كشفت تقارير الأمني السيبراني مؤخراً عن ظهور عملية برمجيات فدية جديدة تطلق على نفسها اسم “سيكاري” (Sicarii)، وتستهدف الأنظمة التي تعتمد على خدمات سطح المكتب البعيد (RDP) وتستغل ثغرات في أجهزة Fortinet. وتتميز هذه العملية بنهجها الفريد وربطها لهوية إسرائيلية في عالم الجريمة السيبرانية.
بدأت عملية “سيكاري” بالظهور على منصات سوداء في ديسمبر 2025، حيث عرّفت نفسها كجماعة ذات انتماء إسرائيلي أو يهودي، مما يميزها عن غيرها من العمليات ذات الدوافع المالية البحتة. وبدلاً من العمل السري الذي يميز جماعات الفدية الأخرى، تبنت “سيكاري” رموزاً ولغة عبرية في هويتها البصرية، مما يثير تساؤلات حول دوافعها المعلنة.
وتدعي الجماعة التركيز على استهداف منظمات في الدول العربية والإسلامية، مع تجنب الأنظمة الإسرائيلية بشكل صريح. ويعتمد برنامج الفدية على آلية تحديد جغرافي تمنع تنفيذه على الأنظمة التي يتم التعرف عليها كإسرائيلية، من خلال فحص المناطق الزمنية، وتخطيطات لوحة المفاتيح، وعناوين IP الخاصة بواجهات الشبكة.
وهذا النهج الانتقائي في الاستهداف، إلى جانب الرسائل الأيديولوجية، يميز “سيكاري” عن مجموعات برمجيات الفدية التقليدية التي تنشط عادةً من أوروبا الشرقية أو روسيا. وتُظهر العوامل المكتشفة والبنية التقنية المتطورة وراء عملية “سيكاري”، أن هذه الجماعة ليست معتادة على عالم الابتزاز الرقمي.
هجوم سيكاري: استهداف RDP وثغرات Fortinet
باشرت برمجيات الفدية “سيكاري” التنفيذ من خلال مرحلة مضادة للمحاكاة الافتراضية، للكشف عن بيئات الاختبار وعرض رسالة خطأ مضللة لتجنب التحليل. بعد ذلك، تنسخ البرمجية نفسها إلى الدليل المؤقت باسم svchost_{random}.exe، وتختبر الاتصال بالإنترنت من خلال محاولة الاتصال بـ google.com/generate_204 عدة مرات لضمان جاهزيتها التشغيلية.
الحركة الجانبية عبر استطلاع الشبكة
بعد إنشاء سياق التنفيذ، تقوم برمجية الفدية بإجراء استطلاع شبكي نشط لرسم خريطة لبيئة الضحية. تقوم البرمجية بتعداد تكوينات الشبكة المحلية من خلال طلبات ARP، وتمسح خدمات RDP المكشوفة عبر الأنظمة المكتشفة.
والأهم من ذلك، أنها تحاول بنشاط استغلال أجهزة Fortinet باستخدام الثغرة الأمنية CVE-2025-64446، وهي ثغرة توفر مسارات للحركة الجانبية داخل الشبكات المخترقة. ويدعم هذا الطور من الاستطلاع كلاً من أهداف اختراق الشبكة وجمع البيانات، مما يجعلها خطيرة بشكل خاص للمنظمات ذات البنية التحتية الأمنية المختلطة.
تقوم البرمجية بجمع بيانات شاملة تشمل بيانات اعتماد النظام، ومعلومات المتصفحات، وبيانات التطبيقات من منصات مثل Discord وSlack وTelegram ومحافظ العملات المشفرة. يتم تجميع جميع البيانات التي تم جمعها في أرشيف ZIP يسمى collected_data.zip وتُكشف عبر file.io.
في أعقاب كشف البيانات، تقوم برمجية الفدية بتأسيس آلية استمرارية من خلال آليات متعددة تشمل تعديلات السجل، وإنشاء خدمات، وحسابات مستخدمين جديدة ببيانات اعتماد يتم ترميزها مسبقاً.
تستخدم مرحلة التشفير تشفير AES-GCM بمفاتيح 256 بت، مع إضافة الامتداد .sicarii إلى الملفات المشفرة. وتختتم العملية بمكون تخريبي ينشر سكربت دفعي عند بدء التشغيل، مما يؤدي إلى إتلاف ملفات محمل الإقلاع وإجبار إيقاف تشغيل فوري للنظام.
ينبغي على المنظمات إعطاء الأولوية لتصحيح أجهزة Fortinet وتنفيذ تجزئة الشبكة لاحتواء هذا التهديد الناشئ. ويسلط ظهور عملية “سيكاري” الضوء على تزايد تعقيد مشهد التهديدات السيبرانية، والحاجة المستمرة إلى أدوات استخبارات التهديدات المتقدمة.