برز برمجية الفدية الجديدة المسماة “Payload” كتهديد خطير للمؤسسات عبر قطاعات متعددة، حيث تجمع بين تقنيات تشفير قوية وقدرات متقدمة لمكافحة الأدلة الجنائية. اكتشف باحثون أمنيون أن هذه البرمجية الخبيثة، التي يبدو أنها مشتقة جزئياً من الشيفرة المصدرية لبرمجية Babuk التي تسربت سابقاً، تستغل نقاط ضعف في أنظمة ويندوز و VMware ESXi، مما يشكل تحدياً كبيراً لفرق الأمن السيبراني.
بدأت المجموعة المسؤولة عن “Payload” نشاطها في (17 فبراير 2026)، وهو نفس يوم تجميع النسخة المخصصة لويندوز، وظهر أول ضحية على موقعها لتسريب البيانات على الويب المظلم بعد ساعات قليلة من الإطلاق. وقد أعلنت “Payload” عن 12 ضحية في سبع دول حتى الآن، مع ما مجموعه 2,603 جيجابايت من البيانات المسروقة المزعومة.
برمجية فدية Payload تستهدف الأسواق الناشئة
تركز المجموعة التي تقف وراء برمجية الفدية “Payload” على المؤسسات المتوسطة إلى الكبيرة، وتشمل قطاعات مثل الرعاية الصحية، العقارات، الطاقة، الاتصالات، والزراعة. تتواجد معظم هذه المؤسسات في الأسواق الناشئة، مما يشير إلى استراتيجية هجومية مدروسة لاستهداف مناطق قد تكون أنظمة حمايتها أقل تطوراً.
تتبع المجموعة نموذج الابتزاز المزدوج، حيث تقوم بسرقة البيانات من شبكات الضحايا قبل تشفير ملفاتهم، ثم تهدد بنشر هذه البيانات ما لم يتم دفع الفدية. يوجه الضحايا إلى بوابة تفاوض عبر شبكة Tor، مع بيانات اعتماد فريدة لكل ضحية، بينما يتم نشر الملفات المسروقة على مدونة تسريب منفصلة على Tor مع مؤقت تنازلي.
هجوم على مستشفى ملكي بحريني
في (15 مارس 2026)، أعلنت “Payload” عن اختراق مستشفى Royal Bahrain Hospital، مدعية سرقة 110 جيجابايت من البيانات، وحددت يوم (23 مارس) كموعد استجابة. هذه الحادثة تسلط الضوء على التهديد المباشر الذي تشكله هذه البرمجية الخبيثة على مؤسسات حيوية.
التشفير المتطور والحماية المتقدمة في Payload
حدد باحثون في Derp.Ca هذه البرمجية الخبيثة من خلال تحليل شامل للرمز، لكل من نسختي ويندوز و Linux ELF. لوحظ أن سبعة عشر محركاً في VirusTotal صنفت عينة ويندوز على أنها Babuk، مما يربطها بالشيفرة المصدرية لـ Babuk التي تسربت علناً في (سبتمبر 2021). كما تقوم البرمجية بإنشاء ما يشبه “mutex” باسم MakeAmericaGreatAgain عند بدء التشغيل، وهو قفل يمنع تشغيل نسخ متعددة من البرمجية على نفس الجهاز في وقت واحد.
على الرغم من أصولها المشتركة مع Babuk، إلا أن “Payload” ليست مجرد نسخة طبق الأصل. فقد استبدل المطور التشفير الأصلي HC-128 بـ ChaCha20 وأضاف قدرات لمكافحة الأدلة الجنائية لم تكن موجودة في شيفرة Babuk الأصلية. وتشمل هذه القدرات تعديل أربع دوال لتتبع أحداث ويندوز في ntdll.dll لإخفاء أدوات الكشف، ومسح جميع سجلات أحداث ويندوز بعد اكتمال التشفير، واستخدام خدعة إعادة تسمية لتيارات البيانات البديلة NTFS لحذف الملف الثنائي بصمت دون ترك عملية تابعة أو ملف مؤقت.
آلية التشفير: Curve25519 تلتقي بـ ChaCha20
يعتبر نظام التشفير هو ما يجعل “Payload” خطيرة حقاً، وهو مصمم بحيث يكون استعادة الملفات بدون المفتاح الخاص للمشغل مستحيلاً. تقوم البرمجية الخبيثة بأقران تبادل المفاتيح المنحنية إهليلجياً (Curve25519) مع تشفير ChaCha20 لغلق كل ملف بمفتاح فريد تماماً. لكل ملف، يتم إنشاء زوج مفاتيح Curve25519 جديد و 12 بايت من الـ nonce باستخدام CryptGenRandom.
يتم إنتاج سر مشترك من خلال اتفاقية مفاتيح ECDH بين المفتاح الخاص بالملف والمفتاح العام المرمز في شيفرة البرمجية، والذي يستخدم مباشرة كمفتاح تشفير ChaCha20. الملفات التي يزيد حجمها عن 2 جيجابايت تتلقى فقط 20% تشفيراً – موزعة عبر أجزاء متساوية الحجم (1 ميجابايت) – مما يمنح البرمجية ميزة السرعة على أنظمة التخزين الكبيرة.
بعد قفل كل ملف، يتم إرفاقه بما يسمى “footer” بحجم 56 بايت، مشفر باستخدام RC4 مع مفتاح مكون من ثلاثة بايت هو FBI. يقوم هذا الـ footer بتخزين المفتاح العام والـ nonce الخاصين بالملف، والتي يحتاجها المشغل لعكس عملية التشفير لاحقاً. في لحظة كتابة الـ footer، يتم مسح المفتاح الخاص بالملف فوراً من الذاكرة ولا يتم حفظه أبداً على القرص. لم يجد محللو Derp.Ca أي ضعف تشفير في التطبيق – لا باب خلفي، لا خلل، ولا مسار فك تشفير. بدون المفتاح الخاص Curve25519 للمشغل، تظل كل الملفات المشفرة بعيدة المنال بشكل دائم.
نصائح للحماية من برمجية الفدية Payload
يجب على المؤسسات الاحتفاظ بنسخ احتياطية غير قابلة للتغيير (immutable) وغير متصلة بالإنترنت (offline)، واختبارها بانتظام، حيث تستهدف “Payload” خدمات النسخ الاحتياطي مثل Veeam و Acronis و BackupExec وتعطلها. كما يجب على فرق الأمن عدم الاعتماد فقط على المراقبة المستندة إلى ETW، حيث تقوم “Payload” بتعديل أربع وظائف أساسية في ntdll لتعطيلها. أي عملية تقوم بتشغيل vssadmin لحذف النسخ الظلية (shadow copies) أو إصدار مسح كامل لسجل الأحداث يجب أن تثير تنبيهاً فورياً.
ويعد الـ mutex الذي يحمل اسم MakeAmericaGreatAgain وامتداد الملف المشفر .payload مؤشرات موثوقة على الاختراق على مستوى المضيف. تتوفر قواعد الكشف باستخدام YARA لكل من نسختي ويندوز و Linux على الرابط التالي: github.com/kirkderp/yara.