كشفت أحدث التحليلات الأمنية عن تكتيك جديد لحجب الدفاعات يستخدمه مجرمو برامج الفدية، حيث قامت جهات فاعلة ضمن مجموعة Black Basta بدمج مكون “إحضار برنامجك الخاص للسائق الضعيف” (BYOVD) مباشرة داخل حمولة برامج الفدية الخاصة بها. هذا التطور يمثل الابنوي الأحدث في سباق التسلح السيبراني المستمر بين المهاجمين والمدافعين.
تُظهر الحملة الأخيرة لمجموعة Black Basta تبني استراتيجية مختلفة، حيث يتم تضمين تقنية BYOVD، المصممة لخداع أنظمة الحماية، ضمن البرمجيات الخبيثة الرئيسية بدلاً من نشرها كملف منفصل. تهدف هذه التقنية إلى تعطيل برامج الأمان على أجهزة الضحايا قبل تشفير البيانات.
Black Basta تستخدم تقنية BYOVD كسلاح جديد
في الآونة الأخيرة، شهدت ساحة الأمن السيبراني تطورات مقلقة تتعلق ببرامج الفدية، خاصة فيما يتعلق بأساليب التهرب من الدفاعات. وجد الباحثون الأمنيون، بالتحديد من Symantec، أن مجموعة Black Basta بدأت في دمج مكونات BYOVD في حمولة برامج الفدية مباشرة. هذا النهج يقلل من فرصة اكتشاف الهجوم قبل فوات الأوان.
يشير هذا التحول إلى سعي مستمر من قبل مجموعات برامج الفدية لتعزيز قدرتها على تجاوز إجراءات الأمان الحديثة. إن دمج أدوات التهرب داخل برامج الفدية نفسها يجعل عملية الهجوم أكثر سلاسة وسرعة.
تسمح تقنية BYOVD للمهاجمين باستغلال ثغرات في برامج تشغيل (drivers) نظام التشغيل الشرعية والموقعة رقمياً. من خلال الحصول على امتيازات على مستوى النواة (kernel-level privileges)، يستطيعون إيقاف عمليات مكافحة الفيروسات والبرامج الأمنية الأخرى التي قد تعيق تشفير الملفات.
آلية عمل تقنية BYOVD
تعتمد هذه الآلية على استغلال ضعف في برامج تشغيل معينة لنظام التشغيل Windows. عند تنفيذ برامج الفدية، تقوم بإدراج برنامج تشغيل يحتوي على ثغرة أمنية، ثم تقوم بإنشاء خدمة لتفعيله. هذه الثغرة، التي تحمل المعرف CVE-2025-68947، تفشل في التحقق بشكل صحيح من أذونات المستخدم.
نتيجة لذلك، يمكن للمهاجمين إرسال تعليمات خاصة لإنهاء العمليات الحساسة. تستهدف برامج الفدية قائمة واسعة من أدوات الأمان، مثل SophosHealth.exe و MsMpEng.exe، وغيرها من أدوات الكشف. هذا يمنح برامج الفدية القدرة على العمل دون عوائق.
يُشار إلى أن شركة Cardinal، وهي مجموعة تعمل في مجال الجرائم الإلكترونية، قد لوحظ أنها عادت إلى العمليات النشطة بعد فترة من الصمت. يأتي هذا التطور بعد تسريب سجلات محادثاتها الداخلية في أوائل عام 2025. على الرغم من أن دمج مكونات التهرب ليس جديدًا بالكامل، إلا أن هذا التنفيذ المحدد لم يُلاحظ في حملات Black Basta السابقة.
يُعد هذا التطور مؤشراً على مستوى أعلى من التعقيد والتطور في أساليب الهجوم. من المحتمل أن تتبنى عائلات برامج فدية أخرى هذه التقنية لتجاوز بروتوكولات الأمان المتقدمة. ينصح الخبراء المؤسسات بالاطلاع على أحدث نشرات Symantec Bulletins للحصول على مؤشرات إلغاء الارتباط (IOCs) وتحديثات الحماية.