كشف تحليل أمني حديث عن ثغرة كارثية في برنامج “فولك لوكر” الابتزازي الجديد، تسمح للمُهاجَمين باستعادة ملفاتهم المشفرة دون دفع فدية، وذلك بسبب خلل تقني غريب في تصميم البرنامج الخبيث.
وقد ظهر برنامج “فولك لوكر” (المعروف أيضًا باسم CyberVolk 2.x) في أغسطس 2025 كعرض خدمة “برنامج الفدية كخدمة” تقدمه المجموعة القرصانية المؤيدة لروسيا والمعروفة باسم “سايبر فولك” أو “جلورياميست”. وكما أفادت شركة “سينتينل وان” للأمن السيبراني، فإن هذا البرنامج الخبيث مكتوب بلغة “جولانج” البرمجية، ويستهدف أنظمة تشغيل ويندوز ولينكس على حد سواء. وتمت إدارة عمليات هذه الخدمة بشكل أساسي عبر تطبيق التراسل “تيليجرام”.
خلل مصمم: المفتاح السري الرئيسي مُضمن في البرنامج ومخزن كنص واضح
يكمن الخلل الجسيم في آلية التشفير الخاصة بفولك لوكر. فبحسب تقرير الباحث الأمني جيم والتر، يستخدم البرنامج خوارزمية AES-256 القوية للتشفير. ومع ذلك، قام المطورون بارتكاب خطأ فادح يتمثل في تضمين “المفتاح الرئيسي” للتشفير داخل ملفات البرنامج التنفيذية نفسها، واستخدام هذا المفتاح نفسه لتشفير جميع الملفات على النظام المُستهدف.
الأكثر إثارة للدهشة أن هذا المفتاح الرئيسي الحساس يُكتب تلقائيًا أيضًا في ملف نصي واضح وغير مشفر داخل مجلد الملفات المؤقتة في نظام ويندوز، تحت المسار التالي: C:\Users\AppData\Local\Temp\system_backup.key. والأسوأ من ذلك، أن البرنامج لا يقوم بحذف هذا الملف بعد انتهاء عملية التشفير، مما يترك الباب مفتوحًا أمام الضحايا أو أدوات الاسترداد للعثور عليه واستخدامه لفك تشفير الملفات مجانًا، متجاوزين بذلك مطالب الفدية بالكامل.
تكتيكات ترهيبية: مهلة 48 ساعة ومحو الملفات الشخصية
على الرغم من هذا الخلل الساذج، يمتلك فولك لوكر خصائص عدوانية نموذجية لبرامج الفدية. فهو يقوم بتعديل سجل نظام ويندوز لتعطيل استعادة النظام، ويمسخ نسخ الظل الاحتياطية للملفات، ويوقف العمليات المرتبطة ببرامج مكافحة الفيروسات مثل “مايكروسوفت ديفندر” وأدوات التحليل الأمني الأخرى.
إلا أن السمة الأبرز التي تميزه هي ما يُسمى “عداد الإنفاذ”. فإذا فشل الضحايا في دفع الفدية المطلوبة خلال 48 ساعة، أو أدخلوا مفتاح فك التشفير الخطأ ثلاث مرات، يقوم البرنامج تلقائيًا بمحو محتويات المجلدات الشخصية الرئيسية للمستخدم مثل: المستندات، وسطح المكتب، والتنزيلات، والصور، مما يزيد من الضغط النفسي على الضحية.
استراتيجية توسع: من هجمات الحرمان من الخدمة إلى سوق الخدمات الإجرامية
تمثل فولك لوكر تطورًا في استراتيجية مجموعة “سايبر فولك” المعروفة تاريخيًا بتنفيذ هجمات “الحرمان من الخدمة” وبرامج الفدية ضد الكيانات الحكومية والعامة دعماً للمصالح الروسية. وقد أطلقت المجموعة عملياتها كخدمة للابتزاز في يونيو 2024، وتسعّر حزمة البرنامج بين 800 و1100 دولار لإصدار واحد (ويندوز أو لينكس)، وبين 1600 و2200 دولار للإصدارين معًا.
وتشير الدلائل إلى توسع المجموعة في نطاق خدماتها الإجرامية، حيث أعلنت في نوفمبر 2025 عن بيع برامج خبيثة أخرى مثل “حصان طروادة” للوصول عن بُعد ومسجل لوحة المفاتيح، بسعر 500 دولار لكل منهما، في محاولة لتنويع مصادر دخلها. وعلى الرغم من حظر حساباتها المتكرر على تيليجرام خلال عام 2025، استمرت المجموعة في إعادة إنشاء قنواتها وتوسيع عروضها، مما يعكس اتجاهاً أوسع بين الجهات الفاعلة الخبيثة ذات الدوافع السياسية لاستخدام البنى التحتية الجاهزة والمتاحة لتقديم خدماتهم الإجرامية بسهولة أكبر.
