Qilin تتصدر قائمة برامج الفدية بعد تسريب بيانات أكثر من 45 ضحية شهريًا

تصدرت عصابة Qilin (المعروفة أيضًا باسم Agenda) قائمة أخطر مجموعات برامج الفدية في أبريل 2025 بعد تضاعف تسريباتها للبيانات المسروقة، وفقًا لبيانات جديدة من Group-IB.

أبرز الإحصائيات:

• زيادة بنسبة 100% في تسريبات البيانات منذ فبراير 2025.

• 48 ضحية في فبراير، 44 في مارس، و45 في الأسابيع الأولى من أبريل.

• تجاوزت منافسين مثل Akira وPlay وLynx.

تكتيكات الهجوم المتطورة:

كشف باحثو Trend Micro عن استخدام العصابة لبرمجية تحميل جديدة تدعى NETXLOADER تتميز بـ:

• حماية متقدمة بواسطة أداة .NET Reactor 6 مما يصعب تحليلها.

• قدرة على تنزيل حمولات خبيثة إضافية مثل SmokeLoader وبرنامج الفدية Agenda.

• تقنيات تخفٍ متطورة تشمل:

  • تشويش سلاسل الأكواد (String Obfuscation).

  • تقنيات JIT Hooking لتفادي الاكتشاف.

كيف تعمل سلسلة الهجوم؟

1. المرحلة الأولى:

   • اختراق الأنظمة عبر حسابات صالحة مخترقة أو هجمات التصيد.

   • تنزيل برمجية NETXLOADER من خوادم تحكم (مثل.

2. المرحلة الثانية:

   • تقوم NETXLOADER بتنشيط SmokeLoader التي تقوم بـ:

     • تعطيل عمليات النظام الأساسية.

     • تجنب الاكتشاف في البيئات الافتراضية (VM/Sandbox Evasion).

3. المرحلة النهائية:

   • الاتصال بخادم C2 لتنزيل Agenda ransomware.

   • تشفير الملفات باستخدام تقنية Reflective DLL Loading.

قطاعات مستهدفة ودول متأثرة:

• القطاعات: الرعاية الصحية، التكنولوجيا، الخدمات المالية، والاتصالات.

• الدول: الولايات المتحدة، هولندا، البرازيل، الهند، والفلبين.

سبب الانتشار السريع:

• انضمام قراصنة جدد بعد إغلاق مجموعة RansomHub (ثاني أكثر العصابة نشاطًا في 2024).

• تطوير مستمر للبرمجية لدعم مهاجمة:

  • أنظمة VMware ESXi.

  • الأجهزة المتصلة (Mounted Devices).

  • شبكات النطاق الكامل (Domain Networks).

نصائح أمنية:

• تفعيل المصادقة الثنائية (2FA) على جميع الحسابات.

• حظر تنفيذ ملفات DLL من مسارات غير معروفة.

• مراقبة حركة الشبكة لاكتشاف اتصالات C2 المشبوهة.