كشف باحثون في الأمن السيبراني عن تفاصيل عائلة جديدة من برمجيات الفدية تُعرف باسم Reynolds، تتميز بدمج مكوّن Bring Your Own Vulnerable Driver (BYOVD) مباشرة داخل حمولة الفدية نفسها.
تقنية BYOVD تعتمد على استغلال برامج تشغيل شرعية لكنها تحتوي على ثغرات، بهدف تصعيد الصلاحيات وتعطيل أدوات Endpoint Detection and Response (EDR)، مما يسمح للنشاط الخبيث بالمرور دون اكتشاف.
استهداف برامج الحماية عبر ثغرة NSecKrnl
في حملة Reynolds، يقوم البرنامج بإنزال برنامج تشغيل ضعيف من NsecSoft NSecKrnl، ثم إنهاء العمليات المرتبطة ببرامج حماية شهيرة مثل Avast، CrowdStrike Falcon، Palo Alto Networks Cortex XDR، Sophos، Symantec Endpoint Protection وغيرها.
الثغرة المستغلة مسجلة تحت الرمز CVE-2025-68947 بدرجة خطورة 5.7، وتسمح بإنهاء عمليات عشوائية. وقد استخدمها سابقاً فاعل تهديد يُعرف باسم Silver Fox لتعطيل أدوات الحماية قبل نشر برمجية ValleyRAT.
تكتيكات إضافية للحفاظ على الوصول
أشارت فرق Symantec وCarbon Black إلى أن الحملة تضمنت وجود محمل جانبي مشبوه على الشبكة المستهدفة قبل أسابيع من نشر الفدية، إضافة إلى استخدام برنامج الوصول عن بُعد GotoHTTP بعد يوم واحد من الهجوم، مما يشير إلى رغبة المهاجمين في الحفاظ على وصول دائم.
ميزة دمج مكوّن التخفي مع حمولة الفدية تجعل الهجوم أكثر هدوءاً، حيث لا يتم إسقاط ملفات إضافية منفصلة، مما يقلل من فرص اكتشافه.
مشهد الفدية يتوسع ويتطور
يتزامن ظهور Reynolds مع موجة من التطورات في مشهد الفدية:
- حملة تصيّد ضخمة استخدمت مرفقات LNK لتسليم برمجية GLOBAL GROUP القادرة على العمل في بيئات معزولة دون تسريب بيانات.
- مجموعة WantToCry استغلت منصات افتراضية من ISPsystem لنشر حمولات خبيثة على نطاق واسع.
- كارتل DragonForce أطلق خدمة “تدقيق بيانات الشركات” لدعم حملات الابتزاز بمستندات وتقارير موجهة للإدارة العليا.
- النسخة الجديدة LockBit 5.0 اعتمدت خوارزمية ChaCha20 للتشفير وأدخلت مكوّنات إضافية مثل خاصية المسح (Wiper) وتقنيات متقدمة لتفادي التحليل.
- مجموعة Interlock استغلت ثغرة في برنامج تشغيل للألعاب (CVE-2025-61155) لتعطيل أدوات الحماية في هجوم BYOVD.
- المهاجمون باتوا يركزون بشكل متزايد على خدمات التخزين السحابي مثل AWS S3، مستغلين الإعدادات الخاطئة لحذف أو استخراج البيانات.
الإحصاءات تشير إلى أن عدد هجمات الفدية ارتفع إلى 4,737 هجوماً في 2025، بينما بلغت الهجمات التي تعتمد على سرقة البيانات فقط 6,182 هجوماً، بزيادة 23% عن العام السابق. كما ارتفع متوسط قيمة الفدية المدفوعة في الربع الرابع من 2025 إلى نحو 591,988 دولاراً، بزيادة 57% عن الربع الثالث.
