اختفاء RansomHub المفاجئ: شركات تابعة تنتقل إلى Qilin بينما تدعي DragonForce السيطرة

اختفاء RansomHub المفاجئ: شركات تابعة تنتقل إلى Qilin بينما تدعي DragonForce السيطرة
اختفاء RansomHub المفاجئ: شركات تابعة تنتقل إلى Qilin بينما تدعي DragonForce السيطرة
شارك هذا الخبر

كشف باحثو الأمن السيبراني عن اختفاء البنية التحتية لـ RansomHub بشكل مفاجئ اعتبارًا من 1 أبريل 2025، مما أثار قلقًا بين الشركات التابعة لعملية برنامج الفدية كخدمة (RaaS).

وفقًا لشركة Group-IB السنغافورية، قد يكون هذا الاختفاء قد دفع الشركات التابعة إلى الانتقال إلى منصة Qilin، حيث تضاعفت عمليات تسريب البيانات منذ فبراير.

صعود RansomHub وسقوطه المفاجئ

ظهر RansomHub لأول مرة في فبراير 2024، وسرعان ما أصبح من أبرز منصات برامج الفدية، حيث حل محل مجموعات شهيرة مثل LockBit وBlackCat، وجذب شركات تابعة مثل Scattered Spider وEvil Corp بفضل حوافز مالية كبيرة.

وقالت Group-IB:

“بعد الحصول على كود برنامج الفدية الخاص بـ Knight (المعروف سابقًا باسم Cyclops)، ارتفع شأن RansomHub بفضل ميزاته المتعددة ونموذجه العدواني الجاذب للشركات التابعة.”

كان برنامج الفدية التابع لـ RansomHub يعمل على أنظمة Windows وLinux وFreeBSD وESXi، مع تجنب استهداف دول مثل روسيا وكوبا وكوريا الشمالية والصين. كما كان بإمكانه تشفير الملفات عبر بروتوكولات SMB وSFTP.

اضطرابات بين الشركات التابعة وادعاءات DragonForce

أدى اختفاء RansomHub إلى حالة من الفوضى بين الشركات التابعة، حيث ادعت مجموعة DragonForce في منتدى RAMP أنها استولت على البنية التحتية لـ RansomHub تحت اسم جديد: “DragonForce Ransomware Cartel”.

كما يُعتقد أن مجموعة BlackLock بدأت التعاون مع DragonForce بعد اختراق موقع تسريب البيانات الخاص بها في مارس 2025.

وقالت GuidePoint Security:

“هذه التطورات تظهر عدم استقرار وضع شركات RansomHub التابعة، والتي قد تكون ضحية لاستيلاء خارجي.”

نماذج جديدة لبرامج الفدية: من DragonForce إلى Anubis وELENOR-corp

كشفت Secureworks أن DragonForce تعتمد نموذجًا جديدًا يسمح للشركات التابعة بإنشاء “علامات تجارية” خاصة بهم، بدلًا من الالتزام بنموذج RaaS التقليدي.

وفي الوقت نفسه، ظهرت مجموعات جديدة مثل:

  • Anubis: تستخدم تكتيك “فدية البيانات” بتهديد الضحايا بنشر “تحقيقات” عن البيانات المسروقة.

  • ELENOR-corp: نسخة متطورة من برنامج Mimic تستهدف قطاع الرعاية الصحية.

تكتيكات متطورة ومجموعات جديدة تهدد القطاعات الحيوية

من بين المجموعات الناشئة الأخرى:

  • CrazyHunter: تستهدف قطاعات الصحة والتعليم والصناعة في تايوان.

  • Elysium: إصدار جديد من برنامج Ghost يعطل نسخ النظام الاحتياطية.

  • FOG: تنتحل صفة جهات حكومية أمريكية لخداع الضحايا.

  • Hunters International: أطلقت عملية ابتزاز جديدة باسم World Leaks.

الخلاصة: مشهد برامج الفدية يتطور بسرعة

مع تزايد الابتكارات في عالم برامج الفدية، تظهر مجموعات جديدة وتتبنى أساليب أكثر تطورًا للتهرب من الرقابة. كما أن تحليلات حديثة، مثل تلك الصادرة عن FIRST، تكشف كيف تعتمد هذه المجموعات على الهندسة الاجتماعية وثغرات VPN لتنفيذ هجماتها.

يظل السؤال: هل يشكل اختفاء RansomHub بداية النهاية له؟ أم أنه مجرد تغيير في المشهد الإجرامي الرقمي؟

وسوم
محمد طاهر
محمد طاهر
المقالات: 231

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة