VECT 2.0: برمجية فدية تتحول إلى أداة مسح بيانات مدمرة عبر أنظمة متعددة

VECT 2.0: برمجية فدية تتحول إلى أداة مسح بيانات مدمرة عبر أنظمة متعددة
VECT 2.0: برمجية فدية تتحول إلى أداة مسح بيانات مدمرة عبر أنظمة متعددة
شارك هذا الخبر

يحذر خبراء الأمن السيبراني من أن عملية VECT 2.0 الإجرامية، التي يتم تسويقها كبرمجية فدية (Ransomware)، تعمل فعليًا كأداة مسح بيانات (Wiper) بسبب خلل جوهري في آلية التشفير الخاصة بها عبر أنظمة Windows وLinux وESXi.
الخلل يؤدي إلى تدمير الملفات التي يتجاوز حجمها 131 كيلوبايت بشكل دائم وغير قابل للاسترجاع، حتى بالنسبة للمهاجمين أنفسهم. هذا يعني أن دفع الفدية لا يضمن استعادة البيانات، إذ يتم التخلص من المفاتيح اللازمة لفك التشفير أثناء عملية التشفير نفسها.

نموذج أعمال VECT 2.0 وشراكاتها الإجرامية

تم إطلاق برنامج الشراكة الخاص بـ VECT كخدمة برمجيات فدية (RaaS) في ديسمبر 2025، حيث يفرض رسوم دخول قدرها 250 دولارًا بعملة Monero على المتعاونين الجدد، مع إعفاء خاص لمتقدمين من دول رابطة الدول المستقلة (CIS).
في الأسابيع الأخيرة، أقامت المجموعة شراكة رسمية مع سوق BreachForums الإجرامي ومجموعة TeamPCP، ما يعزز قدرتها على توزيع الهجمات عبر بيانات اعتماد مسروقة مسبقًا. هذا النموذج يعكس تحولًا نحو تصنيع الهجمات السيبرانية بشكل منظم وواسع النطاق.

تحليل تقني لآلية التدمير

وفقًا لتحليل فريق Check Point Research، فإن برمجية VECT 2.0 تستخدم خوارزمية تشفير ضعيفة وغير موثقة، على عكس ادعائها باستخدام ChaCha20-Poly1305 AEAD.
الخلل الأساسي يكمن في أن البرمجية تقوم بتشفير أربعة أجزاء مستقلة من كل ملف كبير باستخدام أربعة nonces عشوائية، لكنها تحتفظ فقط بالـ nonce الأخير. الثلاثة الأخرى يتم التخلص منها دون تخزين أو إرسال، مما يجعل أول ثلاثة أرباع الملف غير قابلة للاسترجاع نهائيًا.
هذا التصميم المعيب يحول البرمجية عمليًا إلى أداة مسح بيانات، حيث لا يمكن لأي طرف – بما في ذلك المهاجمين – توفير أداة فك تشفير فعالة.

خصائص إضافية عبر الأنظمة المختلفة
  • نسخة Windows: تستهدف التخزين المحلي والقابل للإزالة والشبكات، وتضم مجموعة واسعة من تقنيات مكافحة التحليل، بالإضافة إلى آلية للبقاء في وضع Safe Mode لضمان التشغيل التلقائي عند إعادة الإقلاع.
  • نسخة ESXi: تنفذ فحوصات جغرافية (Geofencing) وتحقق من بيئة التشغيل قبل البدء بالتشفير، كما تحاول الانتشار عبر بروتوكول SSH.
  • نسخة Linux: تعتمد على نفس قاعدة الشيفرة الخاصة بـ ESXi وتنفذ جزءًا من وظائفها.

اللافت أن البرمجية تتوقف عن العمل إذا اكتشفت أنها تعمل في إحدى دول رابطة الدول المستقلة، بما في ذلك أوكرانيا، وهو أمر غير معتاد بعد عام 2022 حيث أزالت معظم برمجيات الفدية أوكرانيا من قائمة الاستثناءات.

تقييم الخبراء ودلالات مستقبلية

يرى الباحثون أن مطوري VECT 2.0 ليسوا خبراء متمرسين، بل ربما اعتمدوا على شيفرات قديمة أو حتى على أدوات ذكاء اصطناعي لتوليد أجزاء من الكود. ورغم أن المجموعة تقدم نفسها بواجهة تشغيل متطورة وبرنامج شراكة نشط، إلا أن التنفيذ التقني يظل ضعيفًا ويؤدي إلى نتائج كارثية على الضحايا.
الرسالة الأهم التي يوجهها الخبراء هي أن دفع الفدية ليس خيارًا للتعافي في حالة VECT 2.0، وأن التركيز يجب أن يكون على النسخ الاحتياطية غير المتصلة، واختبار إجراءات الاسترداد، والاحتواء السريع بدلًا من التفاوض مع المهاجمين.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1496

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة