أعلنت وكالات إنفاذ القانون الأوروبية، بقيادة يوروبول ويوروغست، عن تفكيك ثلاثاً من أبرز عائلات البرمجيات الخبيثة هي Rhadamanthys Stealer وVenom RAT وشبكة Elysium botnet، وذلك ضمن المرحلة الأحدث من عملية Endgame الممتدة بين 10 و13 نوفمبر 2025. وتهدف العملية، التي تُعد من أوسع الحملات المنسقة عالمياً، إلى القضاء على بنى الجريمة السيبرانية التي تمثل واجهات تمكينية لهجمات الفدية. وإلى جانب تعطيل البنى الأساسية لهذه العائلات الخبيثة، تم القبض على المشتبه الرئيسي وراء Venom RAT في اليونان مطلع نوفمبر، إضافة إلى إسقاط أكثر من 1025 خادماً ومصادرة 20 نطاقاً.
بنية خبيثة ضخمة تضم ملايين بيانات الاعتماد
أوضحت يوروبول أن البنية الخبيثة المفككة كانت تتألف من مئات الآلاف من الأجهزة المصابة التي تحتوي على عدة ملايين من بيانات الاعتماد المسروقة، وغالبية الضحايا لم يكونوا على علم بإصابة أجهزتهم. ولا يزال من غير الواضح ما إذا كانت شبكة Elysium المشار إليها هي نفسها خدمة البروكسي التي كان تهديد RHAD أو ما يُعرف بـ Mythical Origin Labs يروّج لها حتى الشهر الماضي. كما أشارت الوكالة إلى أن المشتبه الرئيسي المرتبط بـ Rhadamanthys كان يمتلك إمكانية دخول لما لا يقل عن 100 ألف محفظة عملات مشفرة تخص ضحايا حول العالم، بما قد يصل إلى ملايين اليوروهات من الأصول.
أساليب متطورة للتخفي وتداعيات على سلسلة هجمات الفدية
أظهرت تحليلات حديثة من Check Point أن النسخة الأخيرة من Rhadamanthys باتت تدعم جمع بصمات الأجهزة والمتصفحات، وتستخدم تقنيات متعددة للإفلات من الرصد. ووفق مؤسسة Shadowserver، التي شاركت في جهود تنفيذ العملية، فإن البرمجية كانت تُستخدم في بعض الحالات لإنزال برمجيات خبيثة إضافية، ما يجعل الأجهزة المصابة عرضة لتداخل إصابات متعددة قد تكون مرتبطة بحوادث اقتحام أو هجمات فدية سابقة. وقد تم التعرف على 525303 إصابات فريدة بـ Rhadamanthys بين مارس ونوفمبر 2025 في 226 دولة وإقليم، بما يشمل أكثر من 86 مليون حدث لسرقة المعلومات. وتحتل الهند المرتبة الأولى بنحو 63 ألف عنوان IP مصاب.
ضربة مباشرة لسلسلة هجمات الفدية
أعربت CrowdStrike عن أن نجاح عملية Endgame 3.0 يبرز فاعلية التعاون بين القطاعين العام والخاص، مشيرة إلى أن استهداف مقدمي الوصول الأولي واللودرز وأدوات سرقة المعلومات يوجه ضربة مبكرة لبداية سلسلة هجمات الفدية، لا لمُشغليها فقط. ويرى خبراء الشركة أن ضرب البنية التحتية التي تغذي اقتصاد الفدية يمثل ضربة في الصميم، لكن ذلك لا يعني القضاء الكامل على التهديد. ويوصون بأن تستغل المؤسسات هذه الفترة لتعزيز دفاعاتها وسد فجوات الرؤية ورصد موجة الأدوات المقبلة التي قد يستخدمها المهاجمون.
