كشفت شركة الأمن السيبراني Palo Alto Networks عن تهديد برمجية فدية جديدة، تُعرف باسم 01flip، والتي تمثل تحولاً ملحوظاً في أساليب تطوير البرمجيات الخبيثة. هذه البرمجية الخبيثة المكتوبة بالكامل بلغة Rust، قادرة على استهداف أنظمة Windows و Linux في وقت واحد، مما يشير إلى اتجاه متزايد يستخدم فيه مجرمو الإنترنت لغات برمجة حديثة لإنشاء تهديدات أكثر كفاءة وصعوبة في الكشف.
وتستهدف حملة 01flip، التي تتبع تحت اسم CL-CRI-1036، عدداً محدوداً من الضحايا في منطقة آسيا والمحيط الهادئ، مع تركيز خاص على المؤسسات المسؤولة عن البنية التحتية الحيوية في جنوب شرق آسيا. تشير الملاحظات الأولية إلى أن الحملة لا تزال في مراحلها المبكرة، إلا أن مدى تأثيرها قد يتوسع بسرعة نظراً للتطور التقني للبرمجية الخبيثة.
برمجية 01flip الفدية الجديدة تستهدف أنظمة متعددة
تعمل برمجية 01flip الفدية الجديدة كتهديد متقدم يستغل نقاط ضعف قديمة، مثل CVE-2019-11580، لاختراق التطبيقات المتصلة بالإنترنت. وقد استهدفت الهجمات أنظمة حيوية مثل حلول البريد الإلكتروني عبر خوادم Zimbra. سعى المهاجمون إلى استخدام برمجية Sliver، وهي إطار محاكاة للخصوم مكتوب بلغة Go، لتسهيل الحركة الجانبية داخل البنية التحتية للشبكات المخترقة.
تمكن المهاجمون، بحلول أواخر مايو 2025، من توزيع عدة نسخ من برمجية 01flip الفدية على كل من أجهزة Windows و Linux داخل الشبكات التي تم اختراقها. وتشير الأدلة إلى أن المهاجمين أجروا استطلاعاً ميدانياً، وسرقوا بيانات الاعتماد، وتحركوا جانبياً عبر الأنظمة لتحقيق هذا الانتشار الواسع.
اكتشاف آلية عمل 01flip
حدد محللو الأمن في Palo Alto Networks برمجية 01flip بعد تحليل معمق للبيانات المشبوهة. استندت عملية تحديد الهوية إلى فحص سلوكي للملفات التنفيذية التي أظهرت خصائص برمجيات الفدية. وتم اشتقاق اسم البرمجية الخبيثة من امتداد الملف الملحق (.01flip) وعنوان البريد الإلكتروني المستخدم في الملاحظة الفدية ([email protected]).
من اللافت للنظر أن النسخة المخصصة لنظام Linux سجلت معدلات كشف صفرية لمدة ثلاثة أشهر على الأقل بعد تقديمها لأول مرة على VirusTotal. هذا يدل على قدرة البرمجية الخبيثة على التهرب من أنظمة الكشف الأمنية، مما يجعلها تهديداً خطيراً.
آلية التشفير والدفاعات النشطة
تستخدم البرمجية الخبيثة 01flip آلية تشفير بسيطة ولكنها فعالة، تجمع بين طبقات تشفير متعددة لضمان عدم قدرة الضحايا على فك تشفير ملفاتهم بشكل مستقل. تبدأ البرمجية الخبيثة بتعداد جميع محركات الأقراص الممكنة من A إلى Z، ثم تقوم بإنشاء ملاحظات فدية بعنوان RECOVER-YOUR-FILE.TXT في جميع الدلائل القابلة للكتابة قبل بدء التشفير.
يتم إعادة تسمية الملفات بنمط: ORIGINAL_FILENAME.UNIQUE_ID.0 أو 1.01flip. تستخدم عملية التشفير AES-128-CBC لتشفير محتوى الملف، بينما يتم تشفير مفتاح الجلسة نفسه باستخدام تشفير مفتاح RSA-2048 العام. هذا النهج المزدوج التشفير يمنع الضحايا من فك تشفير الملفات حتى لو حصلوا على مفتاح الجلسة.
تُظهر عينات البرمجيات الخبيثة سلاسل نصية مرتبطة بلغة Rust، مما يؤكد أصول تجميعها بهذه اللغة. ما يجعل 01flip مقلقة بشكل خاص هو تقنيات التهرب النشطة ضد الدفاعات المصممة لمنع الكشف والإزالة.
تُعطي كل من نسختي Windows و Linux الأولوية لواجهات برمجة التطبيقات (APIs) واستدعاءات النظام منخفضة المستوى التي تتلاءم بشكل طبيعي مع نشاط نظام التشغيل الشرعي. هذا يجعل الكشف السلوكي أكثر صعوبة بشكل كبير.
تقوم البرمجية الخبيثة بتشفير معظم السلاسل النصية المحددة من قبل المستخدم داخل الشيفرة وفك تشفيرها أثناء التشغيل، بما في ذلك محتوى ملاحظة الفدية، واسم ملف ملاحظة الفدية، وقائمة امتدادات الملفات، والمفتاح العام RSA. بالإضافة إلى ذلك، تتضمن بعض العينات اكتشافات مضادة للصناديق الرملية عن طريق التحقق مما إذا كان اسم الملف يحتوي على السلسلة 01flip.
عند اكتشاف ذلك، تتجاوز البرمجية الخبيثة تشفير الملفات وتنتقل مباشرة إلى إزالة المؤشرات، مدمرة آثار وجودها على النظام المصاب. وهذا يوضح كيف تقوم 01flip بفك تشفير قالب ملاحظة الفدية باستخدام عملية SUB بسيطة يتم إجراؤها على كل بايتين من البيانات المشفرة، مما يدل على نية المطورين الموازنة بين التعقيد والكفاءة التشغيلية.