كشفت شركة الأمن السيبراني هالسيون عن الأساليب المتطورة التي تتبعها مجموعة برامج الفدية أكيرا، حيث نجحت في اختراق مئات الضحايا خلال العام الماضي، مقلصةً المدة الزمنية من الوصول الأولي إلى تشفير البيانات إلى أقل من أربع ساعات.
تنشط مجموعة أكيرا منذ عام 2023، وتمكنت من تحصيل ما لا يقل عن 245 مليون دولار كمدفوعات فدية من ضحاياها حتى سبتمبر 2025. يُعتقد أن هذه المجموعة الإجرامية السيبرانية تضم أعضاء سابقين ومنتسبين لمجموعة كونتي التي حُلت، وتشتهر بنهجها المتقن في الابتزاز الرقمي.
كفاءة مجموعة أكيرا في الهجمات السيبرانية
يُعدّ الاختصار الكبير في دورة الإصابة بالبرمجيات الخبيثة الذي تتبعه أكيرا مثالاً واضحاً على كفاءتها. فوفقاً لتقرير هالسيون، تستغل المجموعة ثغرات يوم الصفر، وتشتري أدوات استغلال من وسطاء الوصول الأولي، وتستغل شبكات الـ VPN التي تفتقر إلى المصادقة متعددة العوامل لإصابة ضحاياها.
إضافة إلى ذلك، تعتمد أكيرا على تقنية تعرف بـ “التشفير المتقطع”، والتي تتيح تشفير الملفات الكبيرة بشكل أسرع من خلال معالجتها على شكل كتل أصغر. هذا النهج يقلل بشكل كبير من الوقت اللازم لإتمام عملية التشفير.
وذكرت هالسيون في مدونتها أن أكيرا “أكثر تكتماً وأقل عدوانية، مما يسمح للبرمجية الخبيثة بالتحرك بسرعة عبر سلسلة هجمات الفدية الكاملة، من الوصول الأولي إلى استخراج البيانات، والتشفير في غضون ساعة واحدة فقط دون اكتشاف”. وفي غالب الحالات، كانت المدة من الوصول الأولي إلى التشفير أقل من أربع ساعات.
استراتيجيات أكيرا لضمان دفع الفدية
على عكس معظم مشغلي برامج الفدية الذين يركزون حوالي 90-95% من وقتهم على تطوير برامج التشفير، تخصص أكيرا جهوداً كبيرة لضمان استعادة الملفات الكبيرة، مثل صور الخوادم. وقد تصل هذه الجهود إلى حد حفظ الملفات مؤقتاً بملحقات مخصصة (.akira) لضمان إمكانية استعادتها حتى لو توقفت عملية التشفير.
تشير هالسيون إلى أن هذه الاستراتيجيات لا تنبع غالباً من مبادئ أخلاقية، بل تعتقد المجموعة أن تقديم أدوات فك تشفير فعالة يزيد من احتمالية دفع الشركات للفدية. إن دمج أكيرا لسرعة الإصابة مع القدرة على توفير طريقة موثوقة للشركات لاستعادة بياناتها هو ما “يميزها عن العديد من مشغلي برامج الفدية الآخرين”.
وخلص التقرير إلى أن “قدرة المجموعة على الانتقال من الوصول الأولي إلى التشفير الكامل في أقل من ساعة، مع الحفاظ على ضمانات الاستعادة التي تحفز الضحايا على الدفع، تعكس مؤسسة إجرامية ناضجة ومدفوعة بالأعمال”.
القطاعات المستهدفة والآثار الأمنية
لوحظ أن المجموعة تستغل ثغرات في خوادم النسخ الاحتياطي والاسترداد من Veeam، وشبكات VPN من Cisco، وأجهزة SonicWall. وعلى غرار مجموعات برامج الفدية الأخرى، تتبع أكيرا نموذج الابتزاز المزدوج ضد ضحاياها، حيث تقوم بسرقة بياناتهم قبل تشفيرها، ثم تهدد بنشر البيانات المسروقة عبر الإنترنت إذا لم تدفع الشركات الفدية.
في العام الماضي، صنّفت كل من وكالة التحقيقات الفيدرالية (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) أكيرا كواحدة من أبرز مجموعات الجريمة المنظمة باستخدام برامج الفدية على مستوى العالم. تستهدف المجموعة بشكل أساسي الشركات الصغيرة والمتوسطة في قطاعات التصنيع، والتعليم، وتكنولوجيا المعلومات، والرعاية الصحية، والمالية، والزراعة.