كشف باحثون في الأمن السيبراني عن تفاصيل عائلة برامج فدية ناشئة تُعرف باسم Reynolds، والتي تم تضمينها مع مكون “أحضر برنامج التشغيل الخاص بك المعرض للخطر” (BYOVD) مدمج داخل حمولة الفدية نفسها لأغراض التهرب من الدفاع.
يشير BYOVD إلى تقنية معادية تستغل برامج التشغيل المشروعة ولكن بها عيوب لزيادة الامتيازات وتعطيل حلول الكشف والاستجابة لنقاط النهاية (EDR) بحيث تمر الأنشطة الضارة دون أن يلاحظها أحد. وقد اعتمدت هذه الاستراتيجية من قبل العديد من مجموعات برامج الفدية على مر السنين.
برامج الفدية Reynolds تدمج تقنيات التهرب من الدفاع
وفقًا لتقرير فريق Symantec و Carbon Black Threat Hunter، فإن مكون التهرب من الدفاع BYOVD في الهجوم، عادة ما يكون أداة منفصلة يتم نشرها قبل حمولة الفدية لتعطيل البرامج الأمنية. ومع ذلك، في هذا الهجوم، تم تجميع برنامج التشغيل المعرض للخطر (NsecSoft NSecKrnl driver) مع حمولة الفدية نفسها.
وقد لاحظت فرق الأمن السيبراني التابعة لشركة Broadcom أن تكتيك تجميع مكون التهرب من الدفاع ضمن حمولة برنامج الفدية ليس جديدًا، وتم ملاحظته في هجوم برامج فدية Ryuk في عام 2020 وفي حادث شمل عائلة برامج فدية أقل شهرة تسمى Obscura في أواخر أغسطس 2025.
في حملة Reynolds، تم تصميم برنامج الفدية لإسقاط برنامج تشغيل NsecSoft NSecKrnl المعرض للخطر وإنهاء العمليات المرتبطة ببرامج أمنية مختلفة، بما في ذلك Avast، و CrowdStrike Falcon، و Palo Alto Networks Cortex XDR، و Sophos (بالإضافة إلى HitmanPro.Alert)، و Symantec Endpoint Protection، وغيرها.
استغلال ثغرة برنامج التشغيل NSecKrnl
تجدر الإشارة إلى أن برنامج تشغيل NSecKrnl عرضة لخلل أمني معروف (CVE-2025-68947، درجة CVSS: 5.7) يمكن استغلاله لإنهاء عمليات عشوائية. والجدير بالذكر أن برنامج التشغيل هذا قد استخدمه جهة فاعلة تهديد معروفة باسم Silver Fox في هجمات تهدف إلى إنهاء أدوات أمن نقاط النهاية قبل تقديم ValleyRAT.
خلال العام الماضي، استخدمت مجموعة القرصنة هذه سابقاً برامج تشغيل مشروعة ولكن معيبة، بما في ذلك truesight.sys و amsdk.sys، كجزء من هجمات BYOVD لتعطيل البرامج الأمنية.
من خلال الجمع بين قدرات التهرب من الدفاع وبرامج الفدية في مكون واحد، يصبح من الصعب على المدافعين إيقاف الهجوم، ناهيك عن إلغاء حاجة تابع لدمج هذه الخطوة بشكل منفصل في طريقة عملهم.
وأضاف فريق Symantec و Carbon Black أن حملة الهجوم هذه شهدت أيضاً وجود محمل برمجي جانبي مشبوه على شبكة الهدف قبل عدة أسابيع من نشر برامج الفدية.
كما تم نشر برنامج الوصول عن بعد GotoHTTP على الشبكة المستهدفة بعد يوم واحد من نشر برامج الفدية، مما يشير إلى أن المهاجمين قد يسعون للحفاظ على وصول دائم إلى الأجهزة المخترقة.
وأوضحت الشركة أن BYOVD يحظى بشعبية لدى المهاجمين لفعاليته واعتماده على الملفات المشروعة والموقعة، والتي من غير المرجح أن تثير الشكوك.
قد تشمل مزايا تغليف قدرة التهرب من الدفاع مع حمولة برنامج الفدية، والسبب الذي قد يدفع جهات برامج الفدية إلى القيام بذلك، حقيقة أن تجميع ثنائي التهرب من الدفاع وحمولة برامج الفدية معًا يكون “أكثر هدوءًا”، دون إسقاط ملف خارجي منفصل على شبكة الضحية.
يتزامن هذا الاكتشاف مع تطورات مختلفة متعلقة ببرامج الفدية في الأسابيع الأخيرة، بما في ذلك حملات بريد إلكتروني تصيدية عالية الحجم تستخدم مرفقات اختصار Windows (LNK)، وهجمات WantToCry التي تستغل الأجهزة الافتراضية (VMs)، وإنشاء DragonForce خدمة “تدقيق بيانات الشركة” لدعم التابعين، وإصدار LockBit 5.0 الجديد الذي يستخدم تشفير ChaCha20، واستمرار مجموعة Interlock ransomware في مهاجمة المؤسسات.
كما تم ملاحظة زيادة تركيز مشغلي برامج الفدية من الأهداف التقليدية داخل المباني إلى خدمات التخزين السحابي، وخاصة حاويات S3 ذات التكوين الخاطئ المستخدمة بواسطة Amazon Web Services (AWS).
ووفقًا لبيانات من Cyble، فإن GLOBAL GROUP هي واحدة من العديد من عصابات برامج الفدية التي ظهرت في عام 2025. وفي الربع الرابع من عام 2025 وحده، زادت قوائم مواقع تسريب بيانات Sinobi بنسبة 306%، مما جعلها ثالث أكثر مجموعات برامج الفدية نشاطًا.
وأضاف الباحث Gautham Ashok أن عودة LockBit 5.0 كانت واحدة من أكبر التحولات في الربع الرابع، مدفوعة بزيادة في نهاية الربع شهدت فيها المجموعة إدراج 110 منظمات في ديسمبر وحده.
وقد أدت ظهور لاعبين جدد، إلى جانب الشراكات التي تم تشكيلها بين المجموعات الحالية، إلى زيادة في نشاط برامج الفدية. حيث ادعى مشغلو برامج الفدية ما مجموعه 4737 هجوماً خلال عام 2025، بزيادة عن 4701 في عام 2024. وبلغ عدد الهجمات التي لا تتضمن التشفير وتعتمد فقط على سرقة البيانات لممارسة الضغط 6182 خلال نفس الفترة، بزيادة 23% عن عام 2024.
أما بالنسبة لمتوسط دفع الفدية، فقد بلغ المبلغ 591,988 دولارًا في الربع الرابع من عام 2025، بزيادة 57% عن الربع الثالث من عام 2025، مدفوعة بعدد قليل من “التسويات الكبيرة”، وأضافت Coveware في تقريرها الفصلي الأسبوع الماضي، أن جهات التهديد قد تعود إلى “جذور تشفير البيانات” لممارسة ضغط أكثر فعالية لاستخراج الفدية من الضحايا.