شبكة الطيف الاخبارية - 4/28/2026 8:12:45 PM - GMT (+3 )
يلفت مؤلفو سلالة جديدة من برامج الفدية تسمى Vect الانتباه بفضل الشراكة مع عصابة TeamPCP والتعاون الطموح مع BreachForums الذي شهد منح كل عضو مسجل في المنتدى حق الوصول المجاني إلى منصتهم، ولكن وفقًا لمحللي البرامج الضارة، فإن تهديدها يخفي سرًا خطيرًا.
قام المحللون في Check Point Research (CPR) بالبحث في Vect، الذي ظهر في نهاية عام 2025، ويقولون إنهم اكتشفوا الآن عيبًا خطيرًا في التشفير في الخزانة – مما يجعله في النهاية لا يعمل كمشفر، ولكن كممسحة للبيانات.
تقليديًا، الهدف الأساسي من برامج الفدية هو أن تأثيراتها قابلة للعكس. يقوم المجرم الإلكتروني بتشفير ملفات الضحية وإقفالها ومن الناحية النظرية، يقوم بتسليم مفتاح فك التشفير بمجرد سداد ثمنها. في العالم الحقيقي، لا يحدث هذا دائمًا، ولهذا السبب تتفق جميع السلطات الرئيسية المعنية ببرامج الفدية على أنه من الناحية المثالية، لا ينبغي للضحايا أن يدفعوا أبدًا.
ومع ذلك، فإن Vect يدمر “نموذج أعمال” برامج الفدية إلى أجزاء صغيرة. وجد فريق CPR أنه عندما يواجه Vect ملفًا يزيد حجمه عن 128 كيلو بايت – وهو ما يعني في سياق المؤسسة معظم الملفات بما في ذلك صور الجهاز الظاهري وقواعد البيانات والنسخ الاحتياطية والمحفوظات – فإنه لا يقوم بتشفيرها فحسب، بل يتجاهل بشكل دائم المعلومات اللازمة لعكس العملية.
وهذا يعني أنه حتى لو تم الدفع لمجرمي الإنترنت، فلن يتمكنوا من تسليم أداة فك التشفير العاملة – ليس عن طريق الحقد ولكن لأنه ليس من الممكن القيام بذلك.
وقال إيلي سمادجا، المدير العام لشركة CPR: “يتم تسويق Vect على أنه برنامج فدية، ولكن بالنسبة لأي ملف يزيد حجمه عن 128 كيلو بايت، وهو أكثر ما تهتم به المؤسسات فعليًا، فإنه يعمل كأداة لتدمير البيانات”.
“يتعين على مسؤولي أمن المعلومات أن يفهموا أنه في حالة حادث Vect، فإن الدفع ليس استراتيجية استرداد. لا يوجد برنامج فك تشفير يمكن تسليمه، ليس لأن المهاجمين غير راغبين، ولكن لأن المعلومات المطلوبة لإنشاء برنامج تم تدميرها في اللحظة التي يتم فيها تشغيل برنامجهم. يجب أن يكون التركيز على المرونة: النسخ الاحتياطية دون اتصال بالإنترنت، وإجراءات الاسترداد المختبرة، والاحتواء السريع، وليس التفاوض”.
كان الخلل موجودًا منذ ما قبل الإصدار 2.0 العام من Vect وحتى وقت كتابة هذا التقرير، لا يبدو أنه تم إصلاحه. وقال CPR إنه يؤثر على الإصدارات الثلاثة التي تستهدف ESXi وLinux وWindows
قالت CPR إنه كان من الواضح أن Vect استثمرت بشكل كبير في الظهور بشكل شرعي، من خلال لجنة تابعة مصممة جيدًا وشراكات حقيقية تعكس استراتيجية تسويق مصقولة.
ولكن في جوانب أخرى يبدو أن الأشخاص الذين يقفون وراءها كانوا أقل اجتهادا. قال المحللون إنهم وجدوا العديد من الميزات المعلن عنها في Vect والتي لا تعمل ببساطة. على سبيل المثال، يقدم المؤلفون إعدادات سرعة التشفير كوسيلة لتحقيق التوازن بين سرعة ودقة تنفيذ الهجوم، ولكنها غير فعالة.
كما أن عددًا من أدوات التهرب الأمني المُعلن عنها، والتي على الرغم من أنها تم إنشاؤها وتجميعها في برنامج الفدية، لا يتم تنشيطها فعليًا. وهذا له تأثير جانبي لطيف حيث يمكن لأي باحث أمني مهتم بتشغيل Vect في وضع الحماية دون الحصول على استجابة مراوغة – مما يجعل التحليل أسهل قليلاً.
وكتب الفريق: “هذه ليست سهوًا بسيطًا”. “إنها أنواع الأخطاء التي يمكن للاختبارات الأساسية اكتشافها، وهي تشير إلى مجموعة أعطت الأولوية لمظهر العملية الاحترافية على بناء واحدة.”
وقالت CPR إن هناك أيضًا دليلاً على أن Vect ربما كان مبنيًا على قاعدة بيانات مسربة لبرامج الفدية يعود تاريخها إلى أوائل عام 2022 على أبعد تقدير ولم تتم كتابته من الصفر كما تدعي. والأمر الأهم هنا هو أن Vect لا يهاجم أهدافًا في أوكرانيا، وهي الدولة التي توقفت معظم العصابات الناطقة بالروسية عن حمايتها بعد اندلاع الحرب. يشير الاحتفاظ بهذا الاستثناء إلى أن قاعدة التعليمات البرمجية قد تكون أقدم بكثير.
على الرغم من ظهوره الصاخب لأول مرة، فإن موقع تسريب الويب المظلم الخاص بـ Vect يسرد عددًا قليلاً جدًا من الضحايا – تم الحصول عليهم جميعًا من خلال التسوية السابقة لـ TeamPCP لفحص الثغرات الأمنية Trivy الخاص بـ Aqua Security – لذا فمن غير الواضح مدى انتشار أنشطة العصابة في هذه المرحلة.
ومع ذلك، فإن نصيحة CPR للضحايا واضحة تمامًا – لا تدفع فدية تحت أي ظرف من الظروف، فأنت مضمون بنسبة 100٪ أنك لن تحصل على أي شيء في المقابل. يجب أن يكون التركيز على الاسترداد من خلال وسائل أخرى، مثل الاستعادة من النسخ الاحتياطية النظيفة.
يجب على أي مؤسسة قد تتعرض لموجة هجمات سلسلة التوريد التي يقوم بها TeamPCP – والتي تشمل أيضًا أدوات أخرى من KICS وLiteLLM وTelnyx – التحقق من ممتلكاتها وتدوير بيانات اعتمادها على الفور.
بالنسبة لأولئك الذين لم يصابوا، أشار CPR إلى أنه على الرغم من أن Vect به عيوبه، إلا أنه ليس ضارًا. لا يزال بإمكان العصابة سرقة البيانات المهمة، ولا يزال من الممكن إسقاط الأنظمة، ومن الممكن إصلاح العيوب، مما يجعل الأمر أكثر خطورة. وقال الفريق: “هذه المجموعة تستحق المشاهدة”.
إقرأ المزيد