MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
hackers

ظهور مجموعة Chaos RaaS بعد تفكيك BlackSuit، تطالب ضحاياها الأمريكيين بـ300 ألف دولار

بعد تفكيك BlackSuit، تظهر مجموعة Chaos RaaS كخليفة لها، تستخدم هندسة اجتماعية متقدمة وتستهدف أمريكا بفدية 300 ألف دولار. تفاصيل عن الهجمات والتقنيات

ظهور مجموعة Chaos RaaS بعد تفكيك BlackSuit، تطالب ضحاياها الأمريكيين بـ300 ألف دولار

29 يوليو 2025 | مايسترو نيرو - قسم الأمن السيبراني

ظهرت مجموعة برمجيات فدية جديدة تُعرف باسم Chaos RaaS، يُرجّح أن تكون مكوّنة من عناصر سابقة في مجموعة BlackSuit، بعد أن تم تفكيك البنية التحتية المظلمة للمجموعة الأخيرة في عملية أمنية دولية.

انطلقت Chaos في فبراير 2025، ودخلت بقوة إلى مشهد الفدية كأحد أحدث الفاعلين في حملات "الصيد الكبير" (big-game hunting) وهجمات الابتزاز المزدوج (double extortion).

"تبدأ هجمات Chaos RaaS بفيضان بريد عشوائي منخفض الجهد، ثم تتصاعد إلى هندسة اجتماعية صوتية للحصول على الوصول، تليها استغلال أدوات إدارة عن بُعد (RMM) للاتصال الدائم، واستخدام برامج مشروعة لمشاركة الملفات لسرقة البيانات." — باحثو Cisco Talos

أساليب الهجوم

تدمج الهجمات بين التصيد الاحتيالي (phishing) والتصيد الصوتي (vishing) لخداع الضحايا لتثبيت برامج سطح مكتب عن بُعد، خصوصًا Microsoft Quick Assist.

بعد الاختراق، تقوم المجموعة بما يلي:

  • جمع المعلومات الاستطلاعية (Discovery & Reconnaissance)
  • تثبيت أدوات إدارة عن بُعد مثل AnyDesk وScreenConnect وOptiTune وSyncro RMM وSplashtop
  • جمع بيانات الاعتماد (Credential Harvesting)
  • حذف سجلات PowerShell وأدوات الأمان
  • سرقة البيانات باستخدام GoodSync قبل تشفير الأنظمة

تقنيات متقدمة للهروب من الكشف

مميزات برمجية الفدية:
  • تشفير متعدد المسارات وسريع للملفات المحلية والشبكات
  • استهداف أنظمة Windows وESXi وLinux وNAS
  • تقنيات متعددة الطبقات لمنع التحليل (Anti-analysis)
  • إعاقة أدوات التصحيح، البيئات الافتراضية، وصناديق الرمل الآلية

تُستخدم هذه التقنيات لتعظيم الضرر وتقليل فرص الكشف والاسترجاع.

علاقة Chaos بـBlackSuit

تشير التشابهات إلى أن Chaos قد تكون إعادة تسمية لـBlackSuit، خاصة في:

  • أوامر التشفير
  • شكل ومحتوى مذكرة الفدية
  • أدوات RMM المستخدمة

وتجدر الإشارة إلى أن BlackSuit نفسها كانت إعادة تسمية لمجموعة Royal، التي انفصلت بدورها عن Conti، مما يظهر طبيعة هذه الجماعات "التحولية".

تم تفكيك مواقع BlackSuit على الويب المظلم كجزء من عملية أمنية دولية تُعرف بـ Operation Checkmate.

تظهر للمستخدمين رسالة: "تمت مصادرة هذا الموقع من قبل تحقيقات الأمن الداخلي الأمريكي كجزء من تحقيق دولي منسق."

مصادرة عملات رقمية من عضو في Chaos

في خطوة موازية، أعلنت مكتب التحقيقات الفيدرالي (FBI) ووزارة العدل (DoJ) مصادرة 20.289 بيتكوين (تُعادل أكثر من 2.4 مليون دولار حاليًا) من محفظة مرتبطة بعضو في مجموعة Chaos يُعرف بـ Hors.

منافسون جدد في عالم الفدية

تشهد 2025 ظهور العديد من سلالات الفدية الجديدة، مثل:

  • Backups، Bert، BlackFL، BQTLOCK
  • Dark 101، Gunra، Jackalock، Moscovium
  • RedFox، Sinobi

وقد أفادت CYFIRMA أن Gunra، المستندة إلى Conti، استهدفت 13 ضحية منذ أبريل 2025، وتستخدم تقنيات تمويه متقدمة لتجنب الكشف.

هجمات أخرى حديثة

شملت الهجمات الحديثة:

  • استخدام DLL side-loading لتوزيع NailaoLocker
  • مُغريات تشبه ClickFix لخداع المستخدمين لتنزيل ملفات HTA عبر ادعاء التحقق من CAPTCHA
  • نشر فدية Epsilon Red، التي تُشبه مذكرة REvil مع تحسينات نحوية بسيطة

إحصائيات الفدية في الربع الثاني 2025

وفقًا لمجموعة NCC:
  • انخفض عدد هجمات الفدية بنسبة 43% في Q2 2025 (من 2074 إلى 1180).
  • Qilin هي الأكثر نشاطًا (151 هجومًا)، تليها Akira (131)، Play (115)، SafePay (108)، وLynx (46).
  • يُقدّر وجود 86 مجموعة فدية نشطة (جديدة وقائمة).
"رغم تراجع عدد الضحايا المُعلن، فإن التهديد لم يُخفَّف. المجموعات تستغل الانخفاض للتطور عبر إعادة التسمية واستخدام هندسة اجتماعية متقدمة." — مات هول، رئيس الاستخبارات التهديدية في NCC Group

تم التعديل في: 29 يوليو 2025