خللٌ خطير في آلية التشفير الخاصة بها على أنظمة ويندوز ولينكس وESXi إلى استحالة استعادة الملفات، حتى بالنسبة للمنفذين الذين يقفون وراء هذه الهجمات.

بالنسبة للملفات التي يزيد حجمها عن 131 كيلوبايت، والتي تشمل معظم البيانات بالغة الأهمية للمؤسسات، لا يوفر البرنامج الخبيث تشفيرًا قابلاً للاسترداد. بل يقوم بتدمير البيانات اللازمة للاستعادة بشكل دائم. ونتيجة لذلك، لا يمثل دفع الفدية أي سبيل واقعي للاسترداد.

في أي حادثة من نوع VECT 2.0، لا ينبغي اعتبار التفاوض استراتيجيةً للمعالجة. لا يوجد برنامج فك تشفير فعال يمكن تقديمه لأن المعلومات اللازمة لإنشائه تُحذف أثناء التنفيذ. ينبغي أن تتمحور الأولويات الدفاعية حول النسخ الاحتياطية غير المتصلة بالإنترنت، وخطط الاسترداد المعتمدة، والاحتواء السريع، واستمرارية الأعمال.

عملية متنامية لخدمات نقل الأموال كخدمة (RaaS) مع شراكات إجرامية

تم إطلاق VECT في الأصل كبرنامج Ransomware-as-a-Service (RaaS) في ديسمبر 2025، ومنذ ذلك الحين أعيد تسميته إلى VECT 2.0. وتعلن بوابتها على الإنترنت المظلم عن نموذج "التسريب / التشفير / الابتزاز"، مما يشير إلى نهج ابتزاز ثلاثي.

يُقال إن الأعضاء الجدد يُفرض عليهم رسوم انضمام قدرها 250 دولارًا أمريكيًا بعملة مونيرو (XMR). ومع ذلك، يُعفى المتقدمون من دول رابطة الدول المستقلة، مما يشير إلى استهداف استقطاب الأعضاء من تلك المنطقة.

أقامت المجموعة أيضاً شراكات مع BreachForums ومجموعة القرصنة TeamPCP. ويبدو أن هذا التعاون يهدف إلى تبسيط عمليات برامج الفدية، وتسهيل انضمام أعضاء جدد، واستخدام البيانات المسروقة سابقاً في هجمات لاحقة.

إن الجمع بين سرقة بيانات اعتماد سلسلة التوريد، وعمليات الشركات التابعة المنظمة، والتعبئة الإجرامية القائمة على المنتديات، يعكس نظامًا بيئيًا متزايدًا لبرامج الفدية الصناعية.

عدد الضحايا لا يزال منخفضاً رغم الادعاءات الجريئة

على الرغم من التسويق العدواني، تشير التقارير إلى أن موقع تسريب VECT 2.0 لا يسرد سوى ضحيتين، وكلاهما تعرض للاختراق من خلال هجمات سلسلة التوريد المتعلقة بـ TeamPCP.

زعمت المجموعة في البداية استخدامها لخوارزمية التشفير ChaCha20-Poly1305 AEAD، وهي طريقة تشفير موثقة أقوى. إلا أن المراجعة الفنية كشفت عن استخدامها لخوارزمية تشفير أضعف غير موثقة تفتقر إلى حماية سلامة البيانات، مما أثار شكوكاً جدية حول قدراتها ومصداقيتها.

فشل التشفير الذي يدمر البيانات

تكمن الثغرة الأخطر في هذا البرنامج الخبيث في طريقة معالجته للملفات التي يزيد حجمها عن 131,072 بايت. فبدلاً من تشفير البيانات القابلة للاسترداد بشكل آمن، يقوم بتقسيم كل ملف كبير إلى أربعة أجزاء، ثم يشفر كل جزء باستخدام قيم عشوائية منفصلة مكونة من 12 بايت.

يُخزَّن مع الملف المُشفَّر الرقم العشوائي الأخير فقط. أما الأرقام العشوائية الثلاثة الأولى، اللازمة لفك تشفير معظم الملف، فتُنشأ وتُستخدم مرة واحدة ثم تُحذف نهائيًا. ولا تُحفظ محليًا، ولا تُكتب في سجل النظام، ولا تُرسل إلى المُشغِّل.

لأن طريقة ChaCha20-IETF تتطلب كلاً من المفتاح الصحيح ذي الـ 32 بايت والقيمة العشوائية المطابقة لفك التشفير، فإن الأجزاء الثلاثة الأولى من كل ملف متأثر تصبح غير قابلة للاسترداد. هذا يعني أن VECT 2.0 يعمل فعلياً كأداة مسح مدمرة مخفية خلف رسائل برامج الفدية.

إصدار ويندوز: ميزات متقدمة، أداء ضعيف

يُعد إصدار ويندوز الأكثر ثراءً بالميزات ويستهدف ما يلي:

  • محركات الأقراص المحلية، والوسائط القابلة للإزالة، ووحدات التخزين الشبكية التي يمكن الوصول إليها
  • 44 أداة أمنية وتصحيح أخطاء من خلال عمليات فحص مضادة للتحليل
  • آليات استمرار الوضع الآمن
  • قوالب نصوص تنفيذ عن بعد للحركة الجانبية

عند تشغيلها باستخدام --force-safemode، تقوم البرامج الضارة بتهيئة إعادة التشغيل التالية إلى الوضع الآمن لنظام التشغيل Windows وتضيف مسارها القابل للتنفيذ إلى سجل Windows بحيث يتم تشغيلها تلقائيًا بعد إعادة التشغيل في بيئة ذات مستوى أمان منخفض.

ومن المثير للاهتمام، أنه على الرغم من احتواء نسخة ويندوز على آليات للكشف عن البيئة والتحايل عليها، إلا أنه لا يتم استدعاء هذه الإجراءات مطلقًا. وهذا قد يسمح للمدافعين بتحليل العينات دون إثارة استجابات خفية.

تُوسّع إصدارات لينكس وESXi نطاق التهديدات

يقوم إصدار ESXi بإجراء فحوصات تحديد الموقع الجغرافي ومكافحة التصحيح قبل بدء التشفير. كما يحاول الوصول إلى الشبكة من خلال بروتوكول SSH. أما إصدار Linux فيشترك في نفس قاعدة البيانات البرمجية مع إصدار ESXi، ولكنه يتضمن إمكانيات أقل.

يمنح هذا الدعم متعدد المنصات VECT 2.0 إمكانات استهداف واسعة النطاق ضد بيئات المؤسسات، وخاصة تلك التي تعتمد على المحاكاة الافتراضية وأنظمة التشغيل المختلطة.

نظام تحديد المواقع الجغرافية غير المألوف التابع لرابطة الدول المستقلة يثير تساؤلات

قبل تشفير الأنظمة، يتحقق البرنامج الخبيث مما إذا كان يعمل في إحدى دول رابطة الدول المستقلة. إذا كان الأمر كذلك، يتوقف تنفيذه. والجدير بالذكر أن أوكرانيا لا تزال مدرجة ضمن هذه الاستثناءات، وهو سلوك غير معتاد، إذ قامت العديد من مجموعات برامج الفدية بإزالة أوكرانيا من قوائم الإعفاءات الخاصة برابطة الدول المستقلة بعد عام 2022.

تم اقتراح تفسيرين محتملين:

  • ربما تم إنشاء البرمجيات الخبيثة جزئيًا باستخدام نماذج الذكاء الاصطناعي المدربة على بيانات جيوسياسية قديمة.
  • ربما يكون المطورون قد أعادوا استخدام قاعدة بيانات برمجية قديمة لبرامج الفدية دون تحديث المنطق الإقليمي

    • علامات تدل على قلة خبرة المشغلين

    على الرغم من أن VECT 2.0 تسوق نفسها على أنها تهديد متعدد المنصات مصقول مع تجنيد الشركاء، وشراكات سلسلة التوريد، والعلامات التجارية الاحترافية، إلا أن التنفيذ التقني يروي قصة مختلفة.

    تشير التقييمات الأمنية إلى أن القائمين على هذه العملية هم على الأرجح مبتدئون في مجال التهديدات الإلكترونية، وليسوا مطورين متمرسين لبرامج الفدية. ولا يمكن استبعاد احتمال أن تكون أجزاء من البرمجية الخبيثة قد تم إنتاجها أو تطويرها بمساعدة برامج الذكاء الاصطناعي.

    تقييم الأمن التنفيذي

    يُظهر برنامج VECT 2.0 كيف يمكن لبرامج الفدية الخبيثة، رغم مظهرها الخطير، أن تكون معيبة تقنيًا. فبنيتها التحتية وشراكاتها وعلامتها التجارية تُوحي بأنها مؤسسة إجرامية خطيرة، لكن فشل تصميم التشفير يُقوّض نموذج الابتزاز برمته.

    بالنسبة للمدافعين، الدرس واضح: التركيز على المرونة، والنسخ الاحتياطية، والتجزئة، والاستجابة السريعة للحوادث. في هجوم VECT 2.0، لا يضمن الدفع استعادة النظام، بل يأتي بعد التدمير.

    الشائع

    الأكثر مشاهدة

    جار التحميل...