بدأت مجموعة تهديد جديدة تدّعي إطلاق خدمة “فدية كخدمة” (RaaS) باستخدام روبوتات دردشة تعمل بالذكاء الاصطناعي ضمن لوحات التفاوض بهدف أتمتة التواصل وزيادة الضغط النفسي على الضحايا، وفقاً لتقرير حديث أصدرته شركة “Picus Security”.
وفي يونيو 2025، قدم أحد المهاجمين، المعروف بالاسم المستعار “$$$”، علامة RaaS جديدة باسم “GLOBAL GROUP” عبر منتدى الجرائم الإلكترونية “Russian Anonymous Market Place” (RAMP أو Ramp4u).
وقد أجرت “Picus Security” تحليلاً جنائياً شمل عينات برمجية، وتكوينات البنية التحتية، وسلوك الجهات المهاجمة، بما في ذلك تحليل البيانات المسربة من واجهات برمجة التطبيقات، وفك شيفرة التعليمات البرمجية الثنائية، وسجلات التشغيل.
ورغم ادعاء المجموعة تقديم تقنيات جديدة، خلص التقرير الصادر في 21 يوليو إلى أن المجموعة لا تقدّم سوى ميزات سبق أن استُخدمت ضمن عائلتي Mamona RIP وBlack Lock، واعتُبرت إعادة تسمية لتلك المجموعتين.
لوحة مفاوضات مدعومة بروبوت دردشة ذكي
رغم غياب الابتكار على مستوى البنية، طرحت “GLOBAL GROUP” ميزة لافتة تتمثل في استخدام روبوت دردشة ذكي لبدء عملية التفاوض مع الضحية، ضمن نموذج مزدوج البوابة يشبه بنية LockBit، يتضمن موقع تسريب بيانات على شبكة Tor ولوحة مفاوضات منفصلة.
يُستقبل الضحايا على لوحة التفاوض برسائل آلية من الروبوت، الذي يُصمم لتوجيه المستخدمين وتحفيزهم نفسياً، مع توفير خاصية رفع ملف مشفر لإجراء تجربة فك تشفير مجانية، وإظهار مؤقت لحث الضحية على الاستجابة بسرعة.
وأظهرت محادثات التفاوض التي استعرضها المحللون مطالب مالية تصل إلى سبعة أرقام، منها فدية بقيمة 9.5 بيتكوين (نحو مليون دولار وقت التفاوض)، مصحوبة بتهديدات متصاعدة بنشر البيانات.
وتتيح اللوحة لشركاء المجموعة (Affiliates) مراقبة سير المفاوضات، وضبط توقيتات الفدية، والتفاعل مع الضحايا عبر واجهة ملائمة للأجهزة المحمولة.
وأوضح التقرير أن “دمج روبوتات الذكاء الاصطناعي في عملية التفاوض يقلل العبء عن الشركاء، ويضمن استمرارية التواصل حتى في غياب مشغلي النظام، مما يعزز قدرة المجموعة على التوسع عبر المناطق الزمنية واللغات والقطاعات”.
التقنيات والأساليب والإجراءات المتبعة لدى GLOBAL
تعتمد “GLOBAL GROUP” على ممارسات تقنية مأخوذة من Mamona RIP، وBlack Lock، وLockBit، وتستخدم حمولة مشفرة مكتوبة بلغة Golang تعمل عبر منصات ويندوز ولينكس وماك، بفضل قدرات الربط الثابت والتعددية التي توفرها اللغة.
ومن أبرز الأدلة على إعادة الاستخدام، تكرار استخدام سلسلة Mutex (“Global\Fxo16jmdgujs437”)، وهي تقنية تمنع تشغيل أكثر من نسخة من برنامج الفدية.
كما تستخدم المجموعة خوارزمية ChaCha20-Poly1305 للتشفير، وهي خوارزمية حديثة توفر سرية وسلامة البيانات، كما تفعل LockBit وBlack Lock.
رسالة الفدية مكتوبة داخل الشيفرة البرمجية وتُخزّن كملف README.txt، وتتضمن تهديدات وأساليب ترهيب، بالإضافة إلى آلية لإثبات فك التشفير، بهدف ترسيخ الثقة النفسية لدى الضحية.
كما أظهر تحليل واجهات API الأمامية للمجموعة ثغرات أمنية، منها تسريب بيانات وصول SSH وعناوين IP حقيقية (مثل 193.19.119[.]4)، مرتبطة بمزود روسي (IpServer)، ما يشير إلى صلة مباشرة بـMamona.
أما منصة “GLOBAL” فتقدم أداة إنشاء فدية قابلة للتخصيص، تسمح بتحديد نسب التشفير، وامتدادات الملفات المستهدفة، وسلوكيات خبيثة إضافية (مثل إيقاف العمليات، حذف السجلات، والحذف الذاتي).
تشمل الإمكانيات كذلك استهداف أنظمة ESXi، وBSD، وأجهزة NAS، ما يعكس تركيزاً على البيئات الهجينة، إضافة إلى استخدام “goroutines” لتسريع عمليات التشفير وتشفير أسماء الملفات لعرقلة جهود الاستعادة.
استراتيجيات الرصد والاستجابة والوقاية من GLOBAL
أوصى خبراء “Picus Security” بعدد من الاستراتيجيات للحد من خطر GLOBAL، من بينها:
- مراقبة استهلاك المعالج والذاكرة لاكتشاف عمليات تشفير متعددة الخيوط باستخدام ChaCha20-Poly1305
- تتبع الملفات ذات الامتدادات الغريبة عبر مراقبة الوصول وتحليل السلوكيات
- اكتشاف استغلال أدوات النظام مثل wevtutil وvssadmin وnet use
- رصد عمليات دخول SSH غير مصرح بها، خاصة من عناوين أو مواقع جغرافية مشبوهة
- تحليل أنماط المصادقة لرصد هجمات اختطاف الجلسات وإعادة استخدام بيانات الدخول
- تتبع سلسلة عمليات مشبوهة داخل النظام (مثلاً: OpenProcess → TerminateProcess)
- اختبار قدرات الكشف والاستجابة عبر أدوات محاكاة الاختراق
- حظر حركة المرور القادمة من شبكات Tor المرتبطة بتسريبات الفدية
- فرض سياسات الوصول الأقل امتيازاً وتقسيم الشبكة لمنع الانتشار الجانبي
- تعطيل أدوات النظام غير الضرورية عبر سياسات المجموعات أو التحكم بالتطبيقات
- مراقبة وتقييد تشغيل ملفات Golang في البيئات الحساسة
