قامت مجموعة RansomHub بتحديث نموذج الابتزاز الخاص بها وتوسيع جهودها لتجنيد الشركاء التابعين، وسط حالة من التقلب المتزايد في منظومة هجمات الفدية.
وذلك في أعقاب العمليات التي نفذتها جهات إنفاذ القانون، وسلسلة من عمليات النصب والانسحاب التي طالت عددًا من كبار مقدمي خدمات “الفدية كخدمة” (Ransomware-as-a-Service – RaaS)، حيث قدمت المجموعة نفسها كبديل فعال للشركاء التابعين الذين خسروا منصاتهم.
وبحسب تحليل فني جديد أجرته شركة Group-IB، فقد تم استعراض نموذج تسعير داخل قسم الأخبار في لوحة التحكم الخاصة بالشركاء، يعتمد على حجم إيرادات الضحية، بهدف زيادة احتمالية سداد الفدية. ويتضمن هذا التوجيه التكتيكات التخريبية المعتادة مثل حذف نسخ الظل في نظام ويندوز ولقطات الأجهزة الافتراضية لمنع استعادة البيانات.
في النسخ السابقة من الأسئلة الشائعة حول التفاوض – والتي تم حذفها لاحقًا – كانت المجموعة تشجع الشركاء على الإبلاغ عن الحوادث للجهات التنظيمية مثل اللائحة العامة لحماية البيانات (GDPR)، وقانون حماية المعلومات الشخصية الصيني (PIPL)، وقانون حماية البيانات الشخصية السعودي (PDPL)، وذلك للضغط على الضحايا من خلال إظهار دفع الفدية كخيار أقل تكلفة من الغرامات التنظيمية.
وعلى عكس مجموعات أخرى تتجنب الإبلاغ التنظيمي حفاظًا على سرية التفاوض، روجت RansomHub لذلك كأداة ضغط. وقد نصح المشغلون في البداية بعدم الكشف عن أسماء أو بيانات الضحايا، لكن في حال فشل المفاوضات، يتم نشر البيانات المسروقة عبر موقع تسريب البيانات (DLS) التابع للمجموعة.
بين أواخر 2023 ومطلع 2024، تسببت عمليات شنتها اليوروبول، ومكتب التحقيقات الفيدرالي (FBI)، والوكالة الوطنية البريطانية للجريمة (NCA)، في تعطيل مجموعات مثل LockBit وALPHV، ما دفع العديد من الشركاء للبحث عن بدائل.
استغلت RansomHub الفرصة عبر الترويج لشروط مغرية لاستقطاب الشركاء، مثل:
- خفض نسبة العمولة (10% في البداية ثم ارتفعت لاحقًا إلى 15%)
- دعم المحافظ الشخصية للعملات المشفرة
- منح الشريك تحكمًا كاملًا في عملية التفاوض مع الضحية
- إتاحة خيارات تخصيص إضافية في رسائل الفدية
كما نشط ممثلو المجموعة في منتديات RAMP لعرض هذه المزايا والاستفادة من تراجع استقرار المنافسين.
وفي مطلع أبريل 2025، واجهت RansomHub توقفًا غير مخطط له في بنيتها التحتية، تزامنًا مع عودة مشرف مجموعة Qilin المعروف باسم “Haise” للنشاط على RAMP، معلنًا عن إصدار جديد من برامج الفدية مزود بخاصية الابتزاز عبر هجمات حجب الخدمة (DDoS).
ومنذ فبراير، ارتفع عدد إفصاحات Qilin الشهرية عن الضحايا بشكل ملحوظ، مما يشير لاحتمال انتقال بعض الشركاء من RansomHub.
تستمر RansomHub ومجموعات أخرى في تقديم وظائف فدية مشابهة، مثل تشفير الملفات، وإنهاء العمليات، وحذف النسخ الاحتياطية. ومع تراجع الفروقات التقنية بين البرمجيات، باتت ثقة الشركاء، ومرونة التواصل، والانطباع العام عن الموثوقية عوامل حاسمة في تحديد نجاح هذه المجموعات.
وترى Group-IB أن هذه التحولات تعكس توجهًا أوسع في السوق، حيث أصبحت هجرة الشركاء والانطباع العام عن العلامة التجارية أهم من الابتكار البرمجي ذاته.
وللمدافعين، يظل رصد هذه التحركات أمرًا بالغ الأهمية لفهم سلوك الجهات المهاجمة في مشهد تهديدات يزداد تفتتًا.
هل ترغب في تضمين توصيات دفاعية استنادًا إلى ضوابط الهيئة الوطنية للأمن السيبراني؟
