يكتشف الخبراء الأمنيون السيبرانيون اتجاهًا جديدًا مقلقًا حيث يستغل مجرمو الإنترنت برامج الإدارة الشرعية، مثل أدوات مراقبة الموظفين، لتنفيذ هجمات برمجيات الفدية. أصبح هذا النهج خفيًا بشكل متزايد، مما يجعل من الصعب على الشركات اكتشاف الأنشطة الضارة.
بدلاً من الاعتماد فقط على البرامج الضارة المخصصة، يقوم المهاجمون الآن بإساءة استخدام الأدوات المصممة لأغراض مشروعة لتنفيذ هجماتهم. يستخدمون هذه البرامج للتسلل إلى شبكات الشركات والسيطرة على الأنظمة وسرقة البيانات الحساسة.
هذه الاستراتيجية تسمح لهم بالاندماج مع حركة المرور اليومية الطبيعية، متجاوزين الدفاعات الأمنية التي عادة ما تكتشف البرامج الضارة المعروفة. وهذا يجعل الكشف عن التهديدات أكثر صعوبة.
استغلال أدوات مراقبة الموظفين لتنفيذ هجمات برمجيات الفدية
تشمل الأدوات الرئيسية التي تم رصدها في هذه الحملات الحديثة “Net Monitor for Employees Professional” و”SimpleHelp”. على الرغم من أن هذه التطبيقات مصممة لدعم تكنولوجيا المعلومات والإشراف على الموظفين، إلا أن المتسللين قد أعادوا توظيفها لأغراض خبيثة.
تستفيد البرامج الضارة من الميزات القوية لهذه الأدوات، مثل عرض الشاشات وإدارة الملفات وتشغيل الأوامر، للسيطرة على أجهزة الكمبيوتر. هذا يحول بشكل فعال أداة مكتبية قياسية إلى سلاح خطير للتحكم عن بعد في الشبكة.
قام محللو Huntress بتحديد هذا النشاط المحدد في أوائل عام 2026، مشيرين إلى أن المهاجمين استخدموا هذه الأدوات للحفاظ على وصول طويل الأمد إلى الأنظمة. لوحظ أن المتسللين لم يراقبوا المستخدمين فحسب، بل كانوا يعدون الأنظمة بالفعل لضربة أكثر ضررًا.
من خلال تأسيس هذه القدم الخفية، يمكن للمهاجمين تنفيذ أوامر تقنية وتعطيل تدابير السلامة دون ملاحظة فريق تكنولوجيا المعلومات. غالبًا ما أدى هذا الوصول الصامت إلى محاولات لنشر برمجيات الفدية “Crazy” وسرقة العملات المشفرة.
تقنيات التهرب والمثابرة
عمل المهاجمون بجد لإخفاء وجودهم على الأجهزة المصابة لتجنب الإزالة. قاموا في كثير من الأحيان بإعادة تسمية الملفات الضارة لتبدو وكأنها خدمات Microsoft أساسية. على سبيل المثال، غالبًا ما تم تسجيل وكيل المراقبة بأسماء مثل “OneDriveSvc” و”OneDriver.exe”، في محاولة لخداع المستخدمين للاعتقاد بأنه عملية تخزين سحابي غير ضارة.
ساعدت هذه الخدعة البسيطة البرنامج الضار على البقاء نشطًا دون إثارة الشكوك. لضمان قدرتهم على البقاء في الشبكة، قام المهاجمون بتثبيت SimpleHelp كنقطة دخول احتياطية. هذا التكرار يعني أنه إذا تم اكتشاف أداة واحدة وإزالتها، فإن الأداة الأخرى تسمح لهم بالعودة.
قاموا أيضًا بتكوين البرنامج لمراقبة كلمات معينة على الشاشة، مثل “wallet” أو “Binance”. هذا سمح لهم بتلقي تنبيهات فورية عندما يفتح المستخدم تطبيقًا مصرفيًا، مما يضمن قدرتهم على سرقة الأموال في اللحظة المثالية. استخدام أدوات مراقبة الموظفين بهذا الشكل يمثل تحديًا أمنيًا خطيرًا.
لمنع هذه الهجمات، يجب على المؤسسات أن تفرض قيودًا صارمة على المستخدمين المخولين بتثبيت البرامج. يجب عليهم أيضًا تطبيق المصادقة متعددة العوامل (MFA) على جميع الحسابات البعيدة. علاوة على ذلك، يجب على فرق الأمان مراجعة الأنظمة بانتظام بحثًا عن أدوات الإدارة عن بعد غير المصرح بها.
يجب أيضًا مراقبة محاولات تعطيل برامج مكافحة الفيروسات. وأخيرًا، يعد التحقق من أسماء البرامج غير العادية التي تقلد الخدمات الشرعية أمرًا أساسيًا للكشف المبكر عن هذه الاختراقات. فهم طبيعة هجمات برمجيات الفدية الحديثة أمر حيوي.