كشفت تقارير أمنية حديثة عن إطلاق عائلة برامج فدية جديدة تُعرف باسم “أوزوريس” (Osiris) لهجمات استهدفت شركة كبرى في قطاع خدمات الأغذية بجنوب شرق آسيا خلال شهر نوفمبر 2025. وتُعد هذه الحملة الأمنية مؤشراً جديداً على تطور أساليب التهديدات السيبرانية.
يُشار إلى أن باحثي الأمن السيبراني قد حددوا هذه العائلة البرمجية كمتغير جديد تماماً، ولا توجد أي صلة بينها وبين عائلة برامج فدية قديمة حملت الاسم نفسه في عام 2016. ويأتي ظهور “أوزوريس” ليضيف تهديداً معقداً لقائمة التحديات المتزايدة التي تستهدف البنية التحتية الحيوية وعمليات الشركات.
تكتيكات متقدمة تستخدم أدوات مشروعة في هجمات أوزوريس
أظهرت حملة الهجوم استخداماً لأساليب متقدمة، مما يشير إلى خبرة عالية لدى المهاجمين. لجأ المهاجمون إلى مجموعة متنوعة من الأدوات، حيث جمعوا بين أدوات النظام المشروعة والاستخدام الماكر لبرامج ضارة لأغراض خبيثة، وذلك للتسلل إلى شبكة الضحية، وترسيخ وجودهم، ثم نشر الحمولة الخبيثة لبرنامج الفدية.
ويكشف هذا الحادث عن كيفية عمل مجرمي الإنترنت المعاصرين، الذين يسيئون استخدام أدوات ويندوز شائعة الاستخدام جنباً إلى جنب مع برامج مخصصة معادية لتجنب الكشف وتجاوز الضوابط الأمنية. هذا المزيج المعقد من التقنيات يجعل اكتشاف هذه الهجمات أكثر صعوبة.
من جانب آخر، لاحظ محللو شركة سيمانتك أنماطاً مشبوهة في البرنامج الخبيث، والتي تطابقت مع حملات برامج الفدية المبلغ عنها سابقاً. وقد أشار الباحثون إلى تداخلات تقنية، بما في ذلك استخدام أسماء ملفات متطابقة لأدوات استخراج بيانات الاعتماد، بالإضافة إلى أساليب مشابهة لتسريب البيانات.
تسريب البيانات والتشفير المزدوج
قبل تشفير البيانات، استخدم المهاجمون أداة “Rclone” لسرقة المعلومات، ثم قاموا بتحميل البيانات المسروقة إلى حاويات تخزين سحابية على منصة “Wasabi”. كما استعانوا بأداة “Mimikatz” المعروفة باستخلاص بيانات الاعتماد، وتحديداً نسخة تحمل اسم “kaz.exe”، والتي تم استخدامها في هجمات سابقة.
أما بالنسبة لبرنامج “أوزوريس” نفسه، فإنه يقوم بتشفير الملفات باستخدام تقنيات تشفير هجينة متقدمة، تجمع بين خوارزميات ECC وAES-128-CTR، مع استخدام مفاتيح فريدة لكل ملف يتم تشفيره. يعمل برنامج الفدية على إنهاء قواعد البيانات وخدمات النسخ الاحتياطي، بالإضافة إلى حذف لقطات وحدة التخزين (Volume Snapshots) لمنع استعادة البيانات.
تُشير هذه القدرات التقنية، مقرونة بسلسلة الهجوم المتطورة، إلى وجود مشغلين ذوي خبرة يقفون وراء هذه العائلة الجديدة من برامج الفدية، مما يمثل تحدياً أمنياً كبيراً للشركات والمؤسسات حول العالم.
إن استغلال برامج تشغيل ضارة (Malicious Drivers) وتجاوز الدفاعات يمثل الجانب الأكثر إثارة للقلق في هذا الهجوم. فقد تم نشر برنامج تشغيل خبيث يُدعى “Poortry” (المعروف أيضاً باسم “Abyssworker”)، والذي كان يتنكر كبرنامج شرعي من Malwarebytes لخداع مسؤولي النظام. يعتمد المهاجمون هنا على ما يسميه الخبراء الأمنيون هجمات “إحضار برنامج التشغيل الضعيف الخاص بك” (BYOVD)، مما يسمح لهم بتعطيل برامج الأمان من خلال استغلال الوصول على مستوى النواة (Kernel-level access).
أصبحت هجمات BYOVD الأسلوب المفضل لمشغلي برامج الفدية الذين يسعون إلى تحييد دفاعات نقاط النهاية. من خلال نشر برامج تشغيل موقّعة ولكنها ضعيفة، يمكن للمهاجمين تصعيد الامتيازات وإنهاء العمليات الأمنية دون إثارة الشبهات الفورية. يتميز “Poortry” بأن المهاجمين طوروا برنامج التشغيل هذا بأنفسهم بدلاً من الاعتماد على شفرة ضعيفة موجودة مسبقاً، وهو ما يعكس درجة عالية من التطور لدى المجموعة التهديدية.
بالإضافة إلى ذلك، قام المهاجمون بنشر أدوات أخرى مثل “Netexec” و “Netscan” ونسخة معدلة من برنامج الإدارة عن بعد “Rustdesk” متخفية في شكل “WinZip”، وذلك للحفاظ على الوصول إلى الشبكة. هذه الاستراتيجية المزدوجة، التي تجمع بين الاستغلال المباشر للثغرات والأدوات المشروعة، تضع تحديات فريدة أمام استراتيجيات الأمن السيبراني الحديثة.