الرئيسيةالأخبار* برامج الفدية الناشئة المسماة أنوبيس لديها ميزة مدمرة يمكنها تشفير وحذف ملفات الضحايا بشكل دائم.
تستهدف أنوبيس المنظمات في القطاعات مثل الرعاية الصحية والضيافة والبناء في الولايات المتحدة وكندا وبيرو وأستراليا.
تدعم برامج الفدية هذه برنامجًا مرنًا للشركاء مع توزيع إيرادات قابل للتفاوض يصل إلى 80% للشركاء.
المهاجمون يستخدمون رسائل البريد الإلكتروني الاحتيالية للحصول على الوصول، وزيادة الامتيازات، ويمكنهم مسح الملفات إلى ما وراء الاسترداد، مما يزيد الضغط على الضحايا.
جاءت هذه الاكتشافات بعد تقارير عن بنية تحتية جديدة مرتبطة بمجموعة FIN7 تستخدم تحديثات برمجيات مزيفة لتوزيع البرمجيات الخبيثة.
ظهر شكل جديد من برامج الفدية يُدعى Anubis، يتميز بقدرته على تشفير الملفات وأيضًا تدميرها بشكل دائم إذا لم يتم دفع الفدية. أصبح Anubis نشطًا في ديسمبر 2024 ومنذ ذلك الحين استهدف المؤسسات في قطاعات مثل الرعاية الصحية، الضيافة، والبناء في الولايات المتحدة وكندا وبيرو وأستراليا.
إعلان - يقول الباحثون من تريند مايكرو إن برامج الفدية تتضمن "وضع محو" خاص يمسح الملفات تمامًا، مما يجعل استعادتها مستحيلًا حتى إذا حاول الضحايا دفع الفدية. "تتميز برامج الفدية بـ 'وضع المحو'، الذي يمسح الملفات بشكل دائم، مما يجعل الاسترداد مستحيلًا حتى لو تم دفع الفدية،" وفقًا للباحثين في تريند مايكرو ماريستيل بوليكاربيو، سارة بيرل كامينج، وصوفيا نيلت روبلز في تقرير حديث.
يعمل أنوبيس كخدمة برامج الفدية (RaaS). يشغل برنامج تابع مع تقسيمات إيرادات قابلة للتفاوض، مما يسمح للشركاء بأخذ ما يصل إلى 80% من الفدية المدفوعة من قبل الضحايا. تقدم المخططات البديلة لابتزاز البيانات وبيع الوصول تقسيمات 60-40 و50-50، على التوالي. يشرح الباحثون أن شركاء أنوبيس يستخدمون رسائل إلكترونية احتيالية للحصول على الوصول الأولي، وزيادة صلاحيات المستخدم، وحذف النسخ الاحتياطية (التي تسمى النسخ الظلية للحجم)، ثم تشفير أو مسح الملفات. عند الدخول في "وضع المسح"، يتم تدمير محتويات الملفات، مما يقلل من حجمها إلى صفر مع ترك أسماء الملفات والامتدادات سليمة.
"تشمل برامج الفدية ميزة المسح باستخدام معلمة /WIPEMODE، والتي يمكن أن تحذف محتويات الملف بشكل دائم، مما يمنع أي محاولة لاستعادة البيانات،" أشارت شركة Trend Micro. تُعتبر هذه القدرة على التهديد المزدوج نادرة وتزيد من احتمالية دفع الضحايا.
من المهم أن نلاحظ أن برامج الفدية Anubis ليس لها أي صلة ببرامج Trojan المصرفية على أندرويد أو بمجموعة القرصنة FIN7، التي تستخدم نفس الاسم لبرامج ضارة أخرى.
في تطورات ذات صلة، أفادت شركة استخبارات التهديدات Recorded Future بوجود بنية تحتية جديدة مرتبطة بـ FIN7، بعضها يتظاهر بأنه منتجات برمجيات شرعية لنشر أداة الوصول عن بُعد NetSupport RAT. شملت طرق التوزيع صفحات تحديث المتصفح الوهمية ومواقع تحميل زائفة لبرمجيات مثل 7-Zip.
حالياً، تم العثور على صفحات 7-Zip مزيفة فقط نشطة اعتباراً من أبريل 2025، وفقاً لمجموعة إنسكت التابعة لشركة ريكوردد فيوتشر.
إعلان - #### المقالات السابقة:
هونغ كونغ تخطط لدفع جديد للأصول الرقمية، وتستهدف التجارة المرمزة
الأسهم المدعومة بالعملات المشفرة ترتفع مع زيادة جنون التداول في وول ستريت
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
ظهور برنامج الفدية أنوبيس مع وضع نادر لمسح الملفات والتشفير المزدوج
الرئيسيةالأخبار* برامج الفدية الناشئة المسماة أنوبيس لديها ميزة مدمرة يمكنها تشفير وحذف ملفات الضحايا بشكل دائم.
يعمل أنوبيس كخدمة برامج الفدية (RaaS). يشغل برنامج تابع مع تقسيمات إيرادات قابلة للتفاوض، مما يسمح للشركاء بأخذ ما يصل إلى 80% من الفدية المدفوعة من قبل الضحايا. تقدم المخططات البديلة لابتزاز البيانات وبيع الوصول تقسيمات 60-40 و50-50، على التوالي. يشرح الباحثون أن شركاء أنوبيس يستخدمون رسائل إلكترونية احتيالية للحصول على الوصول الأولي، وزيادة صلاحيات المستخدم، وحذف النسخ الاحتياطية (التي تسمى النسخ الظلية للحجم)، ثم تشفير أو مسح الملفات. عند الدخول في "وضع المسح"، يتم تدمير محتويات الملفات، مما يقلل من حجمها إلى صفر مع ترك أسماء الملفات والامتدادات سليمة.
"تشمل برامج الفدية ميزة المسح باستخدام معلمة /WIPEMODE، والتي يمكن أن تحذف محتويات الملف بشكل دائم، مما يمنع أي محاولة لاستعادة البيانات،" أشارت شركة Trend Micro. تُعتبر هذه القدرة على التهديد المزدوج نادرة وتزيد من احتمالية دفع الضحايا.
من المهم أن نلاحظ أن برامج الفدية Anubis ليس لها أي صلة ببرامج Trojan المصرفية على أندرويد أو بمجموعة القرصنة FIN7، التي تستخدم نفس الاسم لبرامج ضارة أخرى.
في تطورات ذات صلة، أفادت شركة استخبارات التهديدات Recorded Future بوجود بنية تحتية جديدة مرتبطة بـ FIN7، بعضها يتظاهر بأنه منتجات برمجيات شرعية لنشر أداة الوصول عن بُعد NetSupport RAT. شملت طرق التوزيع صفحات تحديث المتصفح الوهمية ومواقع تحميل زائفة لبرمجيات مثل 7-Zip.
حالياً، تم العثور على صفحات 7-Zip مزيفة فقط نشطة اعتباراً من أبريل 2025، وفقاً لمجموعة إنسكت التابعة لشركة ريكوردد فيوتشر.