أفادت تقارير أمنية أن مجموعة RansomHouse، المعروفة أيضاً باسم Jolly Scorpius، قامت بترقية آلية تشفير الملفات في هجماتها لتصبح أكثر تعقيداً عبر استخدام مفتاحين مختلفين للتشفير. هذا التطوير يُعد تصعيداً مقلقاً في مسار تطور برمجيات الفدية، حيث أوضحت وحدة Unit 42 التابعة لشركة Palo Alto Networks أن الإصدار الجديد يعتمد على نظام تشفير ثنائي، يتم فيه تشفير البيانات بشكل منفصل باستخدام مفتاح أساسي وآخر ثانوي، ما يجعل فك التشفير شبه مستحيل دون الحصول على كلا المفتاحين.
نشاط المجموعة وأدواتها الأساسية
مجموعة RansomHouse تنشط منذ ديسمبر 2021، وقد أدرجت حتى الآن 123 ضحية على موقعها الخاص بتسريب البيانات. تعتمد المجموعة على أداة محورية تُعرف باسم MrAgent، والتي تمنح المهاجمين وصولاً دائماً إلى بيئة الضحية، وتُسهل إدارة الأجهزة المخترقة على نطاق واسع. هذه الأداة مسؤولة أيضاً عن نشر برمجية Mario التي تستهدف ملفات الأجهزة الافتراضية (VM files) في بيئة ESXi hypervisor، ما يزيد من خطورة الهجمات على البنى التحتية الحيوية للشركات.
دلالات التطوير على مشهد برمجيات الفدية
التطور الأخير في تقنيات التشفير يعكس مساراً مقلقاً في عالم برمجيات الفدية، حيث تسعى المجموعات الإجرامية إلى رفع مستوى التعقيد لمنع أي محاولات لفك التشفير أو استعادة البيانات دون دفع الفدية. الجمع بين أدوات مثل MrAgent و Mario مع نظام التشفير الثنائي يوضح أن RansomHouse تعمل على تعزيز قدرتها على السيطرة الكاملة على بيئات الضحايا، مع ضمان بقاء البيانات رهينة بشكل شبه مطلق.
