تصاعدت وتيرة هجمات مجموعة برامج الفدية INC بشكل ملحوظ، لتصبح واحدة من أبرز التهديدات السيبرانية في عام 2026، مستهدفةً مئات الشركات والمؤسسات. وقد أظهرت أحدث التقارير أن هذه المجموعة قد نجحت في اختراق ما لا يقل عن 830 ضحية منذ أغسطس 2023.
تأتي هذه الزيادة في نشاط المجموعة في أعقاب الاضطرابات التي شهدتها مجموعات برامج فدية أخرى، مما أتاح لـ INC فرصة لتوسيع نطاق عملياتها وجذب شركاء جدد. وتشير البيانات إلى أن الولايات المتحدة هي الأكثر تضرراً، حيث تستهدف المجموعة بشكل خاص قطاعات الخدمات القانونية، والتصنيع، والبناء، والتكنولوجيا، والرعاية الصحية.
تطور برامج الفدية INC وأساليبها
شهدت برامج الفدية INC تطورات تقنية كبيرة، حيث تمت إعادة كتابة برامج التشفير الخاصة بها التي تستهدف أنظمة ويندوز ولينكس/ESXi بلغة Rust. هذا التحديث يسهل تطويرها عبر منصات مختلفة ويجعلها أكثر صعوبة في التحليل العكسي، مما يعزز من كفاءتها.
تتميز الهجمات التي تنفذها INC باستخدام أدوات متقدمة لتفريغ بيانات الاعتماد. وتستهدف هذه الأدوات بشكل خاص أحدث إصدارات النسخ الاحتياطي من Veeam، التي تستخدم تشفير DPAPI لحماية بيانات الاعتماد.
إضافة إلى ذلك، كشف تقرير حديث عن ظهور عائلات برامج فدية مرتبطة بـ INC، مثل Lynx و Sinobi، والتي تتشارك معها في أجزاء كبيرة من الشفرة البرمجية. وقد تم بيع نسخ من برامج الفدية الخاصة بـ INC لأنظمة ويندوز ولينكس في السوق السوداء الإلكترونية منذ مايو 2024.
الأساليب الهجومية لمجموعة INC
تعتمد مجموعة INC على مجموعة متنوعة من الأدوات والتقنيات لاستهداف ضحاياها. في حملاتها الأخيرة، تستمر المجموعة في استغلال الأجهزة الطرفية غير المصححة (unpatched edge devices) كنقطة دخول أولية، بالإضافة إلى تفريغ بيانات الاعتماد من خوادم النسخ الاحتياطي لـ Veeam.
تستخدم المجموعة أيضاً مزيجاً من الأدوات المدمجة في النظام (LOLBins) وأدوات الإدارة عن بعد التجارية (RMM tools) للتنقل داخل شبكات الضحايا. ويشمل ذلك استغلال ثغرات أمنية معروفة في تطبيقات مثل Citrix Netscaler و Fortinet EMS و SimpleHelp.
تتبع المجموعة أسلوب “الابتزاز المزدوج” الذي يتضمن تشفير الملفات وسرقة البيانات الحساسة. ويتم نقل البيانات المسروقة باستخدام أدوات مثل Rclone بعد تجميعها في أرشيفات محمية بكلمة مرور. بعد ذلك، يتم تشغيل برنامج التشفير، مع استخدام تقنيات مثل تعدد الخيوط (multithreading) والتشفير الجزئي لتسريع العملية.
آثار الهجمات وتصنيف INC
تكشف هذه الهجمات عن قدرة مجموعات برامج الفدية على تحقيق النجاح والتوسع دون الحاجة إلى تقنيات متقدمة أو أدوات مخصصة. ويساهم ذلك في استمرار تدفق الضحايا عبر مختلف المناطق والقطاعات.
وفقاً لبيانات ZeroFox، برزت برامج الفدية INC كثاني أبرز مجموعة برامج فدية في الربع الأول من عام 2026، وشكلت ما يقرب من 120 حادثة خلال هذه الفترة. وتواصل INC تعزيز عملياتها من خلال تحديث برامج التشفير الخاصة بها وتطوير أدواتها.
تستهدف المجموعة بعناية قطاعات مثل الرعاية الصحية، والخدمات القانونية، والخدمات المهنية، والصناعات التحويلية، والبناء، حيث يضع أي توقف تشغيلي ضغطاً مالياً كبيراً يدفع الضحايا إلى دفع الفدية. ويزداد هذا الخطر نظراً لاعتماد هذه القطاعات على استمرارية العمليات وسلاسل الإمداد.