كشف باحثون في الأمن السيبراني عن ظهور سلالة جديدة من برمجيات الفدية تحمل اسم Cephalus، رُصدت في هجمات خلال منتصف أغسطس 2025. وأوضحت التحقيقات أن المجموعة الإجرامية وراء البرمجية اعتمدت على حسابات بروتوكول سطح المكتب البعيد (RDP) المخترقة كمدخل أولي للهجوم، فيما استُخدمت خدمة التخزين السحابي MEGA لتهريب البيانات خارج الشبكات المستهدفة.
نشاط متزايد لعصابات الفدية
تزامن ظهور Cephalus مع موجة جديدة من الهجمات شنّتها مجموعات Underground وNightSpire ضد شركات في عدة دول وقطاعات، من بينها كوريا الجنوبية. وتعكس هذه التطورات تسارع وتيرة أنشطة عصابات الفدية، التي لم تعد تركز على منطقة جغرافية واحدة، بل توسّعت عالميًا بحثًا عن أهداف سهلة الاختراق.
إعادة تسمية برمجيات خبيثة
وفي حادثة أخرى رصدتها شركة eSentire، استخدم قراصنة بيانات اعتماد مسروقة لخدمة SonicWall SSL VPN التي تديرها جهات مزوّدة بالخدمات المدارة (MSP) كوسيلة وصول أولية. هذا الهجوم ارتبط ببرمجية Sinobi، التي تمثل نسخة معاد تسميتها من برمجية Lynx.
وبمجرد الحصول على الحسابات، أنشأ المهاجمون حساب مدير محلي جديد، ثبّتوا كلمة مرور له، ومن ثم أضافوه إلى مجموعة مسؤولي النطاق (Domain Administrators). وقد استُخدم كل من الحساب المخترق والحساب الجديد في تنفيذ حركة جانبية داخل الشبكة لزيادة السيطرة ونشر البرمجية الخبيثة.
خلفية عن تصاعد تهديدات الفدية
تؤكد هذه الحوادث أن برمجيات الفدية ما تزال تمثل أحد أخطر أشكال التهديد السيبراني عالميًا، حيث يجمع المهاجمون بين استغلال الثغرات التقنية وسرقة بيانات الاعتماد من أطراف ثالثة لتوسيع نطاق هجماتهم. ومع تطور أساليب إعادة التسمية والتوزيع، تصبح مهمة رصد هذه البرمجيات ووقف انتشارها أكثر صعوبة بالنسبة للمؤسسات.
