تم رصد انتشار سلالة جديدة من برمجية الفدية المعروفة باسم Pay2Key، وهذه المرة تستهدف أنظمة Linux. تعمل هذه البرمجية الخبيثة على تعطيل الخوادم الافتراضية، وخوادم المؤسسات، وأعباء العمل السحابية، مما يشكل تهديداً متزايداً للبنية التحتية الرقمية. يأتي هذا التطور ليضع علامة استفهام حول مدى أمان أنظمة Linux التي طالما اعتُبرت رائدة في هذا المجال.
الخبراء الأمنيون رصدوا ظهور هذه السلالة من برمجيات الفدية التي تستهدف أنظمة Linux في أواخر أغسطس 2025. وقد أظهر التصميم التقني للبرمجية تركيزاً على السرعة والكفاءة، مع بناء هندسي يهدف إلى تحقيق أقصى قدر من التأثير، وليس بالضرورة التخفي.
تُعرف مجموعة Pay2Key بأنشطتها السابقة في مجال التهديدات السيبرانية، لكن هذا التحرك نحو تطوير نسخة خاصة بأنظمة Linux يشير إلى تغيير استراتيجي متعمد في أهدافها. فبدلاً من التركيز على أنظمة تشغيل المستخدم النهائي، تستهدف هذه البرمجية الجديدة الطبقة الأساسية للبنية التحتية التي تعتمد عليها المؤسسات في عملياتها اليومية.
Pay2Key تهاجم البنية التحتية لحوسبة Linux
قال باحثون في شركة Morphisec الأمنية إن النسخة الجديدة من Pay2Key، والتي تحمل اسم Pay2Key.I2، تعتمد بشكل كبير على ملفات التكوين لتنفيذ هجماتها. تتطلب هذه البرمجية صلاحيات وصول من المستوى الجذر (root) لكي تعمل، مما يعني أنها تحصل على أعلى مستوى من الوصول للنظام. هذا يمنحها القدرة الكاملة على التحكم في نظام الملفات ووظائف نظام التشغيل الأساسية.
بعبارة أخرى، لا يعتمد المهاجمون على محاولة الارتقاء بالصلاحيات بعد بدء تشغيل البرمجية. بل يتم تصميم حمولة البرمجية بحيث تعمل فقط بعد الحصول على صلاحيات كاملة بالفعل. هذا الأسلوب يزيد من فاعلية البرمجية وسرعة انتشارها.
إن تأثير هذه البرمجية الخبيثة على المؤسسات التي تعتمد على البنية التحتية التي تعمل بنظام Linux كبير جداً. الخوادم التي تستضيف قواعد البيانات، وتطبيقات الواجهة الخلفية، والأجهزة الافتراضية، وجميع أعباء العمل السحابية، أصبحت أهدافاً رئيسية. قدرة البرمجية على تصنيف أنواع مختلفة من أنظمة الملفات المثبتة وتشفيرها بشكل انتقائي، يمكن أن تسبب أضراراً جسيمة مع الحفاظ على تشغيل النظام بما يكفي لإرسال طلب الفدية.
يثير هذا الانتشار قلقاً أوسع، حيث لا تزال برمجيات الفدية التي تستهدف أنظمة Linux تمثل واحدة من أقل فئات التهديدات المدروسة في الأبحاث الأمنية العامة. ويُعد Pay2Key مثالاً واضحاً على كيفية سد الفجوة من قبل الجهات الخبيثة، حيث يقومون بتطوير أدوات لا تزال العديد من المؤسسات غير مستعدة للدفاع ضدها.
آلية التشفير وتجنب الدفاعات
قبل أن تبدأ Pay2Key في تشفير الملفات، تقوم بإعداد البيئة لضمان عدم وجود أي عقبات. تقوم البرمجية بإيقاف الخدمات، وقتل العمليات النشطة، وتعطيل اثنتين من أطر الأمان الرئيسية في Linux وهما SELinux و AppArmor. هذا الإجراء يزيل بشكل فعال دفاعات النظام الحالية قبل بدء عملية التشفير.
ولضمان استمرار البرمجية حتى بعد إعادة التشغيل، تقوم بتثبيت إدخال في جدول المهام cron، والذي يقوم بتشغيلها مرة أخرى عند إعادة تشغيل النظام. هذه الآلية الاستمرارية تعني أنه حتى لو اكتشف مسؤول النظام مشكلة وأعاد تشغيل الخادم، فإن برمجية الفدية تستأنف عملها من حيث توقفت.
لتحديد الملفات المستهدفة، تقوم Pay2Key بفهرسة محتويات الجهاز (/proc/mounts) لبناء خريطة لنظام الملفات. تقوم بتصفية أنظمة الملفات الزائفة وتصنيف الأقسام المثبتة على أنها للقراءة فقط، قابلة للإزالة، أو غير ذلك. تتجنب البرمجية بالكامل الأقسام للقراءة فقط، وأثناء معالجة الملفات، تتجنب عن عمد الملفات التنفيذية من نوع ELF و MZ، بالإضافة إلى الملفات ذات الحجم الصفري. هذا يقلل من احتمالية انهيار النظام أثناء العملية.
يستخدم التشفير خوارزمية ChaCha20، إما في وضع تشفير الملف بالكامل أو تشفير جزئي، اعتماداً على ملف التكوين. يتم تضمين سلسلة ثابتة، “DontDecompileMePlease”، في البرنامج الثنائي، وتلعب دوراً رئيسياً في اشتقاق مفتاح البيانات الوصفية والتحقق من تنسيق البيانات الوصفية. يتم إنشاء مفاتيح لكل ملف وتخزينها في كتلة بيانات وصفية مشوشة، مما يجعل الاستعادة بدون مفتاح فك التشفير مستحيلة عملياً.
يجب على فرق الأمن التي تدير بنية تحتية تعتمد على Linux فرض ضوابط صارمة على الوصول من المستوى الجذر، ومراجعة الحسابات التي تحمل امتيازات مرتفعة. يمكن أن يقلل تعطيل إنشاء مهام cron غير الضرورية للمستخدمين غير الإداريين من خطر استيلاء آليات الاستمرارية. يجب على المؤسسات أيضاً مراقبة أي تعطيل غير متوقع لـ SELinux أو AppArmor بشكل نشط، حيث أن هذا يعد مؤشراً قوياً على وجود نشاط لبرمجيات الفدية.
يظل الاحتفاظ بنسخ احتياطية غير متصلة وغير قابلة للتغيير للبيانات الهامة أحد أكثر الطرق فعالية للاستعادة دون الحاجة إلى دفع فدية.