في مشهد يكشف عن تحولات عميقة في بنية الجريمة الإلكترونية المنظمة، صعد برنامج الفدية INC بسرعة لافتة من مجرد عملية ناشئة إلى واحدة من أخطر مجموعات الابتزاز الرقمي في العالم. فمنذ أغسطس 2023، وثّق الباحثون ما لا يقل عن 830 ضحية سقطت في مرمى هذه المجموعة التي تعمل وفق نموذج الفدية كخدمة، المعروف اختصاراً بـ RaaS. وقد رصد باحثو شركة Acronis المتخصصة في الأمن الرقمي مسار تطور هذه المجموعة، وخلصوا إلى أن انهيار منظومتَي LockBit وBlackCat، اللتين كانتا تهيمنان على السوق السوداء للفدية، فتح الباب أمام INC لاستقطاب شبكة واسعة من الشركاء والمنفّذين الذين تفرقوا يبحثون عن بيئة عمل بديلة.
نموذج الفدية كخدمة الذي تتبناه المجموعة ليس جديداً في حد ذاته، غير أن طريقة توظيف INC له اكتسبت مستوى من الاحترافية يميزها عن كثير من المنافسين. في هذا النموذج، تقوم المجموعة المُطوِّرة بتوفير الأدوات والبنية التحتية، فيما يتولى شركاء مستقلون تنفيذ الهجمات الفعلية مقابل حصة من الفدية المدفوعة. هذا النموذج حوّل الجريمة الإلكترونية من نشاط يستلزم خبرة تقنية عالية إلى ما يشبه الامتياز التجاري المنظم، حيث يكفي المهاجم أن يمتلك مهارات التسلل الأولي دون الحاجة إلى تطوير أدواته بنفسه.
الولايات المتحدة في المرمى: تشريح الضحايا والقطاعات الأكثر استهدافاً
تكشف أرقام INC عن نمط جغرافي وقطاعي واضح. تُمثّل المنظمات الأمريكية ما يزيد على 65 بالمئة من إجمالي الضحايا الموثّقين، وهي نسبة تعكس تركيزاً استراتيجياً مقصوداً على أكبر اقتصاد في العالم حيث تكون المؤسسات أكثر قدرة على دفع فدى ضخمة. أما على صعيد القطاعات، فتتصدر القائمة الخدمات القانونية، والتصنيع، والبناء، وقطاع التقنية، والرعاية الصحية.
الاختيار ليس عشوائياً. هذه القطاعات تجمع بين خاصيتَين يستغلهما المهاجمون: الاعتماد شبه الكلي على استمرارية العمليات، والحساسية القصوى للبيانات التي تتداولها. في المستشفى أو المنشأة الصحية، توقف الأنظمة قد يعني تعريض حياة المرضى للخطر، مما يُضاعف الضغط على الإدارة لدفع الفدية بسرعة. وفي شركات الخدمات القانونية، تمتلك البيانات المُستهدفة حساسية قانونية وتفاوضية استثنائية، مما يجعل تسريبها أداة ضغط لا يمكن تجاهلها.
يقول باحثو Acronis إن هذه القطاعات تعتمد بشكل وثيق على سلاسل التوريد وشبكات الموردين، مما يعني أن اختراق كيان واحد قد يُعرّض عشرات الجهات الشريكة والمرتبطة به للخطر.
بنية هجومية متطورة تعتمد على أدوات مشروعة لإخفاء آثارها
ما يميز INC تقنياً ليس ابتكار أدوات هجومية جديدة من الصفر، بل قدرتها على توظيف ما هو موجود بكفاءة عالية. تبدأ سلسلة الهجوم عادةً بالحصول على موطئ قدم أولي عبر مسارات متعددة: رسائل التصيد الاحتيالي الموجّهة، وشراء بيانات اعتماد مسرّبة من وسطاء الوصول الأولي، واستغلال ثغرات معروفة في التطبيقات المواجهة للإنترنت من بينها ثغرات في Citrix NetScaler وFortinet EMS وSimpleHelp.
بعد التمركز داخل الشبكة، تنتقل المجموعة إلى استخراج بيانات الاعتماد من البيئة المُخترقة، بما في ذلك استهداف خوادم النسخ الاحتياطي من Veeam باستخدام أداة متخصصة قادرة على كسر تشفير DPAPI المُعزَّز بمفاتيح عشوائية. ثم تنتقل أفقياً عبر الشبكة مستخدمةً ما يُعرف بـ LOLBins، وهي ثنائيات نظام التشغيل الأصلية مثل بروتوكول سطح المكتب البعيد RDP وأداة PsExec، مما يجعل نشاطها أصعب رصداً لأن هذه الأدوات مشروعة بطبيعتها.
تمضي المجموعة قدماً في تعطيل منظومة الدفاع عبر تقنية BYOVD التي تقوم على استغلال مشغّلات نظام ضعيفة مُدرجة ضمن حزمة الهجوم، مما يُمكّنها من تجاوز برامج الحماية ومنصات الكشف عن التهديدات. وبعد تأمين السيطرة الكاملة، تنشر أدوات إدارة عن بعد شائعة كـ Cobalt Strike وAnyDesk وTeamViewer للتحكم في الأنظمة المُخترقة، ثم تستخرج البيانات الحساسة مضغوطةً ومحمية بكلمات مرور باستخدام أداة Rclone، قبل أن تُشغّل أداة التشفير التي تعمل بتقنيات التعدد الخيطي والتشفير الجزئي لتسريع العملية وتقليل وقت التعرض للاكتشاف.
الأداة أيضاً تتضمن واجهة سطر أوامر تمنح المشغّل مرونة تشغيلية أثناء التنفيذ المباشر، وحين تُشغَّل بمعامل خاص تسعى إلى إيقاف الآلات الافتراضية في بيئات ESXi، مما يُوسّع نطاق الأضرار ليشمل بنى الحوسبة السحابية الخاصة.
إعادة الكتابة بلغة Rust ونشوء عائلات فدية جديدة متفرعة عن INC
من الناحية التقنية، أعادت مجموعة INC كتابة أدوات التشفير الخاصة بها لأنظمة Windows وLinux/ESXi بلغة البرمجة Rust. هذا القرار ليس مجرد تحديث تقني روتيني، بل يحمل دلالات استراتيجية واضحة. لغة Rust تُتيح تطويراً متعدد المنصات بجهد أقل وكفاءة أعلى، فضلاً عن أنها تجعل عملية الهندسة العكسية التي يعتمد عليها باحثو الأمن أصعب وأكثر استنزافاً للوقت.
تداعيات هذا التطور امتدت خارج نطاق المجموعة ذاتها. في مايو 2024، تسرّبت نسخ من أدوات INC الخاصة بأنظمة Windows وLinux إلى شبكات الجريمة الإلكترونية السرية، فأفرزت عائلتَي فدية جديدتَين هما Lynx وSinobi، تتشابكان مع INC في قاعدة كود مشتركة واسعة. هذا يعني أن أثر INC في المشهد الأمني يتجاوز ضحاياها المباشرين ليشمل موجة تحديات أمنية موسّعة أنتجتها أدواتها المُسرَّبة.
على صعيد الترتيب في مشهد الفدية العالمي، أظهرت بيانات شركة ZeroFox أن INC احتلت المرتبة الرابعة من حيث النشاط خلال الربع الأول من عام 2026، بأكثر من 120 حادثة موثّقة، خلف مجموعات Qilin التي سجلت 338 حادثة، وAkira بـ 197 حادثة، وThe Gentlemen بـ 192 حادثة. هذا الترتيب يُرسّخ مكانة INC ضمن النخبة الأكثر نشاطاً في عالم الابتزاز الرقمي، ويُنذر بمزيد من التصعيد في الأشهر المقبلة خاصة في ظل الاستثمار المستمر في تطوير أدواتها وتوسيع شبكة شركائها.






























