أبرز الإحصائيات:

• زيادة بنسبة 100% في تسريبات البيانات منذ فبراير 2025.

• 48 ضحية في فبراير، 44 في مارس، و45 في الأسابيع الأولى من أبريل.

• تجاوزت منافسين مثل Akira وPlay وLynx.

تكتيكات الهجوم المتطورة:

كشف باحثو Trend Micro عن استخدام العصابة لبرمجية تحميل جديدة تدعى NETXLOADER تتميز بـ:

• حماية متقدمة بواسطة أداة .NET Reactor 6 مما يصعب تحليلها.

• قدرة على تنزيل حمولات خبيثة إضافية مثل SmokeLoader وبرنامج الفدية Agenda.

• تقنيات تخفٍ متطورة تشمل:

  • تشويش سلاسل الأكواد (String Obfuscation).

  • تقنيات JIT Hooking لتفادي الاكتشاف.

كيف تعمل سلسلة الهجوم؟

1. المرحلة الأولى:

   • اختراق الأنظمة عبر حسابات صالحة مخترقة أو هجمات التصيد.

   • تنزيل برمجية NETXLOADER من خوادم تحكم (مثل.

2. المرحلة الثانية:

   • تقوم NETXLOADER بتنشيط SmokeLoader التي تقوم بـ:

     • تعطيل عمليات النظام الأساسية.

     • تجنب الاكتشاف في البيئات الافتراضية (VM/Sandbox Evasion).

3. المرحلة النهائية:

   • الاتصال بخادم C2 لتنزيل Agenda ransomware.

   • تشفير الملفات باستخدام تقنية Reflective DLL Loading.

قطاعات مستهدفة ودول متأثرة:

• القطاعات: الرعاية الصحية، التكنولوجيا، الخدمات المالية، والاتصالات.

• الدول: الولايات المتحدة، هولندا، البرازيل، الهند، والفلبين.

سبب الانتشار السريع:

• انضمام قراصنة جدد بعد إغلاق مجموعة RansomHub (ثاني أكثر العصابة نشاطًا في 2024).

• تطوير مستمر للبرمجية لدعم مهاجمة:

  • أنظمة VMware ESXi.

  • الأجهزة المتصلة (Mounted Devices).

  • شبكات النطاق الكامل (Domain Networks).

نصائح أمنية:

• تفعيل المصادقة الثنائية (2FA) على جميع الحسابات.

• حظر تنفيذ ملفات DLL من مسارات غير معروفة.

• مراقبة حركة الشبكة لاكتشاف اتصالات C2 المشبوهة.