ظهرت مجموعة فدية جديدة تُعرف باسم Chaos وتعمل بنموذج “الفدية كخدمة” (RaaS)، ويُرجّح أنها تضم أعضاء سابقين من مجموعة BlackSuit التي تم الاستيلاء على بنيتها التحتية في الويب المظلم ضمن عملية أمنية مشتركة.
بدأت Chaos نشاطها في فبراير 2025، وهي تُمارس أساليب “الصيد الكبير” وهجمات الابتزاز المزدوج، إذ تُهدد بتسريب البيانات المسروقة بجانب تشفير الأنظمة.
وذكر باحثون من Cisco Talos أن المجموعة بدأت بحملات بريد عشوائي منخفضة المستوى، ثم تصاعدت إلى استخدام التصيّد الصوتي للحصول على الوصول الأولي، واستغلال أدوات الإدارة عن بُعد (RMM) للحفاظ على الاتصال، وبرمجيات مشاركة الملفات لاستخراج البيانات.
البرنامج الخبيث يستخدم تقنيات تشفير متعددة الخيوط، وأساليب مضادة للتحليل، ويستهدف الموارد المحلية والشبكية، مما يزيد من التأثير ويُصعّب من جهود الاستجابة والتعافي.
تجدر الإشارة إلى أن هذه المجموعة لا ترتبط بالبناة السابقة لفيروس Chaos مثل Yashma أو Lucky_Gh0$t، ما يوحي بمحاولة خلق حالة من التشويش باستخدام نفس الاسم. وتُظهر البيانات أن معظم الضحايا يقيمون في الولايات المتحدة.
الفدية المطلوبة تصل إلى 300 ألف دولار مقابل أداة فك التشفير وتقرير اختراق مفصل مع تحليل سلسلة الهجوم وتوصيات أمنية.
أسلوب الهجوم وتقنيات التمويه
تعتمد Chaos على مزيج من التصيّد النصي والصوتي، لتضليل الضحايا وتنصيب برامج سطح المكتب البعيد مثل Microsoft Quick Assist. يلي ذلك تنصيب أدوات مثل AnyDesk وScreenConnect وOptiTune وSyncro RMM وSplashtop لتأمين وصول دائم.
تتضمن الهجمات أيضاً جمع بيانات اعتماد الدخول، حذف سجلات PowerShell، إزالة أدوات الحماية، والانتقال بين الأجهزة، يليها تشفير الملفات باستخدام أساليب متعددة الخيوط وتهرب متقدم من بيئات التحليل.
التشابه الكبير في البنية الداخلية وأسلوب كتابة رسالة الفدية مع BlackSuit يُشير إلى روابط تقنية مباشرة، خصوصاً وأن BlackSuit هي في الأصل نسخة جديدة من Royal، التي كانت بدورها امتداداً لعصابة Conti.
تفكيك BlackSuit وحجز بيتكوين من Chaos
جاء هذا التطور بالتزامن مع استيلاء جهات إنفاذ القانون على مواقع BlackSuit في الويب المظلم ضمن عملية “الضربة القاضية” (Operation Checkmate)، حيث تظهر رسالة تشير إلى استيلاء الجهات الأميركية على المواقع ضمن تحقيق دولي منسق.
وأعلنت شركة Bitdefender، التي دعمت العملية، أن BlackSuit استهدفت أكثر من 185 ضحية منذ صيف 2023، وتعمل بشكل خاص دون الاعتماد على شركاء.
وفي خطوة مرتبطة، صادرت الجهات الأميركية 20.2891382 بيتكوين (تُقدّر قيمتها بأكثر من 2.4 مليون دولار) من محفظة رقمية مرتبطة بعضو في Chaos يُعرف باسم Hors.
تهديدات إضافية في مشهد الفدية
ظهرت حديثاً سلالات فدية جديدة مثل Gunra، Backups، Bert، RedFox وغيرها. ويُعتقد أن Gunra، المبني على برمجية Conti، أصاب 13 ضحية منذ أبريل 2025، ويعتمد على تقنيات متقدمة للتهرب من الكشف.
أشارت Trend Micro إلى أن Gunra توسع ليشمل أنظمة Linux ويستخدم خيوطاً متعددة (حتى 100 خيط) لتسريع التشفير.
كما سُجلت هجمات تستخدم DLL side-loading لنشر NailaoLocker، وأدوات HTA مزيفة لجذب الضحايا عبر رسائل CAPTCHA لتثبيت فدية Epsilon Red التي تُشبه في رسالتها نسخة REvil.
رغم انخفاض هجمات الفدية بنسبة 43٪ في الربع الثاني من 2025 بحسب NCC Group، فإن نشاط 86 مجموعة لا يزال مستمراً، وأبرزها Qilin وAkira وPlay وSafePay وLynx.
وقال مات هول من NCC Group: “انخفاض عدد الضحايا لا يعني تراجع التهديد، بل يعكس تطور التكتيكات نتيجة للضغط الأمني وتسرّب الشيفرات المصدرية، مما يدفع العصابات لإعادة التمركز والتخفي عبر أساليب جديدة”.
