فيروس فدية جديد يستهدف أحدث ملفاتك أولاً ولا يترك أثراً خلفه

في مشهد يكشف مدى التطور المتسارع في أدوات الجريمة الإلكترونية، رصد باحثو الأمن السيبراني في شركة ThreatDown التابعة لـ Malwarebytes برنامجاً خبيثاً جديداً للفدية يحمل اسم Prinz Eugen، مستوحىً من اسم طراد حربي ألماني ثقيل يعود إلى الحرب العالمية الثانية. وقد جاء اكتشافه في الحادي عشر من مايو 2026 إثر هجوم استهدف أحد عملاء الشركة، ليكشف عن أسلوب اشتغال غير مألوف يُعيد تعريف المفهوم التقليدي لفيروسات الفدية.

ما يجعل هذا البرنامج استثنائياً هو نهجه في اختيار الملفات المستهدفة، إذ يُرتّب الملفات وفق تاريخ تعديلها ويبدأ بتشفير الأحدث منها أولاً، مستهدفاً عمداً البيانات الأكثر احتمالاً للاستخدام الفعلي والنشط، بما يُضاعف الضغط على الضحايا لدفع الفدية.

برنامج فدية Prinz Eugen: كيف يعمل ولماذا يختلف عن سابقيه

يُجري البرنامج فحصاً متكرراً للمجلدات دون أي حد لعمق البحث وبلا استثناءات تُذكر، إذ يُشفّر كل ملف تقريباً باستثناء تلك التي تحمل امتداد .prinzeugen المخصص للملفات المشفرة مسبقاً، وتستخدم الشيفرة خوارزمية ChaCha20-Poly1305 مع مفتاح رئيسي بطول 32 بايت، وقيمة تهيئة عشوائية لكل ملف على حدة، إلى جانب دالة اشتقاق مفاتيح تعتمد على ثلاث مراحل متتالية.

والأخطر من ذلك أن هذا البرنامج لا يكتفي بالتشفير، بل لا يترك أي رسالة فدية على نظام الضحية، لا ملف نصي ولا صفحة HTML ولا تعديلاً على خلفية الشاشة، وتجري عملية الابتزاز بالكامل عبر قنوات خارجية مثل عناوين بريد مخصصة وبوابة على شبكة Tor، في نهج يزداد شيوعاً بين مجموعات الفدية المنظمة لتقليل الأثر الجنائي الرقمي.

بعد اكتمال التشفير، يحذف البرنامج نفسه عبر آلية إزالة ذاتية مؤجلة، مما يُخلف أثراً ضئيلاً جداً على الجهاز المصاب ويُعقّد عمليات التحليل الجنائي الرقمي والاستجابة للحوادث. ويذهب أبعد من ذلك حين يتحقق من إمكانية فك تشفير الملف قبل حذف النسخة الأصلية منه، وهو ما يعكس مستوى من الدقة التقنية نادراً في هذا النوع من البرمجيات الخبيثة.

أسلوب الاختراق وتقنيات التخفي لدى مشغلي Prinz Eugen

يُرجّح أن الوصول الأولي يتم عبر بيانات اعتماد RDP مسروقة، يعقبه تنزيل يدوي وتشغيل للحمولة الرئيسية المسماة servertool.exe، فيما رصد الباحثون استخدام أداة RemotePC لإدارة الأجهزة عن بُعد وتشغيل برامج PowerShell، إضافة إلى إنشاء حساب مدير خفي يضمن الاستمرارية داخل الشبكة المخترقة.

هذا النهج يندرج ضمن ما يُعرف بأسلوب Living off the Land، وهو أسلوب يعتمد فيه المهاجمون على الأدوات الشرعية المثبتة مسبقاً في البيئة المستهدفة، مما يجعل اكتشافهم بالغ الصعوبة لأن نشاطهم يُشبه نشاط موظف عادي أو مسؤول تقني.

في حادثة Standard Bank الأكثر توثيقاً، تمكّن المهاجمون من التحرك أفقياً عبر تطبيقات مؤسسية متعددة تشمل SharePoint وOneDrive وJira وConfluence وCitrix وقواعد بيانات Microsoft SQL وOracle، مع فترة توطّن داخل الشبكة امتدت نحو ثلاثة أسابيع قبل الشروع في سرقة البيانات.

وعلى صعيد الضحايا، حدد الباحثون ما لا يقل عن خمس مؤسسات متضررة، وإن كان الموقع المخصص لتسريب البيانات لا يُدرج سوى ثلاثة ضحايا علناً، مما يُشير إلى أن بعض الحالات تجري خارج الأضواء، وقد تضمنت إحدى الحالات مطالبة بفدية تُعادل بيتكوين واحداً رفضت الضحية دفعها.

وخلافاً للنماذج الشائعة في سوق الجريمة الإلكترونية، لا يعمل Prinz Eugen وفق نموذج الفدية كخدمة RaaS، ولا يسعى مطوروه حالياً إلى تجنيد شركاء، مما يجعله عملية مُحكمة ومغلقة يديرها طرف محدود العدد لكن عالي الكفاءة.

التحقيق في هوية المهاجم وخيط ROOTBOY الذي قاد الباحثين

يُشير أقوى مسار للإسناد المتاح علناً إلى جهة تعمل تحت اسم ROOTBOY، إذ جمعت بين هذا الاسم وبرنامج الفدية مؤشرات متعددة: تقارير صحفية جنوب أفريقية ربطت اسم ROOTBOY بنشر بيانات Standard Bank على منتدى DarkForums، ومتابعة مواقع تسريب البيانات التي تُدرج ROOTBOY بوصفه المنتسب الوحيد للموقع المرتبط بـ Prinz Eugen.

السجل التاريخي للجهة يمتد إلى ما قبل ظهور هذا البرنامج بأشهر، إذ يشمل بيع قاعدة بيانات Vantage Finance تحت اسم avtokz، ثم بيع اختراق 700Credit في نوفمبر 2025 وهو ما يمثل نحو 8.4 مليون سجل أمريكي تتضمن أرقام الضمان الاجتماعي وتواريخ الميلاد وبيانات التوظيف، وذلك تحت اسم ROOTBOY بعد فشل محاولة ابتزاز جرت تحت اسم GERMANIA.

الحلقة الأقوى في سلسلة الإسناد تأتي من داخل الشيفرة البرمجية ذاتها، إذ إن المهاجم أنشأ حساب مدير محلي بكلمة مرور هي germania، وهو الاسم المستعار نفسه المستخدم في محاولة ابتزاز 700Credit قبل أشهر، مما يربط التحليل التقني لعينة البرنامج بشخصية موثقة ومسماة من قبل.

يُشير مجمل الأدلة إلى أن الأمر يتعلق على الأرجح بشخص واحد يُعيد استخدام الاسم المستعار نفسه ومعرف TOX الخاص به ونمط التسمية الألماني عبر عمليات متتالية، وهو بالضبط ما يجعل الإسناد ممكناً.

هذه الشخصية لم تكتفِ بالابتزاز والتشفير، بل اعتمدت نموذج الابتزاز المزدوج القائم على سرقة كميات ضخمة من البيانات أولاً ثم تشفير الأنظمة ثانياً، مع التلويح بنشر المعلومات علناً إن لم تُدفع الفدية. وقد سرّب المهاجمون في حادثة Standard Bank ما يزيد على 1.2 تيرابايت من البيانات وأكثر من 154 مليون صف من قواعد بيانات SQL، وهو حجم يُلقي بظلاله الثقيلة على مفهوم الأمن المصرفي في الأسواق الناشئة.

محمد طاهر
محمد طاهر
المقالات: 1707

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.