ظهرت مجموعة جديدة من عصابات برامج الفدية كخدمة (RaaS) تُدعى Chaos، ويُرجح أنها تضم أعضاء سابقين من مجموعة BlackSuit التي تعرضت بنيتها التحتية على الويب المظلم مؤخرًا لمصادرة من قبل جهات إنفاذ القانون.
تأسست Chaos في فبراير 2025، وانضمت إلى مشهد الهجمات السيبرانية ضمن فئة “الصيد الكبير” التي تستهدف كيانات ضخمة، مع اتباع نهج الابتزاز المزدوج الذي يتضمن تشفير البيانات وسرقتها وتهديد الضحايا بنشرها.
تكتيكات وصول متطورة ومرونة تقنية عالية
وبحسب باحثي Cisco Talos، تبدأ هجمات المجموعة بإغراق البريد الإلكتروني برسائل مزعجة، تتطور لاحقًا إلى أساليب هندسة اجتماعية صوتية للحصول على الوصول، يلي ذلك استغلال أدوات الإدارة عن بُعد (RMM) للحفاظ على الاتصال المستمر واستخدام أدوات مشاركة ملفات شرعية لسرقة البيانات.
تستغل برمجية الفدية خاصية التشفير المتعدد الخيوط (multi-threaded) لتسريع عملية تشفير الملفات محليًا وعلى الشبكة، وتتبنى تقنيات معقدة مضادة للتحليل تعيق الكشف والاستجابة.
ليست Chaos التي تعرفها
من المهم التوضيح أن هذه المجموعة لا تمت بصلة للبنّائين البرمجيين السابقين الذين حملوا اسم Chaos مثل Yashma وLucky_Gh0$t، مما يشير إلى محاولة متعمدة لخلق التباس في ساحة التهديدات. وتشير بيانات منصة Ransomware.live إلى أن غالبية الضحايا من داخل الولايات المتحدة.
وقد طالبت المجموعة فديات تصل إلى 300 ألف دولار مقابل أداة فك التشفير وتقرير مفصل لاختراق البنية التحتية يتضمن تسلسل الهجوم الكامل وتوصيات أمنية.
الهجوم: من التصيد إلى السيطرة الكاملة
تبدأ سلسلة الهجوم بخدع تصيد واحتيال صوتي تهدف لإقناع الضحية بتثبيت برنامج Microsoft Quick Assist، ومن خلاله يتمكن المهاجمون من تنفيذ عمليات استطلاع داخلي وتثبيت أدوات RMM إضافية مثل AnyDesk وScreenConnect وOptiTune وSyncro RMM وSplashtop لضمان السيطرة المستمرة.
كما تشمل الهجمات سرقة بيانات الدخول، ومسح سجلات PowerShell، وحذف أدوات الحماية، ثم تنفيذ عمليات حركة جانبية داخل الشبكة وسرقة البيانات باستخدام أداة GoodSync، يليها في النهاية تنفيذ تشفير الملفات.
أوجه التشابه مع BlackSuit تؤكد الروابط
تشير أوجه الشبه في أوامر التشفير، وصيغة رسائل الفدية، وأدوات RMM المستخدمة إلى أن Chaos هي الوريث الطبيعي لمجموعة BlackSuit، والتي كانت هي الأخرى انبثاقًا من Royal، المشتقة بدورها من Conti. هذا التتابع يعكس الطبيعة المتحولة والمراوغة لمشهد تهديدات الفدية.
وقد جاء ظهور Chaos بالتزامن مع مصادرة مواقع BlackSuit على الويب المظلم ضمن عملية دولية لتطبيق القانون حملت اسم “عملية كش ملك (Operation Checkmate)”، حيث ظهرت رسالة مصادرة على المواقع تشير إلى تدخل من تحقيقات الأمن الداخلي الأمريكي، دون صدور بيان رسمي حتى الآن.
ضربة مالية وأسماء جديدة تدخل الساحة
في خطوة ذات صلة، أعلنت كل من مكتب التحقيقات الفيدرالي (FBI) ووزارة العدل الأمريكية (DoJ) عن مصادرة 20.2891382 بيتكوين (ما يعادل حاليًا أكثر من 2.4 مليون دولار) من محفظة إلكترونية مرتبطة بعضو في Chaos يُعرف باسم Hors.
ويأتي ظهور Chaos ضمن موجة من سلالات الفدية الجديدة التي اجتاحت المشهد مثل Backups وBert وBlackFL وBQTLOCK وDark 101 وGunra وJackalock وMoscovium وRedFox وSinobi. وقد أشارت شركة CYFIRMA إلى أن Gunra مبنية على أساس Conti وقد سجلت 13 ضحية منذ أبريل 2025.
تطور أساليب الهجوم وتراجع الأعداد
تشير تقارير إلى أن سلالات الفدية الجديدة تستخدم تقنيات مراوغة متقدمة تشمل التمويه، وتجاوز أنظمة الكشف المعتمدة على القواعد، وأساليب تشفير قوية، مع تحذيرات للضحايا من نشر بياناتهم في منتديات مظلمة حال عدم الدفع.
وشهدت بعض الهجمات مؤخرًا استخدام أسلوب “تحميل DLL الجانبي” لنشر برمجية NailaoLocker، إلى جانب خدع مشابهة لـClickFix لخداع المستخدمين وتنزيل ملفات HTA خبيثة تحت غطاء تحقق CAPTCHA، ما أدى إلى انتشار برمجية Epsilon Red.
تراجع نسبي لا يعني انخفاض الخطر
أفاد تقرير صادر عن مجموعة NCC بأن هجمات برامج الفدية تراجعت بنسبة 43٪ في الربع الثاني من 2025، لتسجل 1180 هجمة مقارنة بـ2074 في الربع الأول. وتصدرت مجموعة Qilin المشهد بـ151 هجمة، تلتها Akira بـ131، ثم Play بـ115، وSafePay بـ108، وLynx بـ46 هجمة.
ومع ذلك، يرى مات هال، رئيس الاستخبارات التهديدية لدى NCC، أن انخفاض عدد الضحايا الظاهرين على مواقع تسريبات الفدية لا يعني بالضرورة انخفاض مستوى التهديدات، بل قد يعود إلى إجراءات إنفاذ القانون وتسريب الشيفرات البرمجية للمهاجمين، ما يدفع هذه الجماعات لتغيير هويتها وتكتيكاتها، مع الاعتماد المتزايد على الهندسة الاجتماعية المتقدمة.
