صعدت مجموعة برمجيات الفدية الجديدة Payouts King لتصبح تهديدًا سيبرانيًا خطيرًا، حيث استلمت الشعلة من عملية BlackBasta التي تم حلها. منذ ظهورها في أبريل 2025، نفذت المجموعة هجمات مستهدفة بهدوء دون أن تلفت الانتباه، حيث جمعت بين سرقة البيانات العدوانية وتشفير الملفات بشكل انتقائي.
كانت BlackBasta واحدة من أكثر مجموعات برمجيات الفدية نشاطًا منذ إطلاقها في فبراير 2022 كخليفة لعصابة Conti سيئة السمعة. عملت المجموعة لما يقرب من ثلاث سنوات قبل أن تنهار في فبراير 2025 عندما تم تسريب سجلات الدردشة الداخلية الخاصة بها علنًا، مما كشف عن أعضائها وعملياتها الداخلية.
Payouts King: وريث BlackBasta في عالم الجريمة السيبرانية
بعد إغلاق BlackBasta، لم يختفِ منتسبوها ببساطة. بدلاً من ذلك، أعادوا تنظيم صفوفهم وواصلوا أنشطتهم الإجرامية تحت عائلات برمجيات فدية مختلفة، بما في ذلك Cactus، ومؤخرًا، Payouts King. لاحظ محللو Zscaler ThreatLabz نشاط برمجيات فدية يتفق مع وسطاء الوصول الأولي السابقين لـ BlackBasta بدءًا من أوائل عام 2026، ونسبوا العديد من تلك الهجمات إلى مجموعة برمجيات الفدية Payouts King بثقة عالية.
وأشار الباحثون إلى أن العديد من هذه الهجمات تتشابه عن كثب مع نفس التقنيات والتكتيكات والإجراءات التي استخدمها منتسبو BlackBasta، لا سيما الجمع بين قصف البريد العشوائي، وهندسة الدماغ الاجتماعية المستندة إلى Microsoft Teams، وإساءة استخدام أداة Windows الشرعية Quick Assist.
أسلوب هجوم Payouts King
يتلقى الضحايا عادةً فيضًا من رسائل البريد الإلكتروني العشوائي، ثم يتصل بهم جهة فاعلة سيئة تنتحل صفة موظف في قسم تكنولوجيا المعلومات، ويتم خداعهم لمنح الوصول عن بُعد عبر مكالمة Microsoft Teams. بمجرد إنشاء موطئ قدم في شبكة الضحية، تقوم Payouts King بنشر حمولتها من برمجيات الفدية، وسرقة كميات كبيرة من البيانات الحساسة، ثم تشفير الملفات بشكل انتقائي.
تدير المجموعة موقعًا لتسريب البيانات يمكن الوصول إليه عبر شبكة Tor، والذي يستخدم للضغط على الضحايا من خلال التهديد بنشر معلوماتهم المسروقة. تترك ملاحظة الفدية، المسماة “readme_locker.txt”، على سطح مكتب الضحية وتوفر تعليمات الاتصال عبر منصة المراسلة TOX.
الآليات التقنية لبرمجيات الفدية
تتميز برمجيات الفدية نفسها بتطور تقني، حيث تستخدم تشفير RSA بقوة 4096 بت و AES بقوة 256 بت في وضع العداد لغلق ملفات الضحية. يتم تشفير كل ملف باستخدام مفتاح تم إنشاؤه عشوائيًا متجه تهيئة، ويتم تخزين معلمات التشفير في تنسيق منظم بحجم 487 بايت يبدأ بالبايتات السحرية “CRPT”. بالنسبة للملفات الكبيرة التي تزيد عن 10 ميجابايت، تقوم Payouts King بتقسيم الملف إلى 13 كتلة وتقوم بتشفير كل كتلة جزئيًا فقط، وهو تحسين شائع للأداء يُرى في برمجيات الفدية الحديثة لتسريع الهجوم.
كيف تتجنب Payouts King الكشف
تم تصميم Payouts King من الألف إلى الياء لتجنب أدوات الأمان. تستخدم العديد من طرق الإخفاء بما في ذلك تشفير السلسلة المستند إلى المكدس، ودقة وظائف Windows API من خلال التجزئة، وخوارزمية فحص CRC مخصصة بقيمة متعددة الحدود 0xBDC65592. تتغلب هذه الطرق على جداول الهاش المحسوبة مسبقًا التي يستخدمها محللو الأمان عادةً لإعادة هندسة البرامج الضارة بسرعة، مما يجعل التحليل الثابت أكثر صعوبة.
تستخدم برمجيات الفدية أيضًا آلية فريدة لمكافحة البيئة الافتراضية. افتراضيًا، ترفض بدء تشفير الملفات ما لم يتم تمرير معلمة هوية محددة في سطر الأوامر، ويجب أن تتطابق قيمة CRC لتلك القيمة مع نتيجة متوقعة. هذا يمنع البرامج الضارة بشكل فعال من التشغيل في بيئات البيئة الافتراضية الآلية التي تستخدمها شركات مكافحة الفيروسات.
لزيادة إحباط أدوات أمان نقطة النهاية، تستخدم Payouts King استدعاءات النظام المباشرة منخفضة المستوى بدلاً من استدعاءات Windows API القياسية عند إنهاء عمليات الأمان قيد التشغيل. تقوم ببناء جدول تشغيل لأرقام استدعاءات النظام عن طريق اجتياز جدول تصدير وحدة ntdll، واستهداف العمليات التي تنتمي إلى قائمة ثابتة تضم 131 تطبيقًا لمكافحة الفيروسات و EDR.
بعد اكتمال تشفير الملفات، تقوم برمجيات الفدية بحذف نسخ الظل من Windows، ومسح سلة المحذوفات، ومسح سجلات أحداث Windows لإعاقة التحقيق الجنائي.
للدفاع ضد Payouts King والتهديدات المماثلة، يجب على المؤسسات تدريب الموظفين على التعرف على تكتيكات الهندسة الاجتماعية مثل قصف البريد العشوائي ومكالمات الدعم الفني المزيفة. كما يوصى بشدة بتطبيق المصادقة متعددة العوامل، وتقييد استخدام أدوات الوصول عن بعد مثل Quick Assist للموظفين المعتمدين في مجال تكنولوجيا المعلومات فقط، ونشر اكتشاف نقاط النهاية المستند إلى السلوك.
يظل البحث الاستباقي عن التهديدات جنبًا إلى جنب مع التحديثات المستمرة لضوابط الأمان أمرًا ضروريًا لمواكبة مجموعات برمجيات الفدية التي تقوم باستمرار بتكييف أساليبها.